渗透过程.doc.docVIP

XXX科技大学渗透过程。 By:小东 最近无聊啊，于是目测到一个站，蛋疼啊，就看看日呗 目标：，http://www.XXXXX./ 貌似挺牛逼的。第一步。看主站 ASPX+iis 6.0+2003 估计开了1433吧 如果开了1433，WEB端渗透不成功的话可以试试SA密码爆破 其实俺也不清楚，继续往下看 http://www.news.XXXX./NewsRead.aspx?newsID=54338 加个单引号 这个让我很蛋疼啊 继续 神马1=1 1=2 都是输入字符串的格式不正确。 继续目测 2. 主站基本没希望 看有木有旁站 木有旁站，好，现在我们用强大的谷歌，对付大型的网络结构很爽 最近PHPCMS V9 爆了漏洞，而PHPCMS大学站采用了很多这套系统，于是我就在思考这个学校会不会也采用了这套系统呢 于是俺就构建关键字 site:XXXX. inurl:index.php?m=admin 为什么没加www呢，因为我们查的是他的子域名不是主站查他的主站 目测是PHPCMS无疑 果断上exp 爆出数据库连接文件， 本来我的思路是外链数据库。然后添加管理员账户。但是我看了下，这个用户密码比较有特点。目测应该去试下能不能登录后台。结果不能，蛋疼了，老老实实添加账户 我们采用这个工具进行外链， 然后连接 由于这是事后写的文档。数据库已经不能连接了。我第一次是直接用的数据库用户密码进的后台，估计被改了 事后我写一个PHPCMS后台拿shell的文章就OK， Shell还在。继续讲提权 System权限，你懂得，直接添加账户 我们的账户已经添加成功了，然后远程连接 连接的时候显示达到终端限制 看下会话 踢掉一个 然后 抓hash 看了下这台的IP 然后把CAIN放上面 然后继续看别的站 没见过的系统，弱口令试试 不行，御剑扫下，也没扫到啥信息 这时候突然灵感一闪。 我们可不可以试试刚才的口令，然后果然进去了 然后我就看下怎么拿shell 长期的敏感性，让我先看看系统设置，这里拿shell的几率很高 看到这里。我当时就蛋疼啊，当时我还脑残了下，估计直接添加PHP不行吧，写这套程序的人没那么2吧，于是我添加了个PHP;.jpg 然后上传，没用，不解析，看了下是Apache;这下脑残了 我又想，万一管理员就那么2咋办呢，俺又改成PHP，如上图。然后上传之，结果完全没有过滤，直接拿到了shell，好吧，我无话可说，继续 难道这就是传说中的人品嘛 于是，顺利的，第二台服务器到手了， 先看看啥配置 我喜欢这网速， 两台服务器了 本来我想NETFUCK的，但是开了下，貌似不再C段下面 而且第二台服务器还是台VPN 然后我再猜想，这个系统以前在网上并没有见过，说不定是他们自己写的 于是我想，可不可能还有这种 于是构建了这套系统的关键字 然后通杀拿下3台服务器， 其实我还可以构建很多关键字，比如说上传关键字啊。FCK关键字 等等。思路要淫荡 现在我们整理下 有五台服务器了，然后就是慢慢的嗅探欺骗了 在拿其中一台服务器的时候，端口不是默认的，我们不知道端口 且服务器只支持PHP 这时候我们在命令行下执行 REG queryHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /v PortNumber 就会获得一个十进制的代码 然后转下进制就行 然后我就在其中一台服务器上放了NETFUCK 然后开始测试是否能进行ARP 来源IP为网关 中间人IP为自己的IP(也就是服务器的IP) 目标IP。这个不用解释 然后加载插件，HTTP注入，修改器 剩下的也没搞了。联系了管理员，叫他给我开个VPN 撤了