这是我渗透过程中的一次真实经历,我也没有想到在经过两天的时间拿到主站服务器时,主站程序却放在主站服务器的虚拟机上,跑的是一个linux系统,进入需要root用户名和密码,但那个root用户名和密码却没有找到,那怎么办呢?
是一个排名很高的台湾站点,有很多分站,我一个一个的分站查询,在一个分站上扫描网页目录和文件夹的时候得到一个admin.txt文档,里面记录了分站的分布对应的内网ip.有了分站的详细情况就不用那么麻烦去google上翻了.信息收集是渗透过程中一个很重要的环节.在一个stor.xxx.com.tw分站上,注册了一个用户,在用户里面有一个搜索框,输入ddd'暴错,打开nbsi,用ssl预载入,是一个db权限的注入点,得到了一个一句话马的webshell,也就是一个突破口.
但提权是个难题,因为这个分站只开了80端口和3389端口还有一个mssql数据库,但调用的都不是sa权限的帐号,猜了半天也没有猜到,权限也设得很严,网站目录没有修改和编辑权限.备分出来的一句话马写不上大马,但d盘管理员存放的是一些常用的软件,有写入权限,也只有通过一句话马的下载功能下载文件到这上面.
这时我觉得提权的机率很小,因为服务器没有其它什么服务,再加上我个人从没有拥有过0day之类的杀手工具.
我制作了一个chm的木马,并且是用鸽子做的,chm马不错,只要打开了就是百分之百的中的.然后将chm木马上传到空间里,用一句话马的下载功能将它下载到目标机的d盘上.我没有把握管理员会运行它,但它不是exe文件,如果名字取得好,管理员有也打开它的可能,即使不是在服务器上打开,也会在管理员的个人机上打开.于是我名字取得很长-----help me help me help me help me.chm
我只是习惯性的做了这一步,接着继续检测其它的分站点.......
过了几天,鸽子上上来了一台肉机,我甚至忘了这个肉机是哪个服务器的管理员中的,因为我放了几个chm马在不同的网站上,就只上来了一台服务器,还算幸运吧.
如图:图1
javascript:resizepic(this) border=0>
鸽子上面的肉机是服务器,下面的就是管理员机器,分了一下组.
从图中我们看到,有一个"flashxp"文件夹,我一般有习惯把肉机上的这个文件夹拖过来,然后在站点管理里面,用星号查看器,找出密码,然后把信息收集起来分析.
图2
javascript:resizepic(this) border=0>
如图,从这个里面我得到很多有用的信息,也进一步了解到这个机器是管理员搞开发的一个机器,是windows2003系统,ftp他用了一个很习惯性的密码:0956079xxx,我再开了它的3389,试了试adminisotrator/0956079xxx 进行登录,登录失败,再用这个密码登录一下先前那个分站的3389,也不对,看来他常用的密码跟系统密码不是一个密码,那么它的系统密码可不可能与远程3389的密码一致?
[1] [2] 下一页