這篇敘述性較強(qiáng)的日志文獻(xiàn)將全程記錄這次滲透，不管成敗如何。我將站在教程的角度去表述。希望給大家完整的滲透入侵的感覺。
----------------------------------------------------------------------------------------------------------
No.1
文章背景： 我那篇滲透臺(tái)灣情色視頻服務(wù)器群全程日志的文章相信大伙已經(jīng)看過了。去年的事，當(dāng)時(shí)進(jìn)行掛馬操作，導(dǎo)致權(quán)限丟失太快。這個(gè)周末重新整理日志的時(shí)候翻到它，決定再次進(jìn)行滲透。 61.**.***.230-254（具體ip我照例隱藏掉）
這一段是目標(biāo)公司的服務(wù)期ip，對(duì)外開放的端口是80，1027，17616（這個(gè)端口是我進(jìn)行全面掃描是才發(fā)現(xiàn)的）。服務(wù)器由于一早被我入侵過，原先開 放的21，5631都已經(jīng)封掉了。這使這次再次滲透變得艱難。這個(gè)17616端口我很奇怪，于是telnet到此端口看下banner信息，得到一個(gè)笑臉 圖標(biāo)。我記得好像是早一點(diǎn)的版本的mysql。用客戶端連接上去出現(xiàn)錯(cuò)誤。郁悶得一米，先放下不表。
（ps：因?yàn)槲沂诸^還保存著第一次入侵收獲的很多口令信息，所以才有此一試） 站點(diǎn)是asp mssql的，服務(wù)器去年是win2000。由于第一次的暴露，管理員重寫了代碼，封死了注射。這是經(jīng)我多次檢測(cè)得出的結(jié)論。
----------------------------------------------------------------------------------------------------------
沒法子，看下同c段的情況。
scan:
nmap -sT -p 80 -P0 61.**.***.2-229
我是用nmap進(jìn)行掃描的。簡單說下參數(shù)：
-sT 是tcp協(xié)議握手的方式掃描，好處是精度高。缺點(diǎn)是速度慢，容易被發(fā)現(xiàn)。（這里是臺(tái)灣人的站點(diǎn)，怕毛?。?-p 80 指掃80端口。多個(gè)端口用, 隔開，連續(xù)端口可用1-65500這樣的 -P0 指跳過ping這個(gè)環(huán)境。這掃描器默認(rèn)是要用ping來檢測(cè)遠(yuǎn)程主機(jī)是否存活的，目前大多數(shù)機(jī)子防火墻或者其他規(guī)則都是禁止ping的。所以加上這個(gè)參數(shù)。
后面是掃描的ip段。我取的是 2－229
---------------------------------------------------------------------------------------------------------
看了會(huì)電視回來收?qǐng)?bào)告，開80的機(jī)子很多。我陸續(xù)測(cè)試了一些。發(fā)現(xiàn)幾個(gè)切入點(diǎn)：
1. 50這個(gè)ip是個(gè)教育網(wǎng)站，找到注射點(diǎn)，可惜是db_owner權(quán)限＋內(nèi)網(wǎng)數(shù)據(jù)庫，暴字段的時(shí)候由于是繁體中文，工具報(bào)錯(cuò)。暫擱不表。 2. 142這個(gè)ip是一個(gè)交友網(wǎng)站（這個(gè)段交友網(wǎng)站很多）。jsp的（玩慣asp的見到它有點(diǎn)怕吧，哈哈）。簡單看了下注射，過濾了。注冊(cè)個(gè)號(hào)，需要身份證， 臺(tái)灣身份證是10位的，第一個(gè)是字母，我手頭有現(xiàn)成的，還有手機(jī)，也跟大陸的不一樣的很。很快注冊(cè)完成。既然是交友網(wǎng)站多半是可以傳相片的。看了下上傳， 直覺告訴我有上傳漏洞。老套路抓包，修改，nc提交。hoho順利得到一個(gè)jspshell（system權(quán)限的喔）。
No.2
前面拿到權(quán)限的機(jī)子，我讓大少幫我開了終端。其中遇到些納悶的鳥事就略過不談了。常規(guī)思路，在一陣基本的檢查后，沒有獲取有價(jià)值的東西。偶打算開始嗅探。 偶給肉雞做了個(gè)即時(shí)的ftp，隨用隨關(guān)，方便傳東西。用xlight做的。
把cain打了個(gè)包上去（這東西的好處是不用安裝，驅(qū)動(dòng)安裝也不用重啟就可以使用），看了下肉雞的program files文件夾已經(jīng)有了winpcap了，可能是大少安裝的吧。偶樂得偷閑，打開cain。暈死，連網(wǎng)卡都找不到。郁悶了我一陣。后來一想，應(yīng)該是驅(qū)動(dòng)問題，重新安裝下cain安裝包自帶的驅(qū)動(dòng)就可以使用了。 略做配置。scan了下mac，host列表有138，139，151，152，155，156，157，158，沒有我的目標(biāo)。
但是我在139這個(gè)ip訪問的時(shí)候，出現(xiàn)的是一個(gè)情色視頻站點(diǎn)，jsp的web腳本，結(jié)構(gòu)跟142很相似，從一些特征上分析，跟我的目標(biāo)也很有共同點(diǎn)。于是決定就對(duì)它進(jìn)行arp欺騙。
選擇arp，添加對(duì)139--158的通訊方向進(jìn)行欺騙。158是網(wǎng)關(guān)ip。一會(huì)就看到password里出現(xiàn)http登錄口令了?？戳讼驴诹畛霈F(xiàn)的速度，不快。于是斷開肉雞終端，看電影，明天上去檢查。
----------------------------------------------------------------------------------------------------------
第二天，連上去得到很多口令。全是http的。略作分析整理：
得出一些經(jīng)營模式：他們的管理是挺成熟的。網(wǎng)站分公司管理入口，經(jīng)銷商入口，視頻主持人入口和客戶入口。公司管理負(fù)責(zé)對(duì)客戶數(shù)據(jù)進(jìn)行維護(hù)，各經(jīng)銷商獨(dú)立的，其下瞎有視頻主持（小姐）。
供應(yīng)商帳號(hào)密碼特征：
606a/6abc1234
605a/5abc1234
其所轄小姐的帳號(hào)密碼特征：
606a01/123456
606a02/123456
......
