來(lái)源:紅狼
文章已經(jīng)發(fā)布到非安全
原作者:冷焰
目標:www.fudan.edu.cn
IP: 61.129.42.5
Port:21.80.22,3306,4444,4662,8009,8080
Web:sun Unix
以上是對目標信息進(jìn)行的搜集,開(kāi)了22端口,管理員可能是用SSH來(lái)管理主站,上次hackest檢測的時(shí)候,就是拿下了C段的一臺windows主機,從而對目標主機嗅探得到FTP密碼.這次我的目的不僅僅是主站,而是復旦大學(xué)的整個(gè)網(wǎng)絡(luò ).
1. 初戰告捷
思路:因為像復旦大學(xué)這樣的內網(wǎng),在路由器上是設置了很?chē)栏竦耐饩W(wǎng)訪(fǎng)問(wèn)規則的,想掃弱口令?根本不可能.(后來(lái)事實(shí)也證明了我的猜測,2級域名ping下去都是一個(gè)IP,看來(lái)是在路由那里做了端口的設置),通過(guò)腳本漏洞拿下內網(wǎng)的一臺機器,摸清里面的結構再說(shuō)吧.
結果:很輕易的拿下了一臺內網(wǎng)機器,內網(wǎng)ip:10.107.0.12(windows2000)(圖1).并且成功抓取到了管理員密碼(因為這個(gè)權限中途夭折,就沒(méi)用截圖了)
方法:分站越多.安全越難兼顧.拿出域名查詢(xún)助手,查了下其c段的域名,,一個(gè)個(gè)分站的檢測,不知不覺(jué)中就發(fā)現了突破口,一個(gè)分站的論壇回復的時(shí)候可以直接上傳jsp附件,估計是學(xué)生寫(xiě)的吧,要不怎么會(huì )讓jsp文件都可以上傳.很輕易的得到了一個(gè)jsp的webshell,呵呵,jsp權限很大的哦,通過(guò)教主在邪八發(fā)布的那個(gè)端口轉發(fā)的工具殺進(jìn)內網(wǎng).(具體用法我在上期的對華中科技大學(xué)的滲透中講過(guò)了,要多多關(guān)注黑手咯)
總結:現在對于大型的站點(diǎn),asp的類(lèi)型越發(fā)少了,所以大家也不要拿起注入工具,對著(zhù)目標一陣亂掃,理清思路,多在上傳上想辦法,上傳可是可以直接拿到wenshell的,還有用google搜索一些關(guān)鍵字,對于學(xué)校站點(diǎn)還是很有效的.
截圖
2. 內網(wǎng)徘徊
思路:身在內網(wǎng),可以摸索到外網(wǎng)無(wú)法收集的信息.掃描-溢出-嗅探,拿手好戲當然是社工.
結果:拿下10.107.0.36 | 10.107.0.21 | 10.107.0.59三臺機器(均為windows2003)以及若干信息.
方法:掃描出sa弱口令,拿下機器:10.107.0.36(圖2);52端口的dns溢出,拿下機器10.107.0.21;通過(guò)cain的嗅探,得到一個(gè)ftp弱口令,賬號為:administrator,密碼為xxxx,社工3389,成功進(jìn)入,拿下機器10.107.0.59.(圖3)
總結:了解出了拓撲,對應外網(wǎng)的網(wǎng)址,內網(wǎng)的信息對之后的滲透起到了很重要的作用,每個(gè)系都是獨立一臺服務(wù)器,所以說(shuō)密碼社工的概率變小了,不過(guò)沒(méi)關(guān)系,他們的意識都不強.
截圖:
3.中途夭折
結果:在10.107.0.12上掛著(zhù)xscan讓它掃,睡一覺(jué)起來(lái),服務(wù)器連不上,jsp木馬顯示連接不上.
總結:內網(wǎng)掃描的確存在很大的危險性.而且我這里是端口轉向進(jìn)內網(wǎng),穩定性還有待考證.最重要的一點(diǎn)是不應該在突破口這臺機器上進(jìn)行過(guò)多行動(dòng),現在突破口的機器沒(méi)了,那么我內網(wǎng)拿下的機器,以及搜集到的信息也沒(méi)有任何作用了.
4.越挫越勇
思路:沒(méi)有那么容易放棄的,繼續想辦法殺進(jìn)內網(wǎng),看來(lái)還是要從腳本入手了.這里我想到了jsp站點(diǎn)的tomact安全型會(huì )不會(huì )存在問(wèn)題.
結果:成功再次殺進(jìn)內網(wǎng),拿下機器:10.107.0.44(圖4) | 10.61.18.40(圖5)(均為windows2003),以及10.67.1.1(圖6)的webshell.
