本次渗透为合作学校展开的渗透测试,比较艰难。途中所涉及的IP 均处理过。如有漏码请私信告知。
项目:www.*.edu.tw
主站信息:PHP脚本
服务器:Linux
简述:此次目标的难度性比较大,有2网段:
信息如下:
193.*.117.1/24
193.*.116.1/24
193.*.115.1/24
193.*.114.1/24
193.*.112.1/24
193.*.*.1/24
193.*.109/24
193.*.108.1/24
193.*.107.1/24
193.*.106.1/24
193.*.105.1/24
193.*.104.1/24
193.*.103.1/24
193.*.101.1/24
193.*.100.1/24
193.*.99.1/24
193.*.98.1/24
193.*.97.1/24
193.*.96.1/24
193.*.95.1/24
193.*.94.1/24
193.*.93.1/24
193.*.92.1/24
193.*.91.1/24
193.*.86.1/24
另外一个
180.*.5.1/24
180.*.22.1/24
180.*.20.1/24
180.*.19.1/24
180.*.17.1/24
180.*.16.1/24
180.*.15.1/24
180.*.11.1/24
180.*.10.1/24
180.*.1.1/24
以上信息利用以及来源思路:
1.搜集子域名-->>2.ping出IP域名-->>3.整理为网段字典-->>4.对每个网段进行端口扫描(常用端口:8080,3389,3306,1433,21,80)寻找WEB应用。
有了以上信息之后我们先从学生角度出发:
获取学号ID样式
于是乎通过Google语法开始Go:
site:*.edu.tw 学号
果然找到
(部分打码)
开始收集主要站点:
http://*.*.114.7/syolphony/login.html 邮件中心 (APT攻击需要)
https://*.*.edu.tw:8443/kkkk/ssss/sso?sid=0&sid=0 xx统一登录中心(类似于我们的QQ登陆)所有学生都可以从这里登入系统(核心数据库服务器连接处)
http://*.*.edu.tw/index_p.html 老师邮件中心 (APT攻击需要)
随后我们利用收集到的学号开始来了解他们的学号生成过程。
許XX B0929153
許XX B0929153
張XX B0929036
于是开始利用BUrp生成账户然后爆破。
本想着用老套路。结果发现。竟然没有一个账户存在弱口令。Md!心中一想肯定有什么密码机制。爆破肯定没戏了!!。
换思路开始搞子站。(收集账户密码实施撞库攻击)
于是我找啊找啊。找啊找啊找啊。
终于在一个子站,利用御剑扫到了一个abc.asp的文件。
mail---userformail
admin---super
这是啥?难道是后台账密?于是怀着忐忑的心情。开始试试?
在网站的左下角我们找到了后台的链接地址。
于是乎尝试了一下。结果发现。真尼玛可以登陆。开心死!
利用上传功能成功的获取到了webshell权限。而且。上帝还给我了一个惊喜(System权限)哈哈哈哈哈啊哈!但是。
在这个过程中我们还发现了该服务器有:
赛门铁克(厉害的杀毒软件)
上传的所有马全部被杀,包括我的存货,无一幸免。这就给我们创造了无形的屏障。而且重要的地方是该服务器就是个网站服务器。也没有什么数据库信息。access里面也就我们获取到的管理员账户密码。可谓简陋至极。
但是:这台机器所在的域,有一个域控。(算是个好消息吧!)
转机出现
经过两三天的摸索。从困难的转发出3389到成功登陆上服务器,卸载了赛门铁克(这貌似有点暴力)回头在装上。。。。内网445扫描了一圈发现并没有可用的信息。然后服务器上面翻过去翻过来,mimikatz也读取密码。均无有效信息。渗透一时间陷入了死水。
不能在一棵树上吊死,于是我就先去一个网段一个网段扫描开放的端口,最终在一个网段中找到一台服务器存在目录遍历,这台服务器为我们撕开了一个大口子!
经过对Phpmyadmin测试,发现root并不是弱口令,这!于是我看到了fond压缩包,下载下来看了一下,在test1.php中我们找到了答案
使用该账户密码终于成功登陆了phpmyamdin
接着变量日志getshell啥的我也就不多介绍了。
获取到Shell
经过简单的排查与摸索,判定该台服务器为一个老师的电脑,
Windows10系统
然后我们使用日志getshell,获取到了权限。(System)
登陆了服务器。发现这个老师教信息技术的,在电脑上面并没发现他的啥密码。(比如浏览器记住密码。或者浏览器历史记录,mstsc连接记录等)
mimikatz抓了一下发现被保护了,没戏
但是功夫不负有心人,找到了一份有用的资料。
(IP地址分配表)
重大突破
在内网扫描了445,结果发现4台主机存在,2台03一台w7一台Xp
接着进行445攻击,登陆上了XP电脑,发现该电脑正在FTP传输文件到远程服务端。于是乎不敢动。晚上再来!
