对*视频站点的再次渗透尝试
程序员文章站
2022-09-30 12:38:40
这篇叙述性较强的日志文献将全程记录这次渗透,不管成败如何。我将站在教程的角度去表述。希望给大家完整的渗透入侵的感觉。
--------------------------------------------------... 08-10-08...
这篇叙述性较强的日志文献将全程记录这次渗透,不管成败如何。我将站在教程的角度去表述。希望给大家完整的渗透入侵的感觉。
----------------------------------------------------------------------------------------------------------
no.1
文章背景: 我那篇渗透*情色视频服务器群全程日志的文章相信大伙已经看过了。去年的事,当时进行挂马操作,导致权限丢失太快。这个周末重新整理日志的时候翻到它,决定再次进行渗透。 61.**.***.230-254(具体ip我照例隐藏掉)
这一段是目标公司的服务期ip,对外开放的端口是80,1027,17616(这个端口是我进行全面扫描是才发现的)。服务器由于一早被我入侵过,原先开 放的21,5631都已经封掉了。这使这次再次渗透变得艰难。这个17616端口我很奇怪,于是telnet到此端口看下banner信息,得到一个笑脸 图标。我记得好像是早一点的版本的mysql。用客户端连接上去出现错误。郁闷得一米,先放下不表。
(ps:因为我手头还保存着第一次入侵收获的很多口令信息,所以才有此一试) 站点是asp mssql的,服务器去年是win2000。由于第一次的暴露,管理员重写了代码,封死了注射。这是经我多次检测得出的结论。
----------------------------------------------------------------------------------------------------------
没法子,看下同c段的情况。
scan:
nmap -st -p 80 -p0 61.**.***.2-229
我是用nmap进行扫描的。简单说下参数:
-st 是tcp协议握手的方式扫描,好处是精度高。缺点是速度慢,容易被发现。(这里是*人的站点,怕毛!) -p 80 指扫80端口。多个端口用, 隔开,连续端口可用1-65500这样的 -p0 指跳过ping这个环境。这扫描器默认是要用ping来检测远程主机是否存活的,目前大多数机子防火墙或者其他规则都是禁止ping的。所以加上这个参数。
后面是扫描的ip段。我取的是 2-229
---------------------------------------------------------------------------------------------------------
看了会电视回来收报告,开80的机子很多。我陆续测试了一些。发现几个切入点:
1. 50这个ip是个教育网站,找到注射点,可惜是db_owner权限+内网数据库,暴字段的时候由于是繁体中文,工具报错。暂搁不表。 2. 142这个ip是一个交友网站(这个段交友网站很多)。jsp的(玩惯asp的见到它有点怕吧,哈哈)。简单看了下注射,过滤了。注册个号,需要身份证, *身份证是10位的,第一个是字母,我手头有现成的,还有手机,也跟大陆的不一样的很。很快注册完成。既然是交友网站多半是可以传相片的。看了下上传, 直觉告诉我有上传漏洞。老套路抓包,修改,nc提交。hoho顺利得到一个jspshell(system权限的喔)。
no.2
前面拿到权限的机子,我让大少帮我开了终端。其中遇到些纳闷的鸟事就略过不谈了。常规思路,在一阵基本的检查后,没有获取有价值的东西。偶打算开始嗅探。 偶给肉鸡做了个即时的ftp,随用随关,方便传东西。用xlight做的。
把cain打了个包上去(这东西的好处是不用安装,驱动安装也不用重启就可以使用),看了下肉鸡的program files文件夹已经有了winpcap了,可能是大少安装的吧。偶乐得偷闲,打开cain。晕死,连网卡都找不到。郁闷了我一阵。后来一想,应该是驱动问题,重新安装下cain安装包自带的驱动就可以使用了。 略做配置。scan了下mac,host列表有138,139,151,152,155,156,157,158,没有我的目标。
但是我在139这个ip访问的时候,出现的是一个情色视频站点,jsp的web脚本,结构跟142很相似,从一些特征上分析,跟我的目标也很有共同点。于是决定就对它进行arp欺骗。
选择arp,添加对139--158的通讯方向进行欺骗。158是网关ip。一会就看到password里出现http登录口令了。看了下口令出现的速度,不快。于是断开肉鸡终端,看电影,明天上去检查。
----------------------------------------------------------------------------------------------------------
第二天,连上去得到很多口令。全是http的。略作分析整理:
得出一些经营模式:他们的管理是挺成熟的。网站分公司管理入口,经销商入口,视频主持人入口和客户入口。公司管理负责对客户数据进行维护,各经销商独立的,其下瞎有视频主持(小姐)。
供应商帐号密码特征:
606a/6abc1234
605a/5abc1234
其所辖小姐的帐号密码特征:
606a01/123456
606a02/123456
......
605a03/123456
.....
