某天比较无聊,听一个朋友推荐httpscan这款工具,因而就下载下来试试。php
首先对某学校网段开始进行测试。html
|
1
|
|
python httpscan.py **.**.**.0/24
测试时发现有个比较特殊的标题。通常有这个,证实存在目录遍历。python
目录遍历这个漏洞,说大也不大,说小也不小,可是,通常来讲,存在这种目录,能够证实网站管理员比较粗心,固然也有可能会把一些敏感文件放在上面,如数据库文件,帐号文件等。web
尝试google搜索shell
|
1
|
|
1 intitle:Index of /
能够找出好多这种例子。能够撞运气试一下有没有敏感文件泄露,而后进一步拿下一个站。数据库
开始渗透
当时访问后,发现是如下的情况。服务器
这个就又比较开心,看到了phpinfo。工具
这个文件和目录遍历漏洞性质也差很少,说大也大,说小也小。测试
phpinfo属于处在信息收集阶段的一个重头,当有了这些信息,能够看出服务器端调用了那些库,以及一些敏感路径,从而进行深刻的漏洞挖掘。用途也是很广的。网站
因此建议各个站长,不要将这个文件泄露出来。
phpinfo先放一边,先点开1目录看一下,发现是一个discuz 3.2的站
尝试搜索discuz 3.2 getshell,最终发现有个后台插件配置致使getshell,但此时咱们没有后台权限。
因而继续搜索,也没发现什么有价值的。
因而改变思路,想一下如何能进入后台。
尝试弱口令登陆,最终admin admin 成功登陆后台。
当时的心情是绝望的。
瓜熟蒂落,直接进入后台,找到好贷站长联盟 2.0.2安装,并启用。
而后进行配置,输入咱们的一句话便可。
成功拿到shell
控制服务器
固然,这么简单的渗透,拿到shell确定是不够的。
要想办法进而打开3389,成功夺取服务器权限,这样能够实现长久控制。
首先shell打开命令行,查看一下用户权限
固然,因为用的是蚁剑,已经说明了。
此时由于用的就是最高权限,因此就不用再进行提权了。
此时咱们能够尝试建立新用户,并赋于其管理员权限。
|
1
2
|
1 net user hacker 123456 /add 2 net localgroup Administrators hacker /add
此时再次输入net user便可查看到你建立的用户。
而后尝试3389连接,发现没法连接。
此时第一反应必定是,他改端口了。
由于毕竟是服务器,不可能不经过远程桌面连,每天抱个显示器去机房。
因而须要找到其3389端口修改后的端口。
首先查看一下端口占用状况:netstat -ano
发现果真是没有3389,此时能够猜想一下,感受那个像就连那个,多试几回就行了。
可是,咱但是一个有抱负的技术宅,怎么可能用这种几率事件!
因此,能够经过查看一下当前运行的服务,定位pid后,到端口占用里面对比。
首先tasklist /svc而后寻找TermService,记录下中间的pid号。
而后返回以前的端口占用状况图中寻找5492,能够轻易发现,3389端口被改到了65530
而后尝试用咱们帐户经过 mstsc连接过去便可
最终成功拿下服务器。
作到这步的时候,已经能够说是结束了,可是!若是被管理员发现帐户后删除了怎么办呢?
此时须要找一下管理员的密码。
经过一款老师推荐的软件,最终查询到了管理员的密码。
寻找管理员密码
使用工具mimikatz。
首先下载该工具,而后上传到目标机器。
按目标机器环境,使用合适的位数(32or64),直接执行。
而后在工具窗格内依次输入如下两条命令便可
第一条:privilege::debug //提高权限 第二条:sekurlsa::logonpasswords //抓取密码
在这里,因为隐私问题就不放截图了。
最后再说一点,这几步,虽说实现了长久的控制,可是仍是有所欠缺,毕竟管理员一旦发现有其余帐号,在删掉的同时也会将本身的密码改掉。
因此通常大佬们都是直接放入本身的远控木马,进而持久控制。
漏洞威胁以及修复建议
- 在该服务器下发现存在teamviewer,怀疑有人已经拿下该服务器,进而实现长久控制。
- 该服务器大部分数据为14年左右,且网站彻底没用,建议关闭该台服务器。
- 网站内敏感数据建议删除或备份到其余地方。
- 建议对服务器集群内文件实施清理,减小没必要要文件泄露。
总结
此次渗透测试,比较胆战心惊,由于一环一环,犹如是一个蜜罐在引本身上钩。
可是考虑到以前老师对本身进行漏洞挖掘的支持,仍是进行了下去。
感受这台服务器以前应该是测试用的,最后忘了还跑着服务,最终致使被拿下。
转自:丶诺熙
http://blog.5am3.com/2018/05/04/web-testing-one/