2.9 通过Pr提权渗透某高速服务器
有些渗透是一种偶然,但偶然的渗透却有着被渗透的必然。通过本次渗透,笔者获得了下面一些收获。
·扫描工具不是万能的:扫描工具的扫描结果具有参考价值,通过扫描出来的信息,借助经验,可以进行进一步的测试。
· hzhost管理系统的渗透方法:通过ASP.NET的WebShell查看进程,获取hzhost的物理路径。
·如果能够访问hzhost的物理路径,则可以下载其管理使用的数据库表site.mdb。在site.mdb数据库中会保存root和sa用户的密码,掌握了MySQL和MSSQL的管理员密码后,可以尝试进行数据库提权,从而获得管理员权限。
2.9.1 分析AWS扫描结果
使用AWS进行扫描,如图2-71所示,扫描结束后给出了265个警告信息。虽然高危的跨站漏洞较多,但对于普通的安全人员来说,利用XSS还有一些难度。对扫描结果中暴露的代码、文件路径、Web编辑器、特殊文件名等要做详细的分析和实际测试,因为攻击者很有可能通过这些漏洞拿到WebShell权限。
图2-71 分析AWS扫描结果
2.9.2 获取WebShell
1.获取文件上传地址
通过查看AWS的扫描结果,发现该网站存在直接文件上传地址。在AWS中选中该页面直接进行浏览测试,如图2-72所示,能够正常访问,且未做安全验证。
图2-72 获取文件上传地址
2.直接上传网页木马
通过测试发现上传页面能够正常访问,因此可以按照以下方法上传网页木马。
·直接上传网页木马。网页木马可以是大马,也可以是小马,还可以是存在IIS文件命名漏洞的图片文件。
·尝试通过文件编辑器漏洞直接上传文件。
·将文件保存到本地,通过修改提交地址和代码上传文件。
·通过nc抓包提交等方法上传网页木马。
在本例中利用的是第一种方法,即通过IIS命名规则漏洞上传。如图2-73所示,成功上传一句话后门文件2.asp;1.jpg后,会提示具体的文件上传地址。
图2-73 上传网页木马
3.创建并操作一句话后门
相比早期,“中国菜刀”真是一句话后门操作的福音。如图2-74所示,在地址栏中输入一句话后门地址“http://www.kuaijielin.com/sywebeditor/2.asp;1.jpg”,密码“cmd”,单击“添加”按钮,即可将该后门地址添加到“中国菜刀”管理器中。在“中国菜刀”中单击刚才添加的一句话后门地址,如果连接没有问题,则可以直接对该网站的文件进行操作,如图2-75所示。
图2-74 创建一句话后门
图2-75 管理一句话后门
4.上传大马进行管理
在“中国菜刀”中将网页大马上传到网站。如图2-76所示,通过该页面进行文件上传、删除、修改和下载等管理操作。
图2-76 上传网页大马
2.9.3 服务器信息收集与Pr提权
1.查看网站服务器文件
通过网页木马查看目标网站所在服务器中的文件,如图2-77所示,获取了该网站所在服务器管理平台的数据库,将该数据库下载到本地。
图2-77 下载MSSQL数据库
在该文件夹下还存在MySQL数据库。到Data目录下新建user.MYD文件并将其下载到本地,该文件中保存了MySQL的所有数据库用户名和密码等信息,如图2-78所示。MySQL的user.MYD文件中的用户密码可以在cmd5网站查询及破解。如果破解了root用户的密码,对Windows系统可以尝试进行UDF提权。
图2-78 下载MySQL数据库的user.MYD文件
2.查询目标网站所在服务器下的所有域名
通过网站地址http://www.yougetsignal.com/tools/web-sites-on-web-server/来查询该IP地址下的所有域名,如图2-79所示,获取了33个网站域名。
图2-79 获取同网站域名
3.分析site.mdb数据库
目标网站使用的管理系统是华众管理系统(hzhost)。下载该安装文件下的site.mdb。在site.mdb中有site、sqlseting和vhostseting共3个表。site表中记录的是站点名称、FTP用户名、FTP密码、站点所在目录等信息,如图2-80所示。在该表中可以直接获取FTP用户名和密码、主机所支持的语言类型(ASP、PHP和.NET)等信息。sqlseting表中保存的是sa和root用户的密码,如图2-81所示。vhostseting表中保存的是虚拟主机管理信息。
图2-80 获取网站管理信息
图2-81 获取网站sa和root用户的密码
4.上传PHP WebShell
通过site.mdb数据库找出支持PHP编程语言的虚拟主机站点,通过FTP直接连接该站点,输入从site表中获取的网站用户名和相对应的密码,顺利登录该FTP服务器。如图2-82所示,执行“put control.php”命令,将本地的control.php网页木马上传到网站。通过IE浏览器访问该WebShell地址,如图2-83所示,上传的WebShell成功运行。
图2-82 通过FTP上传WebShell
图2-83 测试上传的WebShell
5.Pr提权
将Pr提权工具上传到网站服务器,在“CmdPath”文本框中输入“C:\RECYCLER\pr.exe”,在“Argument”文本框中输入“"net user temp temp2005/add"”,将temp用户添加到系统中,如图2-84所示。然后,在“Argument”文本框中输入“"net user localgroup administrators temp/add"”,将temp用户添加到管理员组中,如图2-85所示,Pr命令执行成功后会给出一些提示信息。最后,执行“net user localgroup administrators”命令查看管理员组的情况。如图2-86所示,temp用户已经成功添加到系统管理员组中了。
图2-84 将temp用户添加到系统中
图2-85 将temp用户添加到管理员组中
图2-86 temp用户已经为管理员
6.获取远程终端端口
使用NMap对该服务器的所有TCP端口进行扫描,如图2-87所示,成功获取该服务器的远程终端端口。
图2-87 扫描服务器端口
7.登录远程终端
通过远程终端客户端程序mstsc.exe直接登录该服务器,输入刚才添加的用户名和密码,顺利登录,如图2-88所示。
图2-88 登录远程终端