注意到没?帐号应该是系统按一定规律分配的,密码默认也是有规律的。小姐密码默认是123456,她们几乎都没改。而经销商和他们所辖小姐之间的帐号有存在联系。hoho
客户注册是需要经过手机这道关卡的,所以俺不能注册。不过嗅探也得到很多客户口令。公司管理人员的信息还未嗅探到。
-----------------------------------------------------------------------------------------------------------
首先用小姐的帐号登录进去。为啥先挑她们?因为网站上都有小姐的照片,有照片就该有上传,此web程序跟我们前面通过上传拿下的已经可以认定是同一款,那么也应该有绕过验证的漏洞。so...
登录后发现,除了上班视频外就是业绩查询,后台很简单。 继续用经销商帐号登录。发现上传。原来小姐的管理都是由经销商来完成的,资料都是他们输入的。(模式蛮成熟的)上传是肯定有漏洞。老套路抓包,nc提交。拿到shell。和上台机子一样,远程管理是用radmin的。轻车熟路,本地安装一个radmin,端口设置跟它一样8899,设置密码,导出注册表,上传到d:\my.reg.目标主机 导出注册表regedit -e d:\bal.reg hkey_local_machine\system\radmin 备份下。 然后net stop "remote administrator service" 导入咱的regedit /s d:\my.reg继续 net start “remote administrator service” ok,radmin连上去。加个用户,hoho为所欲为了。用完后还原备份,删除闪人。 问题是,我通过图形界面开启终端,默认是3389端口,却发现被硬防拦了。看来只能端口转发了。radmin毕竟用来太风险。又多了台肉鸡。 no3. 拿到权限后,我启用肉鸡的远程桌面,并修改端口,肉鸡是使用自带的防火墙,我设置其允许出站,即可远程登陆了。配置上与前一台没什么差别。由于目标是视讯网站的数据库,所以我翻看tomcat的conf目录,查找数据库连接信息。郁闷的是并没有找到口令。(jsp我也没咋接触过)后来才知道管理员用的是空口令,汗倒。人家禁止外部连接,所以不设口令。上传了个 mysql-front (mysql数据库图形编辑工具),翻查数据库表。把用户表和管理表导出,并下载回本地。这时我发现有个表allowedip很奇怪,分析一下,才知道原来管理员帐号登陆后台是有ip限制的,未经允许的ip不能登陆,够严格啊。
更bt的是,设计者在网页的很多页面加了如下代码:
以下是引用片段:
<script language='javascript'>
var wwwname=navigator.userlanguage;
if(wwwname =='zh-cn')
window.location.href='401.htm'; 啥意思?屏蔽掉简体中文浏览器访问了。我是用firefox访问所以没有问题的。nnd,把他去掉。
经一番折腾已经拿到所有权限。所以日志也就没有继续的必要了。完
----------------------------------------------------------------------------------------------------------
no.1
文章背景: 我那篇渗透*情色视频服务器群全程日志的文章相信大伙已经看过了。去年的事,当时进行挂马操作,导致权限丢失太快。这个周末重新整理日志的时候翻到它,决定再次进行渗透。 61.**.***.230-254(具体ip我照例隐藏掉)
这一段是目标公司的服务期ip,对外开放的端口是80,1027,17616(这个端口是我进行全面扫描是才发现的)。服务器由于一早被我入侵过,原先开 放的21,5631都已经封掉了。这使这次再次渗透变得艰难。这个17616端口我很奇怪,于是telnet到此端口看下banner信息,得到一个笑脸 图标。我记得好像是早一点的版本的mysql。用客户端连接上去出现错误。郁闷得一米,先放下不表。
(ps:因为我手头还保存着第一次入侵收获的很多口令信息,所以才有此一试) 站点是asp mssql的,服务器去年是win2000。由于第一次的暴露,管理员重写了代码,封死了注射。这是经我多次检测得出的结论。
----------------------------------------------------------------------------------------------------------
没法子,看下同c段的情况。
scan:
nmap -st -p 80 -p0 61.**.***.2-229
我是用nmap进行扫描的。简单说下参数:
-st 是tcp协议握手的方式扫描,好处是精度高。缺点是速度慢,容易被发现。(这里是*人的站点,怕毛!) -p 80 指扫80端口。多个端口用, 隔开,连续端口可用1-65500这样的 -p0 指跳过ping这个环境。这扫描器默认是要用ping来检测远程主机是否存活的,目前大多数机子防火墙或者其他规则都是禁止ping的。所以加上这个参数。
后面是扫描的ip段。我取的是 2-229
---------------------------------------------------------------------------------------------------------
看了会电视回来收报告,开80的机子很多。我陆续测试了一些。发现几个切入点:
