学校整个渗透过程
学校整个渗透过程,毕业了,文章可以整理一下发出来了。因时间原因,一些漏洞已经被修复、网站系统更换,图无法补全,文字描述尽量详细,见谅。至于一共搞了多久?断断续续的俩月吧!
目标:某政法类院校(我的学校)www.xxx.edu.cn
从主站友情链接先收集一小部分域名,开始挨个测试
bgs.xxxx.edu.cn
cwc.xxxx.edu.cn
jw.xxxx.edu.cn
hqc.xxxx.edu.cn
jgdw.xxxx.edu.cn
aqgzc.xxxx.edu.cn
gh.xxxx.edu.cn
rsc.xxxx.edu.cn
xsc.xxxx.edu.cn
lgbc.xxxx.edu.cn
zhaosheng.xxxx.edu.cn
jwc.xxxx.edu.cn
jxjy.xxxx.edu.cn
cjgl.xxxx.edu.cn
szb.xxxx.edu.cn
gjjl.xxxx.edu.cn
tyb.xxxx.edu.cn
kj.xxxx.edu.cn
fl.xxxx.edu.cn
fx.xxxx.edu.cn/fx
keyan.xxxx.edu.cn/kyc
gjfs.xxxx.edu.cn
tsg.xxxx.edu.cn
jsj.xxxx.edu.cn
xxwlzx.xxxx.edu.cn
gl.xxxx.edu.cn
jsgc.xxxx.edu.cn
cxcy.xxxx.edu.cn/cxcy/
xsy.xxxx.edu.cn
主站IP:121.xx.xxx.230
三分之一站点都可以以主站IP+二级目录的方式打开,eg:121.xx.xxx.230/xxx/Html/Main.asp(现在已更换)
0x001.对自己人下手!
因为本人是计算机系的,肯定要从自己系下手,
jsj.xxxx.edu.cn aspx+win2008+iis.75
Pageadmin的系统,开启了静态,么得注入(可能是因为我没0day),百度搜索到这个系统有个cookie欺骗漏洞,经过构造,
将cookie设置为:Master=1&LoginProcess=1&UserName=admin&LOginDate=1&Valicate=12b36e45c2df117d12a068814d826283f9c32f845e1589142208628b13f&Permissions=1
然后直接访问http://jsj.xxxx.edu.cn/master/master/index.aspx即可绕过登录
遂很简单的就进入后台。
网上公开的getshell办法均失效,翻了翻文章发布的地方传图片处有Fck编辑器,同样的网上的fck编辑器getshell也行不通。
就自己研究了一下,发现将请求包里面的form-data修改一下可以实现任意文件上传,eg:form-+-data、form-/-data,就这样得到了一个webshell,权限为NetWork service,服务器上有360全套+TeamViewer,未开放3389因为当时是2017年,比较新的exp我首先想到了ms15051,因为自己本身会一点免杀,就把zcgonvh大牛的exp下载来处理了一下,很轻松的拿到了system。因为TeamViewer本身就存在密码读取的漏洞,也拿到了system,遂读取Tv密码+mimikatz读取administrator密码远程操控。
读取到的管理员密码为:QAZzx123456/
然后打开啊D网络工具包,查看192.168.0.1-192.168.0.255网段和学生上课机房网段的存活主机,然后通过hscan探测存活主机的服务及弱口令。结果如下:
然后打开浏览器,WebBrowserPassView,读取浏览器保存的密码,啥都没有。
然后翻了一下全盘的文件,没有有价值的东西,只看到了管理员的QQ,记录下来,加到密码本里,以后兴许用得到。
0x002.我想改成绩
上大学你要是不想改成绩,你跟咸鱼有什么区别!
jwc.xxxx.edu.cn,正方的教务系统最新版,老版本注入都试了一遍,没漏洞,对服务器端口探测,1-65535全部开放是什么鬼!!怕了你!那就看看其他的系统咯?
主站有个oa数字化校园信息门户,也是正方的,觉得应该可以通过oa的管理员直接跳转到教务系统,因为一家公司的,而且都是老师办公的系统,肯定两个系统会有关联。就尝试对这个oa进行测试,发现可以重置管理员的密码,重置用户名为admin 密码保护问题答案填1,即可重置密码。
遂登录
其他附属系统也是admin的权限,就可以通杀一大堆oa了
技术问题,没能getshell。所以就放下了。
0x003 MS17-010来了!
放了一段时间,忽然ms17010的exp出来了,集成到msf里面了!我的小兴致又来了!
