对虚拟主机的曲折提权

情话
情话
情话
42
文章
2
评论
2018年12月9日13:37:56 2 10.7K 2130字阅读7分6秒

对虚拟主机的曲折提权

假期无聊,随便乱逛,来到了一个新加坡站点,网站很普通,估计是asp+Access的站点,随手点开一个页面,用“-0”、“-1”简单测试发现存在注入。立马将网址丢到啊D中,不一会儿,啊D就成功猜解出后台用户名密码。

密码被md5加密,在cmd5网上查得原文,登录后台,有种似曾相识的感觉,估计是国内的程序员开发的。后台有上传和数据库备份功能,马上上传图片木马,利用数据库备份顺利得到webshell。

利用菜刀连接,发现权限控制的并不严格,绝大多数目录能浏览。WEB站点目录统一放在“C:\Home\”下。看着如此多的文件夹,心里不禁乐了,看来这个虚拟主机上的网站还不是一般的多。

既然服务器是虚拟主机,那应该是支持aspx与php的了,测试发现绝大多数站点目录下支持aspx和php,但有的php站点目录并不支持aspx,看来管理员对目录的脚本执行类型进行了简单的区分。

分别在不同的目录中上传好aspxspy和phpspy,在aspxspy中能成功执行命令。输入“ipconfig/all”,发现有两块网卡,其中内网IP为10.10.174.200,而外网IP为*.*.*.200,估计内外网IP的末尾是一一对应的。IIS Ipy也能成功执行,域名和对应的文件夹路径。

继续执行命令“netstat -an”与“net start”查看了一下端口连接与服务开启情况,发现3389开放,服务器连接10.10.174:25的3306端口,并未发现有1433的连接,剩下的就是一长串的80连接了。

执行“systeminfo”查看下系统情况,系统是用的win的web版本,而非常见的企业版,管理员估计设置的自动更新,服务器满补丁运行,但还是抱着奢望尝试了巴西烤肉等提权exp,均失败。

远程连接其3389,5下shift看有没有后门,也并没有发现Hacker留下的踪迹。ftp服务是用微软自带的IIS搭建,服务器为每个站点都建立了唯一的用户,用net user可以查看到N多用户,都隶属于ftpusers组。翻遍了全盘,也没发现有mysql和MSSQL等数据库遗留或备份的痕迹。从前面执行的“netstat -an”结果中,此WEB服务器连接了10.10.174.25的3306端口,估计10.10.174.25被专门用做数据库服务器了。

来看看是否能利用下这个数据库服务器,在其中一个php站点的数据库连接中。

hostname是mysql而不是常见的localhost,在aspx马中执行命令“ping mysql”,其ip为10.10.174.25。既然WEB服务器弄不下,也就只好先看看这个数据库服务器。将上述信息填入phpspy中,连接成功,这时愣了,没想到这用户竟然能查看到mysql数据库。

马上选择mysql数据库,执行“select host,user,password,select_priv from mysql.user;”,执行结果所有用户全部显示出来了。将select-priv为Y的用户整理出来,拿去彩虹表破解之,三分钟不到,结果就出来了,用的纯字母。用root连接数据库服务器成功,利用mysql的load_file()读了下文件,没想到此服务器竟然是用的freebsd。这下就无奈了,要是windows就好啦,而linux下的权限区分的很分明,这个mysql的root用户只能读写普通文件了。读

了下“/etc/passwd”,一大溜的用户。

在aspxspy上对这台mysql服务器的端口开放情况进行了扫描,看是否提供web服务而开启了80、8080等端口。结果再度令人失望,只开放3306和65000端口。没有开放WEB服务,看来对这台数据库服务器的提权是无望了。想到web服务器内外网IP——对应的关系,猜测其外网lP估计为*.*.*.25,telnet其65000端口。

判断是正确的,这个65000是用来远程管理的,利用先前用load_file收集到的用户信息,尝试了几个弱口令均失败,将mysql的root密码作为密码也提示“Login incorrect”。

数据库服务器无法进展又只好回到WEB服务器上来,磁盘上文件都被翻了个遍也没有再找到什么敏感的信息。试试社工吧,继续利用“/etc/passwd”中的用户名和破解出mysql的root密码,N个组合后,突然RP爆发,管理员administrator所用的密码就是mysql的root密码。

登录成功后,发现内网中有相当数量的服务器,上传s扫描器,对内网中开放3389的主机进行了扫描,利用密码通用和MSSQL的sa弱口令又拿下了几台。

由于语言的关系,就没有再对这个内网进行深入下去,这个曲折的检测就告一段落了,在成功登录这台WEB服务器时,自己也是有一些欣喜与忐忑的,很有一种绝处逢生的感觉。各种提权exp无效,不提供mssql、mysql等数据库服务,ftp又是用的IIS自带,心里想着要放弃时,却利用管理员在对mysql用户权限分配上的一个小小疏忽,破解出了root的密码,成功获得了系统权限。很是感慨,社会工程,不失为一种高于技术的高深科学。大家们好好去发挥吧。

 

本文转载:危险漫步

继续阅读
情话
  • 本文由 发表于 2018年12月9日13:37:56
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
渗透经验分享之文件操作漏洞拓展 渗透笔记

渗透经验分享之文件操作漏洞拓展

上文分享了注入相关的东西,注入也可以对文件进行操作,本文是对文件操作漏洞的拓展。 文件操作漏洞 文件上传 文件读取 文件写入 文件删除 文件包含 一般java的站点存在文件系列的洞比较多(除了文件包含...
渗透经验分享之SQL注入思路拓展 渗透笔记

渗透经验分享之SQL注入思路拓展

写在文前 从实习到现在,因为从事打点工作的原因,实战经验积累了很多,就想写一些自己在实战中碰到的问题,以及自己的解决方法,因为保密的原因大多数不提供复现环境和截图,权当对渗透思路的一个拓展吧。可能会多...
渗透培训《文件包含》漏洞 渗透笔记

渗透培训《文件包含》漏洞

原理 文件包含漏洞产生的原因是在通过php函数引入文件时,由于传入的文件名没有经过合理的校验,从而引发了文件的泄漏或者恶意代码的注入 本文包含 图片马使用教程(很多人知道图片马却不知道使用方法) 积极...
广告也精彩
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:2   其中:访客  2   博主  0
    • ty ty 1

      6666