误打误撞渗透进一台古老的台湾服务器

admin

0×01 起因

这些天渗透一个台湾的网站，但是由于目标找错了 于是就有了下面的故事。

0×02收集信息

先大概看了一下域名和环境  主要有三个 ：  

www.xxx.org.tw 主站  在一台windows2003服务器上  iis6

epaper.xxx.org.tw  电子报  也是在一台windows2003服务器上 iis6  和主域名在一个C上

webmail.xxx.org.tw  邮件系统  在一台linux服务器上 apache  和主站在一个C上

caucus.xxx.org.tw     看不懂那个繁体字。。

主站是php的  我想先了解一下主站的大致框架  就直接拖WVS里面跑去了  结果一会我就上不去了  目测是被检测系统加入黑名单了 汗。。我只有一个vpn 咋办。。。

最后发现那个繁体字的可以上去  我觉定尝试渗透那个站

那个站php的程序 但是有些奇怪 用js做的链接  有些晕  找不到参数  尝试构造了几个 都不对 服务器上只有那一个站   最后决定C段 先放到工具里找一下C段有哪些服务器 找到的如下
                              

点开几个网站 有一个是邮件系统 有一个是摄像头监控（看了一会 挺有意思）最后我把目标锁定在了一个ip上  一个食品店。

0×03初次尝试

我先看了一下网站，应该是自己开发的程序，因为我google了一下没有发现类似名称的脚本文件。尝试mstsc连接3389  但是被拒绝了   于是放到WVS里跑 自己先干点别的。。 做什么呢，因为服务器版本很旧，我想尝试一下直接溢出攻击。于是上vps打开 msf  网站最后的文章更新时间是2009年，应该服务器很久没维护了，先试了试ms08-067  结果没有成功  


                                                
  

又search了几个溢出的漏洞  都失败了 看来直接从msf溢出有点困难   然后看了看WVS的结果

太好了 有Sql注入  找到了后台界面  还找到了注入点    six_pro_class_data.asp?cla_id=31  

应该看了看是数字型的  就直接在数字后面加了个a  然后报错
                                                              
                                       

                    

看了看应该是access的数据库  就放到明小子里跑  结果没跑出东西来  于是放到Sqlmap里面去 那个字典大  跑了一会 竟然显示是windows 2000的服务器！  过了一会跑出了表名  admin_login  但是字段跑不出来了 只跑出来一个c_id…蛋疼   这时候想起论坛一个朋友发过的 偏移注入  传送门:http://sb.f4ck.net/thread-3115-1-2.html  

尝试了一下   但是表只有7个  就是说 union select  1,2,3,4,5,6,7就结束了  就没有成功  不知道是不是方法不对  大牛可以帮忙回答一下。。

最后想了想  因为已经跑出来了一个表名是c_id  我猜想其他的可能也是c_什么的  于是自己做了个字典  在sqlmap的字典上全都批量加上c_   惊喜出现了 跑出来了c_username  c_passwd 的表名  数据也就出来了 用户名有四个 密码都是1234   进后台看了一下  非常简陋  图片都是从ftp上传的貌似  没找到其他上传的地方 蛋疼了  思路一下子断了

0×04 峰回路转   

我记得看过一句话 渗透这东西就是在绝望的时候忽然找到一个突破点  然后把目标撕个粉碎

没法上传  只能想别的思路了  我看管理员密码都设置的挺弱智的  我想试着猜一下ftp的密码  在试到第三个的时候 进去了！竟然根目录是在c盘下！

                                                            
                              

本来可以直接替换sethc.exe  但是3389连不上 我觉定还是先上传个asp大马 结果上传上去 发现访问错误  貌似是iis版本太低了 上传了好几个都不行  最后干脆上传一句话  然后菜刀连接  这次成功了！打开菜刀带的虚拟终端  先ipconfig 看了一下  是在内网  然后netstat -an看了一下

                                                         
                                                            

3389没开 但是有个奇怪的3456端口 我猜想可能是改成3456了 想lcx转发出来试试  但是蛋疼的是 lcx -listen 8080  3389   然后服务器转发  但是8080端口一直迟迟接收不到数据包。。。。蛋疼   尝试pr提权 但是服务器太老了 不成功。。f4ck工具包里有个iis5的提权  结果传上去被杀了  晕  思路又断了

随便翻打开的东西  忽然发现进入ftp的时候显示的是serv-u  赶紧找到serv-u的目录  看了一下配置文件  因为ftp可以修改的  所以直接在权限里加个E 就能执行命令了


                                                      

ftp上去 输入  quote site exec ipconfig  竟然显示error2  我去！ 这咋办？  google一下  最后发现一个小黑阔以前也遇到过  他的解决方案是自己上传个net.exe  我把他本地的复制到c盘根目录下 然后执行  成功了！ 提权成功了


                                                           


                                                         

但是3389连接不上  想着放个木马上去  结果被杀了   我又不想麻烦人家去做免杀     这咋办？   漫无目的的看打开的程序  看了看端口  发现5631端口是打开的！  也就是说 这台古老的服务器上安装了 pcAnywhere！然后去C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere目录中下载了它的  cif文件，再用放到破解器里得到了用户名和密码  


                                            


最后连接上去  控制了这台古老的windows 2000服务器


提下服务器就该进行内网渗透了 菜鸟一个 用cain嗅探  上传cain嗅探  但是发现c段中只有一台服务器！  这次傻眼了   但是也不像是CDN做的  有大牛能给小菜解答一下吗？最后 在凌晨5点  我结束了这次渗透  看着这台古老的windows2000服务器  忽然想起了以前的日子。。