安全黑客
当前位置:安全黑客文章资讯安全技术安全检测
日期:2012-05-30 11:03:00  来源:本站整理

一个网站被浸透全历程[安全检测]

赞助商链接



  本文“一个网站被浸透全历程[安全检测]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

记一次浸透一站全历程 教程开始哈...................................................................1
 
一.Web站点的浸透............1
二.崎岖的上传webshell...................................2
 
三.戏剧性的提权...................................................3
 
四.内网的简单浸透.....................................................3
 
目标的环境:
 
目测2003+iis6+asp.net+mssql 但是这个网站程序应当是利用的某个asp.net+soap开辟的,至少呈现漏洞的地方是.
 
一.Web站点的浸透
 
这次浸透并未利用任何扫描嗅探工具去探测目标完好利用手工查抄的,经过一系列的测试后在网页源代码里面发现了一个对比有意思的链接.
 
 
 
上图顶用篮筐拉出来的地址,惹起了我的注意.按照名字这应当是用于上传文件的.
 
拜候这个链接后就证实了我的猜想
 
 
没有输入流,那么我自己本机写一个POST表单试试:
 
<form action="http://www.xx.com/Service.asmx/AjaxUpload" method="post" enctype="multipart/form-data">
<input type="file" name="upload" /><br />
<input type="submit" />
</form>
挑选一张图片上传后成功以下内容:
 
{"s":1,"src":'2012/xx/c0b62302a79e47bab273f2dc76861f8e.gif',"pics":[{src:"2012/xx/c0b62302a79e47bab273f2dc76861f8e.gif",icon:"http://img.xx.com/upload/2012/xx/c0b62302a79e47bab273f2dc76861f8e.155x155.gif",wh:"150X150"}]}
 
看到返回了上传途径后于是测试了下直接上传asp后缀这次返回后果以下:
 
{"s":1,"src":'2012/xx/ac24ed3a0393497bb3d0e9a78f28ef7e.asp',"pics":[{src:"2012/xx/ac24ed3a0393497bb3d0e9a78f28ef7e.asp",icon:"/Themes/Default/images/noimage.100x100.jpg",wh:""}]}
 
直接上传的哦,但是悲剧的是无法找到拜候途径,就连上传正常的图片都找不到拜候途径,前面返回的http://img.xx.com/upload/2012/xx/c0b62302a79e47bab273f2dc76861f8e.155x155.gif 也是无法拜候的,这是怎么回事呢?接下来我找了半天的途径也没找到,于是把这个地方记录下来先睡觉先.
 
二.崎岖的上传webshell
 
第二天大早上起来看了看旁站,都是一个系统站的内容也基本相同,旁站就就三个二级域名跟一个顶级域名,于是翻开那个顶级域名看看,发现程序是一样的,于是再次试试那个上传点,翻开昨晚记录的upload.html改正里面的url后直接上传一个aspxspy上去.但是这里出了点小不测,昨天写的上传表单在这无法利用了,大约是少了什么参数吧,于是我开始在网站里面探求上传点但愿争取能复原上传所需求的参数.于是注册一个会员后在会员中里发现了改正头像功效,直接奉告通过这里就可以复原上传所需求的参数,于是翻开战狐的live http headers开始抓上传包,不过悲剧的什么都没有只有返回图片上传后的地址:
 
 
 
忧郁,尝试了几遍都一样的后果,于是换WSExplorer来抓,但是后果也是一样.
 
最后用firebug检查元素的时刻发现一些上传参数: www.110hack.com
 
 
 
上图蓝色框内就是一些上传的参数,但是这个时刻我忽然想起来哥又2B一次了,这里上传操纵的是swfupload.swf也就是flash上传的我抓浏览器必定一根毛都抓不到啊,于是再次翻开WSExplorer选中火狐插件进程然后再次上传,公然.····这次有数据了,于是立马按照数据包里面的参数改正了下上传表单后直接上传aspxspy上去



 
(表单下面的东西是我为了便利改正表单参数直接把数据包copy在里面改正的.)
 
提交后这次运气很好一下只就找到了途径直接一个shell到手了.
 
三.戏剧性的提权
 
已经是aspx马了权限也很大,跨目录履行号令都行的,但是为了便利做某些猥琐的事情还有内网的几台机械也要一并拿下所以得提权.
 
各种杀器一个一个的砸上去,值得一说的就是我这放了N年的提权EXP竟然一个都没被杀,但是值得悲剧的是一个都没效果......没办法于是决意查找每个网站的配置文件看有没有root大概sa翻完一边找到了一个root端口改正成了3307还有几个db权限的mssql用户一样端口都是被改正过,不过有root就好办事了呗,在衔接的时刻竟然提醒回绝192.168.2.1这个IP衔接我靠,我拿下的这台机械在内网里面IP就是192.168.2.1靠这什么意思嘛.....
 
OK没办法预备找第三方软件去了,在C盘软件安装目录发现了一个FTP软件,并且还是可以操纵它来提权的一款,名字叫做:Gene6 FTP Server v3.9.0 (Build 2)
 
到这里了值得为我的品德喝彩,这个配置文件里面的管理密码是md5加密的暂时没解密出来,不过这他娘配置文件竟然有改正权限.我靠,品德啊.于是二话不说把衔接IP 127.0.0.1换成了这个机械的外网IP然后把admin加密后替换他本来的密码密文(之前的密文本机有记录过后我好恢复.)接下来就是没悬念的事情咯,直接增添一个系统管理员上服务器猥琐去咯(至于这个FTP软件若何提权百度大把文章这里就不浪费墨水了.)
 
三.内网的简单浸透
 
进服务器后结合方才提权时找到的密码还有抓过的系统hash破解后的密码整理成文档为接下来做好预备工作,
 
内网机械环境以下:
 
192.168.2.1(本机+网站服务器+2003)
 
192.168.2.2(内网一台网站服务器+2003)
 
192.168.2.22(内网数据库与备份服务器+2008)
 
192.168.2.23(内网数据库与备份服务器+2008)
 
全部机械都有80 21端口开放FTP都是用的Gene6 FTP Server v3.9.0 (Build 2) 这个软件在这里是没多罕用处,只能猜到普通用户的,管理用户是无法衔接上的.
 
所以这里我的思绪就是通过db权限的mssql用户备份一个shell上去后果米权限,列目录也是.至于root都衔接不上的.接下来我首先通过hash破解的帐号密码猜出了192.168.2.2
 
两台数据库服务器也猜出了ftp密码,不过还是无法真正拿下.好了,教程就讲授到这里,完毕~


  以上是“一个网站被浸透全历程[安全检测]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 一个网站被浸透全历程
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .