某天比較無聊,聽一個朋友推薦httpscan這款工具,因而就下載下來試試。php
首先對某學校網段開始進行測試。html
|
1
|
|
python httpscan.py **.**.**.0/24
測試時發現有個比較特殊的標題。通常有這個,證實存在目錄遍歷。python
目錄遍歷這個漏洞,說大也不大,說小也不小,可是,通常來講,存在這種目錄,能夠證實網站管理員比較粗心,固然也有可能會把一些敏感文件放在上面,如數據庫文件,帳號文件等。web
嘗試google搜索shell
|
1
|
|
1 intitle:Index of /
能夠找出好多這種例子。能夠撞運氣試一下有沒有敏感文件泄露,而後進一步拿下一個站。數據庫
開始滲透
當時訪問後,發現是如下的情況。服務器
這個就又比較開心,看到了phpinfo。工具
這個文件和目錄遍歷漏洞性質也差很少,說大也大,說小也小。測試
phpinfo屬於處在信息收集階段的一個重頭,當有了這些信息,能夠看出服務器端調用了那些庫,以及一些敏感路徑,從而進行深刻的漏洞挖掘。用途也是很廣的。網站
因此建議各個站長,不要將這個文件泄露出來。
phpinfo先放一邊,先點開1目錄看一下,發現是一個discuz 3.2的站
嘗試搜索discuz 3.2 getshell,最終發現有個後臺插件配置致使getshell,但此時咱們沒有後臺權限。
因而繼續搜索,也沒發現什麼有價值的。
因而改變思路,想一下如何能進入後臺。
嘗試弱口令登陸,最終admin admin 成功登陸後臺。
當時的心情是絕望的。
瓜熟蒂落,直接進入後臺,找到好貸站長聯盟 2.0.2安裝,並啓用。
而後進行配置,輸入咱們的一句話便可。
成功拿到shell
控制服務器
固然,這麼簡單的滲透,拿到shell確定是不夠的。
要想辦法進而打開3389,成功奪取服務器權限,這樣能夠實現長久控制。
首先shell打開命令行,查看一下用戶權限
固然,因爲用的是蟻劍,已經說明了。
此時由於用的就是最高權限,因此就不用再進行提權了。
此時咱們能夠嘗試建立新用戶,並賦於其管理員權限。
|
1
2
|
1 net user hacker 123456 /add 2 net localgroup Administrators hacker /add
此時再次輸入net user便可查看到你建立的用戶。
而後嘗試3389連接,發現沒法連接。
此時第一反應必定是,他改端口了。
由於畢竟是服務器,不可能不經過遠程桌面連,每天抱個顯示器去機房。
因而須要找到其3389端口修改後的端口。
首先查看一下端口占用狀況:netstat -ano
發現果真是沒有3389,此時能夠猜想一下,感受那個像就連那個,多試幾回就行了。
可是,咱但是一個有抱負的技術宅,怎麼可能用這種機率事件!
因此,能夠經過查看一下當前運行的服務,定位pid後,到端口占用裏面對比。
首先tasklist /svc而後尋找TermService,記錄下中間的pid號。
而後返回以前的端口占用狀況圖中尋找5492,能夠輕易發現,3389端口被改到了65530
而後嘗試用咱們帳戶經過 mstsc連接過去便可
最終成功拿下服務器。
作到這步的時候,已經能夠說是結束了,可是!若是被管理員發現帳戶後刪除了怎麼辦呢?
此時須要找一下管理員的密碼。
經過一款老師推薦的軟件,最終查詢到了管理員的密碼。
尋找管理員密碼
使用工具mimikatz。
首先下載該工具,而後上傳到目標機器。
按目標機器環境,使用合適的位數(32or64),直接執行。
而後在工具窗格內依次輸入如下兩條命令便可
第一條:privilege::debug //提高權限 第二條:sekurlsa::logonpasswords //抓取密碼
在這裏,因爲隱私問題就不放截圖了。
最後再說一點,這幾步,雖說實現了長久的控制,可是仍是有所欠缺,畢竟管理員一旦發現有其餘帳號,在刪掉的同時也會將本身的密碼改掉。
因此通常大佬們都是直接放入本身的遠控木馬,進而持久控制。
漏洞威脅以及修復建議
- 在該服務器下發現存在teamviewer,懷疑有人已經拿下該服務器,進而實現長久控制。
- 該服務器大部分數據爲14年左右,且網站徹底沒用,建議關閉該臺服務器。
- 網站內敏感數據建議刪除或備份到其餘地方。
- 建議對服務器集羣內文件實施清理,減小沒必要要文件泄露。
總結
此次滲透測試,比較膽戰心驚,由於一環一環,猶如是一個蜜罐在引本身上鉤。
可是考慮到以前老師對本身進行漏洞挖掘的支持,仍是進行了下去。
感受這臺服務器以前應該是測試用的,最後忘了還跑着服務,最終致使被拿下。
轉自:丶諾熙
http://blog.5am3.com/2018/05/04/web-testing-one/