1. 50这个ip是个教育网站,找到注射点,可惜是db_owner权限+内网数据库,暴字段的时候由于是繁体中文,工具报错。暂搁不表。 2. 142这个ip是一个交友网站(这个段交友网站很多)。jsp的(玩惯asp的见到它有点怕吧,哈哈)。简单看了下注射,过滤了。注册个号,需要身份证, *身份证是10位的,第一个是字母,我手头有现成的,还有手机,也跟大陆的不一样的很。很快注册完成。既然是交友网站多半是可以传相片的。看了下上传, 直觉告诉我有上传漏洞。老套路抓包,修改,nc提交。hoho顺利得到一个jspshell(system权限的喔)。
no.2
前面拿到权限的机子,我让大少帮我开了终端。其中遇到些纳闷的鸟事就略过不谈了。常规思路,在一阵基本的检查后,没有获取有价值的东西。偶打算开始嗅探。 偶给肉鸡做了个即时的ftp,随用随关,方便传东西。用xlight做的。
把cain打了个包上去(这东西的好处是不用安装,驱动安装也不用重启就可以使用),看了下肉鸡的program files文件夹已经有了winpcap了,可能是大少安装的吧。偶乐得偷闲,打开cain。晕死,连网卡都找不到。郁闷了我一阵。后来一想,应该是驱动问题,重新安装下cain安装包自带的驱动就可以使用了。 略做配置。scan了下mac,host列表有138,139,151,152,155,156,157,158,没有我的目标。
但是我在139这个ip访问的时候,出现的是一个情色视频站点,jsp的web脚本,结构跟142很相似,从一些特征上分析,跟我的目标也很有共同点。于是决定就对它进行arp欺骗。
选择arp,添加对139--158的通讯方向进行欺骗。158是网关ip。一会就看到password里出现http登录口令了。看了下口令出现的速度,不快。于是断开肉鸡终端,看电影,明天上去检查。
----------------------------------------------------------------------------------------------------------
第二天,连上去得到很多口令。全是http的。略作分析整理:
得出一些经营模式:他们的管理是挺成熟的。网站分公司管理入口,经销商入口,视频主持人入口和客户入口。公司管理负责对客户数据进行维护,各经销商独立的,其下瞎有视频主持(小姐)。
供应商帐号密码特征:
606a/6abc1234
605a/5abc1234
其所辖小姐的帐号密码特征:
606a01/123456
606a02/123456
......
605a03/123456
.....
注意到没?帐号应该是系统按一定规律分配的,密码默认也是有规律的。小姐密码默认是123456,她们几乎都没改。而经销商和他们所辖小姐之间的帐号有存在联系。hoho
客户注册是需要经过手机这道关卡的,所以俺不能注册。不过嗅探也得到很多客户口令。公司管理人员的信息还未嗅探到。
-----------------------------------------------------------------------------------------------------------
首先用小姐的帐号登录进去。为啥先挑她们?因为网站上都有小姐的照片,有照片就该有上传,此web程序跟我们前面通过上传拿下的已经可以认定是同一款,那么也应该有绕过验证的漏洞。so...
登录后发现,除了上班视频外就是业绩查询,后台很简单。 继续用经销商帐号登录。发现上传。原来小姐的管理都是由经销商来完成的,资料都是他们输入的。(模式蛮成熟的)上传是肯定有漏洞。老套路抓包,nc提交。拿到shell。和上台机子一样,远程管理是用radmin的。轻车熟路,本地安装一个radmin,端口设置跟它一样8899,设置密码,导出注册表,上传到d:\my.reg.目标主机 导出注册表regedit -e d:\bal.reg hkey_local_machine\system\radmin 备份下。 然后net stop "remote administrator service" 导入咱的regedit /s d:\my.reg继续 net start “remote administrator service” ok,radmin连上去。加个用户,hoho为所欲为了。用完后还原备份,删除闪人。 问题是,我通过图形界面开启终端,默认是3389端口,却发现被硬防拦了。看来只能端口转发了。radmin毕竟用来太风险。又多了台肉鸡。 no3. 拿到权限后,我启用肉鸡的远程桌面,并修改端口,肉鸡是使用自带的防火墙,我设置其允许出站,即可远程登陆了。配置上与前一台没什么差别。由于目标是视讯网站的数据库,所以我翻看tomcat的conf目录,查找数据库连接信息。郁闷的是并没有找到口令。(jsp我也没咋接触过)后来才知道管理员用的是空口令,汗倒。人家禁止外部连接,所以不设口令。上传了个 mysql-front (mysql数据库图形编辑工具),翻查数据库表。把用户表和管理表导出,并下载回本地。这时我发现有个表allowedip很奇怪,分析一下,才知道原来管理员帐号登陆后台是有ip限制的,未经允许的ip不能登陆,够严格啊。
更bt的是,设计者在网页的很多页面加了如下代码:
以下是引用片段:
<script language='javascript'>
var wwwname=navigator.userlanguage;
if(wwwname =='zh-cn')
window.location.href='401.htm'; 啥意思?屏蔽掉简体中文浏览器访问了。我是用firefox访问所以没有问题的。nnd,把他去掉。
经一番折腾已经拿到所有权限。所以日志也就没有继续的必要了。完