滴滴滴滴滴
到了晚上,在这台电脑收货颇丰,可谓是重大。该名老师登陆了Line.(爸妈啥的。妻儿啥的。。还聊着天。)而且通过进一步发现,该名老师是教授工程系的。(意义不大)但是他的一个习惯导致了此次渗透的推进,那就说他用谷歌浏览器保存了上百个网站的登陆密码。哈哈。
于是乎有了。
为我们渗透推进了重大一步,我们拿到了该名老师的很多常用账户密码,并且还附带有各种xxxpay和email等等账户密码。哈哈可谓是收货颇丰
接着用他的账户我们开始对学校的需要使用老师登陆的站点开始进行渗透,经过测试其中的一个教务系统,虽然存在了任意文件上传并经过辛苦查找终于找到了路径 ,但是aspx asp等均不解析,ashx看着好像会解析,但是好像有对代码进行过滤,导致没戏。绕不过waf的过滤,目测是禁止代码执行了。程序员的意识真高。只想说。但是随着一个突破的到来,那就是我们发现该名老师还访问了 一个内网IP:(10.1.3.1)的iP,难道这个内网是互通的?????
半小时前 上传
马上抄起MS17-010,结果果然发现了6台电脑存在445漏洞(又为我们推动了重大一步!)
前期经过信息收集得到了一个学生账户:
site:*.edu.tw 学号 (百度Hacker)
得知了学号的格式:103****25
然后经过排查,找到一个可以验证学号是否存在的链接,随后Burp开始跑起来:
http://*.*.edu.tw/*.php?user=103****13&f=blog
最终获得一个学生信息如下:
方**
103**25
103***25@*.*.edu.tw
高雄市*****
07-2****12(家用)
0979****04(手机)
密码:123456
(他们所有能用学生登录的站点都经过摸查,发现安全还行。我还寄希望来一个任意文件上传呢。下面正文开始。)
突破口
拿下shell的站点是一个ST2框架,运气爆棚存在一个ST2漏洞。(内网IP:10.2.1.8)
权限:System
接着。看看有没有域控。
https://www.chinacycc.com/forum.php?mod=attachment&aid=ODM3NHw1M2RmYWQ0YTUwZGY0NGZiYTI3YmU2NzI1ZDZhM2QwNXwxNTMwNzY3Nzg1&request=yes&_f=.zip
执行:nbtscan 10.2.1.1/24
DC 后缀就是域控服务器。
虽然拿到了内网权限。但是经过一顿Fuzz发现。我们并没有在域控用户里面。我们是在Work用户组。于是想到了 ms14-068.exe,但是没有戏,
接着又尝试读取管理员密码。发现无法读取到。好吧。很难受。
转机出现
1433内网爆破
经过超级弱口令工具爆破,链接下方:
https://www.chinacycc.com/thread-2773-1-1.html
发现一台服务器(10.2.1.44)的Sa存在弱口令:(只能内网链接,未开放外网端口)
sa
1qazZAQ!
于是连接之。whoami
老天待我不薄啊,时刻都想着我。竟然给我个user权限?
情况介绍:
禁止外链
User权限(nt authority\network service)
服务器上有WEB服务
然后下面的话就不多说了,开始写shell,虽然老天太关注我,不过也给我留了一条后路。
写shell途中的坎坷过程:
1. 只有C:\Windows\Team能写入木马
2.WEB服务的路径含有空格,导致cmd无法写入过去。
3.写入的木马会自动写两行,执行 echo 123>>1.asp后123.asp内容会出现
123
123
下面说说解决办法:
1. 只有C:\Windows\Team能写入木马
(1),我采取的是利用FTP远程下载木马
利用Msf上线
但是我写入ftp配置文件的时候又遇到第三个问题,于是反弹出了 10.2.1.44 的1433端口到我外网的6001端口,lcx原理参考:
https://www.chinacycc.com/thread-3065-1-1.html
最后成功getshell
接着开始提权:
目标信息:
1. Windows Server 2012系统
2.补丁200+
3.x64位
反正最后搞到了System权限
load mimikatz
msv
读取到了管理员密码。于是陷入了短暂的穷途末路之后想到了碰碰运气试试,于是乎去用这个密码试探
10.2.1.10 域控一号
10.2.1.29 域控二号
结果很让我惊喜,两台服务器均可以登陆,
并且还发现了服务器通用账户,是计算机中心的工作人员账户,应该是利于方便吧。
在域控里面拿到了IP地址分配图
这样搞起来,事半功倍啊。哈哈
经过长达2天的渗透,沦陷了主机百台,全部账户密码通用,也成功的获取到了三台核心数据库服务器权限,拿到了数据备份服务器权限
至此渗透结束,全程4天。
领取专属 10元无门槛券
私享最新 技术干货