前言:这是在51CTO的第10篇文章,给大家来点给力的哈~这次的入侵检测在提权反弹连接上遇到了很多问题,让窝娓娓道来。
Let‘s Go!
一,对目标网站的信息收集。
http://www.XXXXX.cn IP:122.225.XX.XXX [浙江省嘉兴市 电信]
Server OS : Microsoft Windows NT 5.2.3790 Service Pack 2(xp || win server 03 sp1 or sp2)
Server Software : Microsoft-IIS/6.0 Web脚本:aspx 同IP无其他站点,旁注就算了
二,通过网站后台登陆处设计缺陷性直接 admin‘ or ‘1‘=‘1 拿下,也可以注入,但这样简单点,然后登陆后台上传aspx的webshell。怎么拿webshell,以后抽空写。
三,登陆webshell。这里有上传了3种webshell,方便使用。同时确认主机开放端口,内网地址,当前登陆账户的权限,远程桌面服务的真正端口,服务器版本为windows server 2003 。来进行下一步操作。
1521:oracle数据库 4899:radmin 3389:管理员不变态的修改的话就是远程桌面了
四,看起来太好提权了,实际不是滴,查看服务器的补丁,pr,巴西烤肉,server内核溢出等提权漏洞全部打补丁了。。。好像iis6提权没补丁,试一试,上传iis6.exe到可读写目录。
同时关掉主机的端口过滤。
iis6提权开始,一直到最后一刻都很顺利,直到……
需要的wmiprvse.exe找不到,查看进程,它存在,可是当前账户权限过低,没啥kill这个进程并重启找对应PID。。。失败。换个思路继续。
五,oracle数据库国内资料太少,但我还是尝试了好多种方法。服务器和数据库没有分离,找到web.config下载,然后远程登陆,准备利用oracle的漏洞试一试。
可能是网络原因,连接很不稳定,只能放弃。然后又尝试metasploit直接搞,搞主机,搞oracle,还是不行。继续。
六,思路回到本地提权再试一试。利用某个最新的本地提权漏洞,搞定!这里开始纠结了很久,因为没有回显,添加不上管理员。然后 猥琐的思路 来了,如下图 ↓↓↓↓↓↓
成功添加管理员账户,搞安全一定要思路那啥~嗯
七,远程连接走起。什么鬼。果然拒绝我的IP连接,没事,内网端口转发试试。
八,lcx走起,结果……本地nc监听不到反弹的连接,无语了我。。。又想了一会儿,决定上传reDuh转发。这货怎么用,后面抽空写。lcx,nc的用法前面我写过了,需要的可以自行查阅。
本地客户端连接服务端,同时nc监听1010端口。
ok了,转发了。
九,打开远程桌面,开始连接。
成功,服务器拿下,累死窝 呼呼~~~
十,输入刚才创建的管理员账户,密码登陆即可。
TIPS:我为啥没登进去截个图嘞~很多事嗯,各种痕迹清除又得折腾人,咱又没不良动机,学习技术是关键哈~