当前位置:首页 > 未分类 > 正文内容

(原创)web 渗透实例之克市教育局内网渗透 — 市十六小

admin10年前 (2016-12-30)未分类563

引言

下午元旦搞活动不上课,在机房浪一波。想到上次内网提权了学校饭卡管理服务器,便把 bugscan 的节点加到这个服务器了 —— 因为该服务器处于教育局内网,bugscan 直接扫出来了很多内网 IP 的网站,渗透了一波,如市三中、新一中、十八小、十六小等等。

之前暑假对教育局 web 站点渗透都是外围渗透,提交了新一中、五中、科技中心等网站的漏洞。如今再内网渗透一番,果然几十万的防火墙设备不是盖的,而是……

正文:内网渗透过程

1. 漏洞扫描与目标发现

bugscan 扫描到十八小等多个 web 站点,初步确定渗透目标:

2. 目录浏览漏洞与 XYCMS 默认密码登录

  • 进入部分站点后,发现存在目录浏览漏洞,可直接查看服务器目录结构:

  • 针对 8011 端口的站点,发现其使用 XYCMS 系统,尝试默认账号密码admin/admin,直接登录成功:

3. XYCMS 后台拿 shell 与权限尝试

  • 插入一句话木马:在 XYCMS 后台 “配置” 模块中,于 “网站名称” 后插入一句话木马,保存配置后生成后门文件:

  • 菜刀连接与权限测试:通过菜刀连接后门地址 http://172.20.72.131:8011/inc/config.asp(密码:ssn),尝试执行命令时发现权限不足;上传 ASP 大马后执行 CMD 命令仍失败,推测依赖WScript.Shell,遂上传独立 CMD 工具尝试:

4. 服务器补丁扫描与提权

  • 补丁检测:执行命令扫描服务器常用漏洞补丁安装情况,发现多个关键补丁未安装(如 KB952004、KB956572、KB2393802 等):

dir c:\windows\ >a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del/f /q /a a.txt

  • PR 提权:利用未打补丁的漏洞,上传 PR 提权工具,执行后成功获取system权限:

5. 读取服务器账号密码与弱口令发现

  • 获取密码文件:上传getpass工具(命名为 1.exe),通过 PR 工具执行命令,将密码输出到指定文件:

D:\12\pr.exe "D:\12\1.exe>>D:\12\13.txt"

  • 查看密码:通过菜刀打开D:\12\13.txt,获取服务器管理员账号密码:

    • UserName: Administrator

    • LogonDomain: K18X

    • password: k18x(弱口令)

总结

曾经一个叔叔给我讲了个笑话,说 “教育局有几十万的防火墙设备,怎么可能攻得进去”。但实际渗透中,暑假从外围突破后,内网渗透几乎未受防火墙阻碍 —— 没有绝对安全的系统,更何况多数漏洞出在人的疏忽(如弱口令、未打补丁、默认密码等)!

后续计划:在内网直接爆破 3389 端口,生成弱口令字典,提高内网服务器渗透效率。


扫描二维码推送至手机访问。

版权声明:本文由克拉玛依十三年年社团发布,如需转载请注明出处。

本文链接:https://www.klmyssn.com/?id=20

分享给朋友:

“(原创)web 渗透实例之克市教育局内网渗透 — 市十六小” 的相关文章

(转载) 告诉你被盗的 iPhone 是如何一步步被黑客解锁的 [解锁 iPhone]

(转载) 告诉你被盗的 iPhone 是如何一步步被黑客解锁的 [解锁 iPhone]

写在前面的话iPhone 到底安不安全?这个梗已经讨论了很久了。而我今天要告诉大家的是,就算你的 iPhone 6s 设置了六位数字密码,并且还有 touch ID 的保护,黑客同样能够解锁你的手机。故事背景就在三天之前,有一名用户告诉我们他的 iPhone 6s 被偷了。就在他的手机被盗之后不久,...

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

每每到了学校有活动,需要播放歌曲时,QQ 就多几个好友,消息又 99+,不消问什么事情,就知道是找我剪辑歌曲的同学了。怎么说,我这人对别人提出的需求,都尽力去帮助的,在剪辑音乐这事情上,从没拒绝过,但年复一年,每次剪辑音乐其实很简单,但是量多,就比较影响自己时间了,我又不会拒绝别人,很是尴尬,所以在...

(原创)sqlmap 注入初级教程 [sqlmap][sqlmap 指令][sqlmap 怎么用]

(原创)sqlmap 注入初级教程 [sqlmap][sqlmap 指令][sqlmap 怎么用]

一、熟悉 sqlmap 之路:核心注入场景与方法1. Sqlmap 之 Post 注入Post 注入适用于表单提交(如登录页、数据提交页)等场景,核心是通过抓取 Post 请求数据进行注入测试,以下为 4 种常用方法:方法一:基于请求文件(-r 参数)# 基础用法(请求文件与sqlmap同目录)sq...

(原创) 校园卡破解系列之数据修改 [pm3 破解饭卡][pm3 修改数据][校园卡修改][IC 卡修改数据]

(原创) 校园卡破解系列之数据修改 [pm3 破解饭卡][pm3 修改数据][校园卡修改][IC 卡修改数据]

(二)吃不完的饭卡提升完 IC 卡权限,就该考虑能不能修改饭卡金额了。通过两次消费前后饭卡数据的对比分析,发现虽然卡片数据包含较多扇区和区块,但消费前后变化的地方仅涉及两个扇区,这为后续分析提供了便利。通过十六进制与十进制转换,可进一步拆解变化的数据:消费后金额:373.2(数字:37320;16...

(原创)Powershell And Metasploit (上)

(原创)Powershell And Metasploit (上)

00x01 #题外话作者: 墨 (X_Al3r)即刻安全:www.secist.com十三年社团:www.klmyssn.com一篇不知道该用什么名字的文章!00x02 #什么是 PowershellPowerShell 一般指 Windows Power ShellPowershell 是 Mic...