对某VPS厂商的一次渗透测试

前言

今天要给大家分享一个比较有意思的故事，由于有时候我们需要频繁的换IP来做一些事情，所以这就需要用到动态拨号VPS了，然后就google搜了一波，就发生了以下的事情，请听我慢慢叙来。

0x01 信息踩点

看到这个网站以后，首先就猜到肯定会有漏洞....

为了避免被各位表哥爆菊花，打码有点严重，还请见谅。

我们先简单分析一下网站有没有WAF，很简单，找一个有ID参数的地方，尝试注入看看，如果有waf一般都会拦截。

经过测试发现这个小idc厂商明显没有WAF，那么直接先上awvs扫描看看。

打开awvs，然后点击new scan，在url里面填上目标的域名，一直下一步就行。

喝杯茶的功夫，我们awvs扫描完成了，高危漏洞还真多，见下图。

xss漏洞试过了，半天没上钩我就直接去注入了。

我们点开一个扫描出来的注入漏洞，点开参数，然后在右边点开 View HTTP headers 可以看到一个请求包，把他复制到c盘下，文件名为1.txt。

0x02 sqlmap跑起来

打开sqlmap 输入

sqlmap.py -r c:\1.txt

第一个跑不出来，又换了其他注入点跑。

最后发现有个地方的确存在注入

系统版本和mysql版本都出来了。

--dbs查了下，发现好几个库。

--privileges查看一下权限，root权限，那么可以尝试写入shell试试。

执行写shell语句

会让你选择一种脚本格式，默认回车就行了。

然后这里可以指定网站的路径或者自动识别。

网站的路径我是通过访问他一个不存在的文件报错得到的。

得到的路径以后，在sqlmap里面选择2 然后输入路径e:/xxxx/ 回车

上图可以发现报错了，具体原因我也不太清楚，根据群里各位表哥的意见，mysql5.0以上默认是开启安全模式的，也就是说不能写文件。

但是我用“王子表哥”提供的语句查询到返回值是"Y"应该说是可以写入的？

查询写入权限的语句如下，如果当前用户有写入权限的话，会返回"Y"

user

然后通过--file-write写本地文件也失败了。

将本地的c盘下logt.txt文件写入到目标的e盘下1.txt)

0x03 这逼没法装了

正当我一筹莫展的时候，才想起他数据库里的信息还没看，然后我们挨个表查看下数据。

小提示：如果不想dump出表里面所有的内容，可以用以下语句控

制dump出的数量

以下语句可以控制导出表里面的10条内容。

不过蛋疼的是，查了所有表也没看到有管理员的相关信息，但是发现一个东西有点意思，哈哈，见下图。

在sqlmap里面太乱了，看不清楚，我们进入dump的目录找到这个文件。

目录一般是在这里

notepad++打开后还是不太明了，所以我们用excel打开。

但是发现用excel打开后好多中文的地方变成了乱码，这是因为编码问题。

我们在这个csv文件上右键，用notepad++打开，然后编码转换成utf-8。

现在我们重新打开整理一下无用的数据

0x04 成功撸穿厂商

你没有看错，这个表里面竟然存放了这个VPS厂商的所有节点服务器的信息。

其中有TV的ID和密码，还有3389的ip 账号和密码。

科普下。TV的意思猜一下就知道是TeamViewer 一个远程控制软件，只要有对方的ID和密码就可以控制对方的电脑。

为了验证这些tv的密码是不是真的可以用，我们本地安装上tv试试。

安装好了以后打开，输入对方的ID，然后点击连接。

然后输入密码看看。

我们可以看到，已经连接成功了。

你的vps当前的配置，还有你在干什么人家都知道啦，哈哈。

另外尝试了几个3389的服务器也是可以登陆的,发现超多的vps运行在上面。

用的hyper-v管理

我们进入一台vps发现都是内网IP，那么反弹个代理出来看看。

本地先监听888端口

然后在一台vps上执行

说明：2.2.2.2为你的外网IP，或者填你服务器IP。888是你的端口号（注意防火墙要放行）

成功以后用SocksCap64添加代理

测试没问题以后，把工具放进代理里面直接横向干内网。

内网很多VPS都没有打补丁，一打一个准，都是些刷点击的、刷单的、刷访问量的。

就不继续深入了.....

如果要查水表，这个锅我不背，因为我发现部分服务器上有黑客留下的工具，说明这些服务器都被人玩坏了。

总结

表哥们购买vps的时候，尽量不要选择国内的，你干啥人家都知道。

如果买的是windows的vps，一定要打补丁、打补丁、打补丁。