方法:google搜索inurl: fudan.edu.cn jsp,在搜索到的站點(diǎn)后加入/manager/html,彈出登錄框,輸入賬號admin,密碼空.成功進(jìn)入.得到 webshell的方法是在tomacat里的上傳里上傳.war結尾的文件,這個(gè)文件里面包含了jsp馬,具體的可以參看黑手08第一期小魚(yú)寫(xiě)的文章. 這個(gè)方法直接得到了系統權限,要知道jsp配置不好,腳本的漏洞可以直接導致系統權限的淪陷.10.67.1.1的wenshell是通過(guò)sql注入得到,猜解出管理員賬號密碼,進(jìn)入后臺,上傳的地方不準許上傳asp文件,沒(méi)關(guān)系,在上傳文件后面加入一個(gè)空格即可突破,asp的wenshell可是沒(méi)有 jsp的大哦,不過(guò)基本沒(méi)設置權限,默認安裝的,替換了服務(wù),就等他重啟.
總結:管理員的弱意識讓我重新進(jìn)入內網(wǎng),很多管理員不熟悉tomact,基本默認安裝,jsp的安全是一個(gè)值得注意的問(wèn)題,不為別的,有了jsp馬,我都不用放后門(mén)了.
截圖:
5. 內網(wǎng)遨游
思路:仿佛回到了第一次進(jìn)入其內部的思想,不過(guò)這次比上次的思路肯定要精準點(diǎn)些,現在我們的到的機器分別為:10.107.0.xxx段的 12,41,36,44.以及10.61.18.40以及10.67.1.1,跨度為3個(gè)段,掛起cain嗅探,應該會(huì )有不小的收獲吧.現在的思路很明確,內網(wǎng)大的話(huà)往往沒(méi)用方向感,這時(shí)我想到了,在10.107.0.xxx段拿下域服務(wù)器的話(huà),那么在這個(gè)段我就可以穿行自如了.
結果:拿下了域服務(wù)器,上面安裝了鍵盤(pán)記錄.(圖7)
方法:用s.exe掃描53端口,一般域服務(wù)器才會(huì )開(kāi)53端口,得到結果為10.107.0.29,10.107.0.141為域服務(wù)器,dns溢出,成功進(jìn)入,安裝了鍵盤(pán)記錄,就等管理員上線(xiàn)了.
截圖:
6. 領(lǐng)土擴展
思路:10.107.0.xxx段基本搞定,繼續擴大戰果就要用到社會(huì )工程學(xué)咯,從密碼和人方面社工.
結果:通過(guò)fxp拿下了內網(wǎng)不少機器(圖8),可是主站沒(méi)有繼續下去,因為始終是非授權的.
方法:雖然沒(méi)有繼續下去,不過(guò)我整理了下思路.
1. 選擇在10.61.18.40上進(jìn)行遠程連接其他機器,雖然速度上會(huì )慢點(diǎn),但是在日志文件里面就不會(huì )留下我的外網(wǎng)ip.
2. 小澤老師說(shuō)要拿到拓撲結果,因為你不知道復旦的主站是內網(wǎng)的哪個(gè)ip,有可能是主站和分站是不同的集群,又有可能是相同的,太多可能了,拿到拓撲才可以了解清楚.怎么拿到拓撲呢?先得拿下一臺網(wǎng)關(guān)服務(wù)器再說(shuō),因為這里的網(wǎng)關(guān)是路由,我們拿下了就可以知道它給ip做的是怎么樣的策略.方法是,107段拿下了很多機器,一臺不停的ddos網(wǎng)關(guān),一臺不停的嗅探,網(wǎng)關(guān)掛了,必然重啟,這時(shí)就可以嗅到網(wǎng)關(guān)的密碼,之后拿到路由的策略就知道主站在哪個(gè)ip上,從而對其進(jìn)行嗅探.(圖9)
3. 從社工的角度來(lái)獲取權限,第一次進(jìn)入的時(shí)候我給管理員發(fā)過(guò)郵件提示過(guò),管理員跟我有一定的交流,從他的話(huà)中我知道了,分站是系里托管的機房,證明了主站跟分站不是一個(gè)集群,我得到了他的信任(圖10),那么我在郵件的doc上捆馬會(huì )是怎么樣的結果呢?拿到一臺網(wǎng)管機同樣可以達到拿到拓撲的目的,后面的方法就跟2是一樣的.
截圖:
7. 總結
安全檢測就此結束,我在這次安檢里面學(xué)習到了很多東西,一路下來(lái),我的思路很明確,玩滲透玩的不就是思路么,希望可以是有授權的檢測,畢竟沒(méi)拿下主站,有些遺憾.
