原文来自:https://bbs.ichunqiu.com/thread-42556-1-1.html
本次渗透为合作学校展开的渗透测试,比较艰难。途中所涉及的IP 均处理过。如有漏码请私信与我告知。
项目:www.*.edu.tw
主站信息:PHP脚本
服务器:Linux
简述:此次目标的难度性比较大,有2网段:
信息如下:
193.*.117.1/24
193.*.116.1/24
193.*.115.1/24
193.*.114.1/24
193.*.112.1/24
193.*.*.1/24
193.*.109/24
193.*.108.1/24
193.*.107.1/24
193.*.106.1/24
193.*.105.1/24
193.*.104.1/24
193.*.103.1/24
193.*.101.1/24
193.*.100.1/24
193.*.99.1/24
193.*.98.1/24
193.*.97.1/24
193.*.96.1/24
193.*.95.1/24
193.*.94.1/24
193.*.93.1/24
193.*.92.1/24
193.*.91.1/24
193.*.86.1/24
另外一个
180.*.5.1/24
180.*.22.1/24
180.*.20.1/24
180.*.19.1/24
180.*.17.1/24
180.*.16.1/24
180.*.15.1/24
180.*.11.1/24
180.*.10.1/24
180.*.1.1/24
以上信息利用以及来源思路:
1.搜集子域名–>>2.ping出IP域名–>>3.整理为网段字典–>>4.对每个网段进行端口扫描(常用端口:8080,3389,3306,1433,21,80)寻找WEB应用。
有了以上信息之后我们先从学生角度出发:
获取学号ID样式
于是乎通过Google语法开始Go:
site:*.edu.tw 学号
果然找到
(部分打码)
开始收集主要站点:
http://*.*.114.7/syolphony/login.html 邮件中心 (APT攻击需要)
https://*.*.edu.tw:8443/kkkk/ssss/sso?sid=0&sid=0 xx统一登录中心(类似于我们的QQ登陆)所有学生都可以从这里登入系统(核心数据库服务器连接处)
http://*.*.edu.tw/index_p.html 老师邮件中心 (APT攻击需要)
随后我们利用收集到的学号开始来了解他们的学号生成过程。
許XX B0929153
許XX B0929153
張XX B0929036
于是开始利用BUrp生成账户然后爆破。
本想着用老套路。结果发现。竟然没有一个账户存在弱口令。Md!心中一想肯定有什么密码机制。爆破肯定没戏了!!。
换思路开始搞子站。(收集账户密码实施撞库攻击)
于是我找啊找啊。找啊找啊找啊。
终于在一个子站,利用御剑扫到了一个abc.asp的文件。
mail—userformail
admin—super
这是啥?难道是后台账密?于是怀着忐忑的心情。开始试试?
在网站的左下角我们找到了后台的链接地址。
于是乎尝试了一下。结果发现。真尼玛可以登陆。开心死!
利用上传功能成功的获取到了webshell权限。而且。上帝还给我了一个惊喜(System权限)哈哈哈哈哈啊哈!但是。
在这个过程中我们还发现了该服务器有:
赛门铁克(厉害的杀毒软件)
上传的所有马全部被杀,包括我的存货,无一幸免。这就给我们创造了无形的屏障。而且重要的地方是该服务器就是个网站服务器。也没有什么数据库信息。access里面也就我们获取到的管理员账户密码。可谓简陋至极。
但是:这台机器所在的域,有一个域控。(算是个好消息吧!)
经过两三天的摸索。从困难的转发出3389到成功登陆上服务器,卸载了赛门铁克(这貌似有点暴力)回头在装上。。。。内网445扫描了一圈发现并没有可用的信息。然后服务器上面翻过去翻过来,mimikatz也读取密码。均无有效信息。渗透一时间陷入了死水。
转机出现
不能在一棵树上吊死,于是我就先去一个网段一个网段扫描开放的端口,最终在一个网段中找到一台服务器存在目录遍历,这台服务器为我们撕开了一个大口子!
经过对Phpmyadmin测试,发现root并不是弱口令,这!于是我看到了fond压缩包,下载下来看了一下,在test1.php中我们找到了答案
附件可到原文下载>>>点击跳转
马上抄起MS17-010,结果果然发现了6台电脑存在445漏洞(又为我们推动了重大一步!)
真相越来越接近。明天写结局。