看看其他站点有没有改动,发现科研处、法学系和创新创业中心的网站,改成了java开发的同样的cms系统,测了一下没有st2,没有注入,于是乎就找后台去爆破弱口令
http://cxcy.xxxx.edu.cn/cxcy/manager/login.jsp
http://fx.xxxx.edu.cn/faxuexi/manager/login.jsp
http://keyan.xxxx.edu.cn/keyanchu/manager/login.jsp
没有验证码,一个burp就可以搞定,把常用用户名和密码字典全部安排上,然后自己再根据域名和部门名称、部门负责人、电话,构造几个用户名和弱口令密码。果真爆破成功一个,而且就是自己构造的,用户名:cxyadmin,密码:chuangxinganlizjb 但是后台编辑器是个KindEditor,版本 4.1.7,么得漏洞。但是法学系的前台是有下载中心的,下载地址为:http://fx.xxxx.edu.cn/faxuexi/servlet/DownServlet?filename=19216825400220180416103909497257.doc按道理后台应该有附件上传功能,但是同一个系统,创新创业中心的后台没有附件上传功能,就转去研究法学系的后台弱口令,又查了查之前渗透拿下的数字化校园办公系统,将法学系所有人员的姓名+生日+联系方式全部组合排列再次生成密码册进行爆破,
再次爆破成功!登录后台,确定有文件上传功能,且无任何限制,可上传任意文件。
但返回连接为下载连接:http://keyan.xxxx.edu.cn/keyanchu/servlet/downloadServlet?newsName=20190316202026245641.jsp然后就猜目录得到真实文件地址:http://keyan.xxxx.edu.cn/keyanchu/servlet/uploadfile/20190316202026245641.jsp
菜刀连接
翻了一下和科研处在同一服务器,但是和创新创业不在同服务器,既然相同的系统,后台应该功能一样,复制一下法学系后台上传功能的url,去创新创业试了一下果不其然,同样的方法getshell。穿了个cs的马尔运行上线,getsystem成功提权。。
同样的操作,远程连接上,在服务器用啊D网络工具包,扫了整个内网开放80,8080,3306,1433,3389,445的服务器。很多,只列以下几个
http://192.168.0.9/ 主站和几个分站 http://192.168.0.10/
http://192.168.0.11/ http://192.168.0.12/
http://192.168.0.13 计算机系网站 http://192.168.66.2:8080 wdcp 默认密码
http://192.168.28.20/ 综合校情况 http://192.168.28.46/ 教务管理系统
https://192.168.130.54/ Vmware
同时通过cs转发,使用msf扫内网ms17010,发现 0.11、0.12、0.13三台机器,0.13之前已经拿下,现在通过ms17010拿到0.11和0.12的权限,在某次登录0.11时发现有个QQ在登录为离线状态,查看资料发现为网络中心管理员QQ!
立即通过QQ登录QQ邮箱去收集信息!果真皇天不负有心人!发现大量重要资料!其中包括设备IP列表、密码文件.zip、监控平台帐号及密码
抓取三台服务器密码:QAZws12346,./@2016 x12345789@ aq#keynchu
再次添加到hscan的密码文件里去跑。
同时去看一下密码文件.zip里面的东西!
这都是金子啊!
看到Vmware.c0m这个密码我想到了之前扫web服务的时候,有个Vmware的,想到Vmware有个远程连接,我就尝试ip写192.168.130.50,用户名是root,密码是Vmwae.cm
立马过去登录,发现成功,还提示可以用客户端执行更多操作,于是使用cobaltstrike转发出来,打开Vmware客户端操作
我放下了其他的活,挨个尝试登录这些机器,只有三分之一的可以成功使用之前抓到的密码登录,登录成功的每一台也都用WebBrowserPassView,读取浏览器保存的密码,共计读取到四条密码,其中包含教务系统admin账号的密码:hj8777,也查看了mstsc登录历史是否有保存密码,读取到192.168.0.11在登录192.168.0.25、192.168.0.244机器时保存了密码,登录上192.168.0.25之后发现是个数据备份系统,成功拿到所有站点数据库(每三天更新备份一次)。
192.168.0.244是个舆情监控+某防火墙系统,分别读取两台机器的administrator账户密码
再次拿到两个密码,老样子加入密码文件跑。
成功跑出192.168.0.9-192.168.0.18所有服务器密码,几台服务器分别架设了除教务系统之外的所有web。
在成功登陆的Vmware数据中心的服务器中,有几台是linux系统,且为登陆状态,使用mimipenguin也无法读取,遂以失败告终。经查看这几台linux系统分别架设的是教务系统、教务系统数据库等。
0x004 终端我也不放过!
在图书馆撩妹的时候发现图书馆有借书终端和阅览室预约终端,看到这些还撩什么妹,跳沙盒去了,到处一通乱点,点出了虚拟键盘,然后通过连续点击shift五下跳出了桌面。立马种上我的木马
0x005 结语
至此学校所有系统几乎全部沦陷,其他财务等系统、院长+信息中心负责人、管理员身份证反正面的搞定,因太过隐私不予讨论,文中很多截图因时间久远无法补全,望见谅!(附上图,省的有些杠精说:“没搞下就没搞下,还不予讨论”)
以上内容均已提交至学校网络信息中心、院长办公室。
因种种原因有些漏洞仍未修复,但学校为政法类院校、机密单位,请勿尝试复现!