某天群里发了一个连接,然后众多基友一起搞。。。。。。
#1 收集信息
Windows server 2003的系统,网站容器是IIS6.0,数据库是MSSQL,权限是SA,开启xp_cmdshell扩展组件。
通过报错得到网站绝对路径为:g:\school\
由于该网站内网很大,而且都不是托管在某个IDC,都是自己买服务器自己买网络设备请人运维,所以导致没有CDN,有很多个子域,每个子域对应一台独立服务器,其中每个子域的操作系统都不同,有NT系统,有Linux系统,内网不算特别复杂。
#2 突破口
突破口纯粹是靠思路,找这个突破口找了我三天,第三天利用这个突破口直接拿到子域控制器管理员权限。
网站后台如下: http://www.xxxxxxxx.com/admin/login.aspx
打开后发现后台界面很熟悉,尝试了一下发现有POST SQL注入
这里是真的坑,知道了网站的绝对路径,并且是SA权限xp_cmdshell又是开启的,可以直接写一句话,但是写了半天都回显盘符不存在,而且发现数据库挂了但是网站容器没挂,遂推测站库分离。
附上aspx的菜刀一句话
用dir命令递归查找a-z盘符,发现存在C盘 S 盘 Q盘 R 盘,在R盘发现大量的网站数据库备份,估计是定时备份的任务。
#3 渗透开始
通过whoami发现权限是管理员权限,ipconfig发现是内网IP,思路如下:
1、通过VBS下载LCX到目标服务器,转发目标的3389端口到外网服务器
2、通过VBS下载远控直接到目标服务器执行,即可。
既然思路有了,那就echo写vbs脚本了。
保存在当前路径,在os-shell会话中执行dir得到路径为c:\windows\system32下。
不能做目录跳转,不能切换其他盘符,很蛋疼。
写好后通过 cscript 6.vbs执行脚本,然后发现又是非常蛋疼。
这个网站的数据库非常脆弱,很容易挂,所以就造成vbs脚本不完全,执行错误,下载失败等问题。
陆续写了几十个vbs终于有一个能用,成功下载LCX执行后发现LCX莫名其妙没了。。。。。
还有杀软。
最后用玄学搞定了杀软执行LCX却发现怎么都反弹不到我的服务器上,显示error data。。。。。
然后查看3389是否开启执行:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal' 'Server\WinStations\RDP-Tcp /v PortNumber
结果妈的发现没回显16进制的数字。。。
使用tasklist /svc后发现数据库被我跑挂了。。。
然后又是开启玄学
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal' 'Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
然后
tasklist /f /t /im lcx.exe
在重复了几十次之后,我终于看到了windows 2003的登录界面。
然后就是添加用户,添加了好几个小时
因为你会看到明明回显成功添加,而且net user可以看到添加用户,但登录的时候就显示用户不存在或者用户不在远程管理组。。。
无比蛋疼删掉用户重来。
然后一次偶然的尝试,进来了。。。
然后发现这只是这台子域控制器的小弟账号,我要拿到管理员。
然后传法国神器。
注销使用Administrator登录子域拿到这台子域控制器的管理员权限。
至此我控制了MSSQL服务器,挺有意思,不止一个网站的数据在这台服务器上。
然后开始搞域控。
域控是一台08的服务器。
尝试了很多办法均告失败,SHA1估计破解也失败了。
然后开始。。。
估计这个东西动静太大,给管理员发现了。。。
文章最后总结一下思路。
文件报错发现绝对路径(SA权限)-->后台万能密码登录-->POST SQL注入-->2003系统X64,IIS6.0-->SA权限-->xp_cmdshell-->发现服务器没有g:\盘-->推测站库分离-->whoami-->管理员权限-->ipconfig-->内网-->vbs下载LCX-->开启3389-->转发到外网服务器-->添加用户-->法国神器-->拿到子域管理员--->尝试解密SHA1密文--->ARP嗅探
写在最后:
想要目标网站的可以在下面留言告诉我这张图的答案。
谁能告诉我,1-9都是什么人?在哪部电影里?
因为我真的好想看啊!!!
联系客服