用户
搜索
  • TA的每日心情
    奋斗
    5 天前
  • 签到天数: 13 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    50

    主题

    86

    帖子

    581

    魔法币
    收听
    0
    粉丝
    10
    注册时间
    2015-11-20

    i春秋签约作者

    发表于 2017-10-11 11:42:40 814309
                                                                      作者:Jerk
    :由于涉及的资料比较多,所以打码比较严重
    记得网上有句话好像是,不用页面马上删,不用的端口马上关。

    暴漏在公网的服务器随时都有可能成为别人的猎物,不要抱任何侥幸心理,如果你还没有被搞,可能还没轮到。账户弱口令,上传不过滤,输入不过滤。这些很低级的错误,各位管理员还是不要犯。放在前面的话就说这么多,下面看图,这是拿到的两台服务器:
    1.png
    下面从头儿开始说,这是某国际物流公司的服务器,最开始看到的页面一个非常非常老的上传页面,感觉着应该有漏洞。
    2.png
    实际比感觉要严重的多,对上传没有任何过滤,一句话木马直接上传了,拿菜刀链接。然后开始进行提权,首先拿到的权限是一个比较常见的权限iis apppool\sof**.***.com。基础的系统命令可以执行,然后开始上传后门程序和提权程序,开始提权,执行之后就没了,秒被吞,应该是有防火墙或者杀毒软件,tasklist看了,360开着那,不做免杀基本上是没办法拿下。
    3.png
    然后就开始看看C:\盘中安装的程序,看看有没有ftp或者MSSQL或者Mysql可用,ftp用的是Serv-U15.0.1不是老版本的提权估计比较难。发现装着SQL Server那,本机应该是有数据库的。然后开始在一些网站的根目录中找配置文件,费了好大劲终于找到一个有账户密码的,但是本机登陆不上。然后开始结合一些账户密码猜解登陆相邻ip的机器的1433端口,刚开始用HeidiSQL登陆目标但是登陆直接未响应,也不知道什么问题,这个小工具平时挺好用的,关键是时候掉链子了,写这个文章的时候又试了下可以登上了。
    4.png
    推荐大家用这个小工具,小巧精致,可以支持Mysql和MSSQL各种协议登陆。昨天晚上操作的时候均在SQL Server Management上操作的。以下是登陆结果:
    5.png
    登陆上的时候应该意味着这个服务器要收入囊肿了。SA权限只是xp_cmdshell未开始,配置下开启:
    EXECsp_configure ‘show advanced options’, 1
    RECONFIGURE
    EXECsp_configure ‘xp_cmdshell’, 1
    RECONFIGURE
    成功开启xp_cmdshell
    之前已经用nmap扫过了目标是开着3389的,然后直接添加用户就行了
    Net userSummer 满足复杂度要求的密码 /add
    Netlocalgroup Administrators Summer /add
    Netlocalgroup “Remote Desktop Users” /add
    执行最后一行命令的时候竟然报错了,看图:
    6.png
    这个时候首先执行下net user Administrator看下他的本地组的名称,可能不是默认的,也可能默认的和常见的默认并不相同,前两天群里有人搞国外的服务器的时候说默认的和咱们默认的不一样,所以最后看下。这台机器没问题,管理员组是Administrators远程桌面组是RemoteDesktop Users,这个时候报错可能SQL语句的问题了,仔细看了看这几个单词也没拼错,应该就是引号的问题,把引号换过来,添加成功了。
    这个时候千万不要急着直接登陆目标,如果目标不是windows Server版本你会直接把对方顶掉,这个时候肯定会被发现了,一旦被发现,再想拿下目标应该会难很多。执行下systeminfo看下目标的系统版本:

    这个时候可以果断登陆目标了服务器了,发现管理员竟然把防火墙主动关闭了,可能也正是这样,才导致入侵的如此方便。
    7.png
    本来想获取下目标管理员的Hash的从网上查了资料,对于2012的服务器GetHashes,wce等等小工具好像都不行,有的还会导致目标服务器重启,不过网上看资料可以通过
    vssown.vbs + libesedb + NtdsXtract来获取系统hash对于03-12通杀,准备在本地测试下,再拿到目标上测试,测试成功单独写个文章这台服务器基本上是拿下了,另外一台也通过一些小社工只能登陆MSSQL数据库也配置了xp_cmdshell,但是不能执行任何命令,提示Createprocess失败,应该还是360和防火墙导致的,等通过hash破解出来一个密码后应该可以通过社工的方法获取到。这个小渗透到为止。

    改进建议:上传页面必须做白名单验证加二次渲染,MSSQL的账户的权限低到够用就行,各个服务器的账户密码不要雷同,这么重要的数据库服务器最起码防火墙应该开着,网站后台的的弱口令应该改掉。

    推荐两个小工具:
    一个是截屏工具Snipaste比qq的截屏要好用很多很多:
    数据库链接小工具HeidiSQL,小巧方便,不知道有没有后门,虚拟机中运行!

    发表于 2017-10-11 16:55:00
    我没记错的话 这个之前发过的吧?
    提莫队长正在待命
    使用道具 举报 回复
    发表于 2017-10-12 08:17:32
    提取
    使用道具 举报 回复
    发表于 2017-10-12 09:10:58
    很多时候安全就在不经意间发生了
    不服你TMD来打我啊!
    使用道具 举报 回复
    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    4#
    发表于 2017-10-12 10:17:34
    fant0me 发表于 2017-10-11 16:55
    我没记错的话 这个之前发过的吧?

    是发过,不是作者本人发的,所以他重新发了一次
    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋-楚:533191896
    i春秋-燕:129821314
    i春秋-齐:417360103
    i春秋-秦:262108018
    使用道具 举报 回复
    yyyxy 管理员 六国战旗移动展示平台! 秦 楚 燕 魏 齐 赵
    5#
    发表于 2017-10-12 10:17:38
    fant0me 发表于 2017-10-11 16:55
    我没记错的话 这个之前发过的吧?

    是发过,不是作者本人发的,所以他重新发了一次
    欢迎加入i春秋QQ群大家庭,每人只能任选加入一个群哦!投稿请加我QQ:286894635。
    i春秋-楚:533191896
    i春秋-燕:129821314
    i春秋-齐:417360103
    i春秋-秦:262108018
    使用道具 举报 回复
    发表于 2017-10-12 16:27:43
    2012提取密码可以试试mimikatz
    不用谢我,我的名字叫雷锋。
    使用道具 举报 回复
    发表于 2017-10-12 16:57:39
    楼主,码打的不够仔细啊
    使用道具 举报 回复
    发表于 2017-10-12 19:06:31
    工具还是不错 这样添加账户感觉管理员很容易找出来
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册