搜狐首页 科技 小济公2

手机搜狐

SOHU.COM

【渗透案例】从列目录到花式提权—某教育系统渗透纪实

情人节已经过去,别问我是怎么过的,资深单身狗早已屏蔽了朋友圈在家敲代码。可就是这样仍然躲不过被虐的下场,一个在教育系统工作的朋友居然给我发微信说他男朋友送她999朵玫瑰,你说气人不气人,吃了一把狗粮后决定对其所在教育系统进行渗透测试。(以上情节纯属虚构,如有雷同,纯属巧合)

1 信息收集

具体信息收集过程按下不表,可以参考我的前几篇帖子。信息收集的结果是该网站采用jsp语言,自建系统,独服(不能旁站了),可列目录,有敏感信息泄露,有OA登录入口且没有进行边界限制也没有验证码,如下图

其实还有其他一些信息,但对下一步渗透用处不大。

2 进后台

看论坛里有同学说列目录危害不是很大,因为找不到什么有用的信息。有这样想法的同学,我认为渗透观(浩高端的词)就不对,网络安全遵循短板效应,千里之堤毁于蚁穴,有一点做不好就可能彻底沦陷,比如本次渗透。再说列目录不是一定要找到什么有密码的配置文件才可以,又是后目录本身就是有用的信息,你看我找到了什么?

没错,从admin看上去是以用户名命名的文件夹,用户还挺多呢,这不就是个字典么,真贴心,自建系统容易产生这样看上去无害的缺陷。我把这些文件夹名拖下来做成一个用户名字典,密码字典就是用户名再加上123456,对刚才发现的OA后台进行爆破,保不齐有用户使用弱口令呢。

果然还真就有个用户,用户名和密码相同。成功登陆后台。

3 获取webshell

获取webshell很轻松,有上传漏洞,在发邮件的地方可上传附件,没有任何限制,直接上传jsp,真是无言以对。

4 花式提权(远程桌面)

直接获取管理员账号,远程3389

先查看下权限,就是这么任性,system。

为了低调,我没有新建账户,选择了mimika获取管理员密码,无悬念,成功!

正要远程3389,才发现webshell提示是内网(见上图),还得用lcx端口转发,可是上传lcx总不成功,tasklist看下进程,果然有360,taskkill /PID 无回显,再试lcx还是不行,就放弃了。(其实最后还是成功了,通过“狗洞”,只是没截图)

teamview 提权

通过翻目录,发现安装了teamview这款远程管理工具,刚好前几天看了相关文章,在此实践下。获取运行中的TeamViewer的账号和密码,相关代码

编译完成后上传到teamview目录,执行。

成功获取到ID和密码,尝试连接

远控软件

直接在VPS上配置远控软件,将服务端利用webshell上传到目标,终端运行后,成功上线。

5 番外篇

Serv-U破解

通过翻目录,发现还安装了Serv-U这款FTP服务器,简直是提权神器,有的webshell里都集成了Serv-U提权(但我的这个webshell里没有),找到配置文件ServUDaemon.ini

里边有所有用户的用户名和密码散列

在cmd5.com上尝试解密,成功一个

有了FTP用户,直接上传文件就方便多了,还有很多敏感信息

服务器漏洞

终端执行systeminfosys.txt,利用Windows-Exploit-Suggester这款工具查看服务器弱点及漏洞,发现该服务器存在以下两个漏洞。

结语

这下我就痛快多了,祖国还没有统一,谈什么恋爱,秀什么恩爱。学习,挖洞,写POC才是我的追求,O(∩_∩)O哈哈~。咦?谁给我扔个纸条?让我看看写的什么,“山有木兮木有枝,心悦君兮君不知”……

(作者:野驴,来源:i春秋)

炼石信息安全培训春季班开招

QQ:495066536

372806985

敬请持续关注……

精选