605a03/123456
.....
注意到?jīng)]？帳號(hào)應(yīng)該是系統(tǒng)按一定規(guī)律分配的，密碼默認(rèn)也是有規(guī)律的。小姐密碼默認(rèn)是123456，她們幾乎都沒改。而經(jīng)銷商和他們所轄小姐之間的帳號(hào)有存在聯(lián)系。hoho
客戶注冊(cè)是需要經(jīng)過手機(jī)這道關(guān)卡的，所以俺不能注冊(cè)。不過嗅探也得到很多客戶口令。公司管理人員的信息還未嗅探到。
-----------------------------------------------------------------------------------------------------------
首先用小姐的帳號(hào)登錄進(jìn)去。為啥先挑她們？因?yàn)榫W(wǎng)站上都有小姐的照片，有照片就該有上傳，此web程序跟我們前面通過上傳拿下的已經(jīng)可以認(rèn)定是同一款，那么也應(yīng)該有繞過驗(yàn)證的漏洞。so...
登錄后發(fā)現(xiàn)，除了上班視頻外就是業(yè)績查詢，后臺(tái)很簡單。 繼續(xù)用經(jīng)銷商帳號(hào)登錄。發(fā)現(xiàn)上傳。原來小姐的管理都是由經(jīng)銷商來完成的，資料都是他們輸入的。（模式蠻成熟的）上傳是肯定有漏洞。老套路抓包，NC提交。拿到shell。和上臺(tái)機(jī)子一樣，遠(yuǎn)程管理是用radmin的。輕車熟路，本地安裝一個(gè)radmin，端口設(shè)置跟它一樣8899，設(shè)置密碼，導(dǎo)出注冊(cè)表，上傳到d:\my.reg.目標(biāo)主機(jī) 導(dǎo)出注冊(cè)表regedit -e d:\bal.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin 備份下。 然后net stop "Remote Administrator Service" 導(dǎo)入咱的regedit /s d:\my.reg繼續(xù) net start “Remote Administrator Service” ok，radmin連上去。加個(gè)用戶，hoho為所欲為了。用完后還原備份，刪除閃人。 問題是，我通過圖形界面開啟終端，默認(rèn)是3389端口，卻發(fā)現(xiàn)被硬防攔了。看來只能端口轉(zhuǎn)發(fā)了。radmin畢竟用來太風(fēng)險(xiǎn)。又多了臺(tái)肉雞。 No3. 拿到權(quán)限后，我啟用肉雞的遠(yuǎn)程桌面，并修改端口，肉雞是使用自帶的防火墻，我設(shè)置其允許出站，即可遠(yuǎn)程登陸了。配置上與前一臺(tái)沒什么差別。由于目標(biāo)是視訊網(wǎng)站的數(shù)據(jù)庫，所以我翻看tomcat的conf目錄，查找數(shù)據(jù)庫連接信息。郁悶的是并沒有找到口令。（jsp我也沒咋接觸過）后來才知道管理員用的是空口令，汗倒。人家禁止外部連接，所以不設(shè)口令。上傳了個(gè) mysql-front (mysql數(shù)據(jù)庫圖形編輯工具)，翻查數(shù)據(jù)庫表。把用戶表和管理表導(dǎo)出，并下載回本地。這時(shí)我發(fā)現(xiàn)有個(gè)表allowedip很奇怪，分析一下，才知道原來管理員帳號(hào)登陸后臺(tái)是有IP限制的，未經(jīng)允許的ip不能登陸，夠嚴(yán)格啊。
更BT的是，設(shè)計(jì)者在網(wǎng)頁的很多頁面加了如下代碼：
以下是引用片段：
<script LANGUAGE='javascript'>
var wwwname=navigator.userLanguage;
if(wwwname =='zh-cn')
window.location.href='401.htm'; 啥意思？屏蔽掉簡體中文瀏覽器訪問了。我是用firefox訪問所以沒有問題的。NND，把他去掉。
經(jīng)一番折騰已經(jīng)拿到所有權(quán)限。所以日志也就沒有繼續(xù)的必要了。完

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。