快速對虛擬主機進行滲透提權-黑客博客

假期無聊，隨便亂逛，來到了一個新加坡站點，網站很普通，估計是asp+Access的站點，隨手點開一個頁面，用「-0」、「-1」簡單測試發現存在注入。立馬將網址丟到啊D中，不一下子，啊D就成功猜解出後臺用戶名密碼。

密碼被md5加密，在cmd5網上查得原文，登陸後臺，有種似曾相識的感受，估計是國內的程序員開發的。後臺有上傳和數據庫備份功能，立刻上傳圖片木馬，利用數據庫備份順利獲得webshell。

利用菜刀鏈接，發現權限控制的並不嚴格，絕大多數目錄能瀏覽。WEB站點目錄統一放在「C:\Home\」下。看着如此多的文件夾，內心不由樂了，看來這個虛擬主機上的網站還不是通常的多。

既然服務器是虛擬主機，那應該是支持aspx與php的了，測試發現絕大多數站點目錄下支持aspx和php，但有的php站點目錄並不支持aspx，看來管理員對目錄的腳本執行類型進行了簡單的區分。

分別在不一樣的目錄中上傳好aspxspy和phpspy，在aspxspy中能成功執行命令。輸入「ipconfig/all」，發現有兩塊網卡，其中內網IP爲10.10.174.200，而外網IP爲*.*.*.200，估計內外網IP的末尾是一一對應的。IIS Ipy也能成功執行，域名和對應的文件夾路徑。

W04ETNU`3JUQ4RK8GE3KG_U.jpg

繼續執行命令「netstat -an」與「net start」查看了一下端口鏈接與服務開啓狀況，發現3389開放，服務器鏈接10.10.174:25的3306端口，並未發現有1433的鏈接，剩下的就是一長串的80鏈接了。

執行「systeminfo」查看下系統狀況，系統是用的win的web版本，而很是見的企業版，管理員估計設置的自動更新，服務器滿補丁運行，但仍是抱着奢望嘗試了巴西烤肉等提權exp，均失敗。

遠程鏈接其3389，5下shift看有沒有後門，也並無發現Hacker留下的蹤影。ftp服務是用微軟自帶的IIS搭建，服務器爲每一個站點都創建了惟一的用戶，用net user能夠查看到N多用戶，都隸屬於ftpusers組。翻遍了全盤，也沒發現有mysql和MSSQL等數據庫遺留或備份的痕跡。從前面執行的「netstat -an」結果中，此WEB服務器鏈接了10.10.174.25的3306端口，估計10.10.174.25被專門用作數據庫服務器了。

來看看是否能利用下這個數據庫服務器，在其中一個php站點的數據庫鏈接中。

hostname是mysql而不是常見的localhost，在aspx馬中執行命令「ping mysql」，其ip爲10.10.174.25。既然WEB服務器弄不下，也就只好先看看這個數據庫服務器。將上述信息填入phpspy中，鏈接成功，這時愣了，沒想到這用戶居然能查看到mysql數據庫。

立刻選擇mysql數據庫，執行「select host，user,password，select_priv from mysql.user;」，執行結果全部用戶所有顯示出來了。將select-priv爲Y的用戶整理出來，拿去彩虹表破解之，三分鐘不到，結果就出來了，用的純字母。用root鏈接數據庫服務器成功，利用mysql的load_file()讀了下文件，沒想到此服務器居然是用的freebsd。這下就無奈了，要是windows就好啦，而linux下的權限區分的很分明，這個mysql的root用戶只能讀寫普通文件了。讀

了下「/etc/passwd」，一大溜的用戶。

在aspxspy上對這臺mysql服務器的端口開放狀況進行了掃描，看是否提供web服務而開啓了80、8080等端口。結果再度使人失望，只開放3306和65000端口。沒有開放WEB服務，看來對這臺數據庫服務器的提權是無望了。想到web服務器內外網IP——對應的關係，猜想其外網lP估計爲*.*.*.25，telnet其65000端口。

判斷是正確的，這個65000是用來遠程管理的，利用先前用load_file收集到的用戶信息，嘗試了幾個弱口令均失敗，將mysql的root密碼做爲密碼也提示「Login incorrect」。

數據庫服務器沒法進展又只好回到WEB服務器上來，磁盤上文件都被翻了個遍也沒有再找到什麼敏感的信息。試試社工吧，繼續利用「/etc/passwd」中的用戶名和破解出mysql的root密碼，N個組合後，忽然RP爆發，管理員administrator所用的密碼就是mysql的root密碼。

登陸成功後，發現內網中有至關數量的服務器，上傳s掃描器，對內網中開放3389的主機進行了掃描，利用密碼通用和MSSQL的sa弱口令又拿下了幾臺。

因爲語言的關係，就沒有再對這個內網進行深刻下去，這個曲折的檢測就告一段落了，在成功登陸這臺WEB服務器時，本身也是有一些欣喜與忐忑的，頗有一種絕處逢生的感受。各類提權exp無效，不提供mssql、mysql等數據庫服務，ftp又是用的IIS自帶，內心想着要放棄時，卻利用管理員在對mysql用戶權限分配上的一個小小疏忽，破解出了root的密碼，成功得到了系統權限。非常感慨，社會工程，不失爲一種高於技術的高深科學。你們們好好去發揮吧。