危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787850

对一虚拟主机的曲折提权

假期无聊,随便乱逛,来到了一个新加坡站点,网站很普通,估计是asp+Access的站点,随手点开一个页面,用“-0”、“-1”简单测试发现存在注入。立马将网址丢到啊D中,不一会儿,啊D就成功猜解出后台用户名密码。

密码被md5加密,在cmd5网上查得原文,登录后台,有种似曾相识的感觉,估计是国内的程序员开发的。后台有上传和数据库备份功能,马上上传图片木马,利用数据库备份顺利得到webshell。

利用菜刀连接,发现权限控制的并不严格,绝大多数目录能浏览。WEB站点目录统一放在“C:\Home\”下。看着如此多的文件夹,心里不禁乐了,看来这个虚拟主机上的网站还不是一般的多。

既然服务器是虚拟主机,那应该是支持aspx与php的了,测试发现绝大多数站点目录下支持aspx和php,但有的php站点目录并不支持aspx,看来管理员对目录的脚本执行类型进行了简单的区分。

分别在不同的目录中上传好aspxspy和phpspy,在aspxspy中能成功执行命令。输入“ipconfig/all”,发现有两块网卡,其中内网IP为10.10.174.200,而外网IP为*.*.*.200,估计内外网IP的末尾是一一对应的。IIS Ipy也能成功执行,域名和对应的文件夹路径。

继续执行命令“netstat -an”与“net start”查看了一下端口连接与服务开启情况,发现3389开放,服务器连接10.10.174:25的3306端口,并未发现有1433的连接,剩下的就是一长串的80连接了。

执行“systeminfo”查看下系统情况,系统是用的win的web版本,而非常见的企业版,管理员估计设置的自动更新,服务器满补丁运行,但还是抱着奢望尝试了巴西烤肉等提权exp,均失败。

远程连接其3389,5下shift看有没有后门,也并没有发现Hacker留下的踪迹。ftp服务是用微软自带的IIS搭建,服务器为每个站点都建立了唯一的用户,用net user可以查看到N多用户,都隶属于ftpusers组。翻遍了全盘,也没发现有mysql和MSSQL等数据库遗留或备份的痕迹。从前面执行的“netstat -an”结果中,此WEB服务器连接了10.10.174.25的3306端口,估计10.10.174.25被专门用做数据库服务器了。

来看看是否能利用下这个数据库服务器,在其中一个php站点的数据库连接中。

hostname是mysql而不是常见的localhost,在aspx马中执行命令“ping mysql”,其ip为10.10.174.25。既然WEB服务器弄不下,也就只好先看看这个数据库服务器。将上述信息填入phpspy中,连接成功,这时愣了,没想到这用户竟然能查看到mysql数据库。

马上选择mysql数据库,执行“select host,user,password,select_priv from mysql.user;”,执行结果所有用户全部显示出来了。将select-priv为Y的用户整理出来,拿去彩虹表破解之,三分钟不到,结果就出来了,用的纯字母。用root连接数据库服务器成功,利用mysql的load_file()读了下文件,没想到此服务器竟然是用的freebsd。这下就无奈了,要是windows就好啦,而linux下的权限区分的很分明,这个mysql的root用户只能读写普通文件了。读

了下“/etc/passwd”,一大溜的用户。

在aspxspy上对这台mysql服务器的端口开放情况进行了扫描,看是否提供web服务而开启了80、8080等端口。结果再度令人失望,只开放3306和65000端口。没有开放WEB服务,看来对这台数据库服务器的提权是无望了。想到web服务器内外网IP——对应的关系,猜测其外网lP估计为*.*.*.25,telnet其65000端口。

判断是正确的,这个65000是用来远程管理的,利用先前用load_file收集到的用户信息,尝试了几个弱口令均失败,将mysql的root密码作为密码也提示“Login incorrect”。

数据库服务器无法进展又只好回到WEB服务器上来,磁盘上文件都被翻了个遍也没有再找到什么敏感的信息。试试社工吧,继续利用“/etc/passwd”中的用户名和破解出mysql的root密码,N个组合后,突然RP爆发,管理员administrator所用的密码就是mysql的root密码。

登录成功后,发现内网中有相当数量的服务器,上传s扫描器,对内网中开放3389的主机进行了扫描,利用密码通用和MSSQL的sa弱口令又拿下了几台。

由于语言的关系,就没有再对这个内网进行深入下去,这个曲折的检测就告一段落了,在成功登录这台WEB服务器时,自己也是有一些欣喜与忐忑的,很有一种绝处逢生的感觉。各种提权exp无效,不提供mssql、mysql等数据库服务,ftp又是用的IIS自带,心里想着要放弃时,却利用管理员在对mysql用户权限分配上的一个小小疏忽,破解出了root的密码,成功获得了系统权限。很是感慨,社会工程,不失为一种高于技术的高深科学。大家们好好去发挥吧。 

相关推荐