您的位置 » 首页 » 渗透测试 » 对居然之家的一次超详细内网渗透

对居然之家的一次超详细内网渗透

发表于5年前 | 作者: seay | 分类: 渗透测试 | 孵化于:2012年09月18日 | 文章热度:19,127 次 全屏阅读

显示不全请点击全屏阅读

先上图:

本来是不想搞站的,专心学点编程,可是老是有人来找我帮忙什么的。。。搞完这个我想专心学点编程,俗话说不会编程的黑客不算是高富帅。。。所以说,你懂得。

进入正题

  1. 主站摸索
  2. 旁站摸索
  3. 旁服摸索

不开玩笑了。。

嫖叔尝试过主站服务器了,但是没有搞下来,我这人比较懒,当时也没有追随着嫖叔的脚步搞那个db权限的注射点,一来好久没搞注入了,二来对注入也无爱了。后来玩命有一天很激动的告诉我说拿到了旁服上的一个shell,叫我提权试试,我想了想,既然这是个企业站,注册资金据说有8100w,肯定很有钱,服务器肯定也是大大的有,放在内网的话还能内网渗透一下,于是就上了。

顺便说下,玩命搞到的那个shell是通过注射加后台上传拿到的,大家就别再搞了。

上了shell看了下,权限很大,几乎全盘浏览了,支持asp,aspx,php,翻了下看见了xampp,管理员还真懒,mysql估计就是系统权限运行的,而且我猜root密码还是默认为空。于是翻查数据库连接文件,管理员果然没让我失望

于是果断mysql导出udf提权,加了个系统权限的用户,上了rootki.asp(这玩意用系统帐号登录,权限为system,比较方便)

查了下远程桌面端口发现没改,ipconfig发现是双网卡,但都在内网,装了金山杀毒软件和金山管理软件(不记得是不是这个名字了)

上传lcx想转发端口的,可惜被杀了,试了下taskkill,ntsd都不能把杀毒的进程给杀完,最主要的杀毒进程杀不掉,没办法,找小陈做了个免杀,自己又是外网(怨念哪。。当初花150买了个90块钱的tplink路由器,结果发现不能把自己放到dmz去,端口映射也不行,被黑出翔了,如果我是外网的,可以做更多的事的,反弹到我这里,用metasploit进行内网渗透。。。嘿嘿,留口水了)于是上外网服务器操作了,那慢的叫我想死了。。。不过好歹有个桌面环境给我操作,不用一直命令行了。

既然是内网,当然是要内网搞一搞了,但是之前我在服务器上翻了下,发现了装有winwebmail,这玩意一开始查同服的时候就知道了,只不过貌似限制了ip登录,但是我控制了服务端,不怕限制ip登录,以后可以作为一个信息来源,先留着。

Cmd下执行各种命令对内网环境做一个基本的了解。

C:Documents and Settingsfucker>net view /domain 查看有几个组

Domain————————————————————-

MYGROUP

WORKGROUP

命令成功完成。

C:Documents and Settingsfucker桌面Pwdump7>netview(查询有关系的机器)

服务器名称 注释

————————————————————————

EFGP

IBM

IIBM

JR141 jr141

JR142

JURANZHIJIALEWU

JURZJCTI-9897F9

LEWU

OASERVER

POS27 pos27

POS28

POS29 pos29

POS30 pos30

USER-87C8B53A9C

命令成功完成。

C:Documents and Settingsfucker>net view/domain:workgroup(查看workgroup组下的机器)

服务器名称 注释

——————————————————————

EFGP

IBM

JR141 jr141

JR142

JURANZHIJIALEWU

JURZJCTI-9897F9

LEWU

OASERVER

POS27 pos27

POS28

POS29 pos29

POS30 pos30

命令成功完成。

C:Documents and Settingsfucker>net view/domain:mygroup(查询mygroup组下的机器)

服务器名称 注释

————————————————————————-

AP-3850-3 Samba Server Version 3.0.33-0.17.el4

GP53 Samba Server Version 3.0.33-3.28.el5

命令成功完成。-

其实这些东西查询出来我也不懂有什么用。。。反正就是看别的内网渗透资料上的,就照做了。。。。

用wce和pwdump把本机的hash给导出来了(虽说wce可以读取内存中的明文密码,但是在导出hash的时候却没有pwdump给力,不知道为什么),拿去破解,做成了一个字典文件,挂到hscan上对内网的机器做一个大致的扫描,弱口令什么的在内网里是很常见的,而且因为是在内网,所以扫描到的端口比外网也会准确的多。

一阵扫描下来,收获颇丰

这只是一部分,还有一些没有显示出来。

有三台服务器的mssql的sa密码为123,果断拿下

发现上面装了飞秋,一个内网通讯工具,发现这个内网很大(实际上确实很大,后来在内网嗅探的时候得到了证实)以后可以作为一个社工的桥梁,冒充别人,获取更多的信息。

抓取hash,拿去破解,于是被我发现规律了。。

28的那台机器administrator密码为1.2

29的那台机器administrator密码为1.3

30的那台机器administrator密码为1.3

于是我在28之前和30之后对开启了远程桌面的机器进行了尝试,果断用1.1的密码进入了27的机器,但是其他的就没有成功。

在这些机器上全部种上winlogon木马,用以记录管理员的登录密码,万一能够记录到域管理的密码那就爽了。。。

3的那台机器同样是sa弱口令123,抓取hash破解为0o9i8u7y(看上去很复杂,实际上很简单,看下你的键盘就知道了),种上winlogon木马。

继续看hscan的扫描报告

果断猜想192.168.0.21的adminsitrator密码为easyhome,连上去登录了

(这么敏感的东西都被我看到了,罪过罪过,安全有多重要啊)

看到有几台机器的扫描报告几乎相同,怀疑是否是一台机器,一台机器分配了多个ip?

admin的帐号估计权限很大,sybase是oracle的最高权限的帐号,悲剧了,又是弱口令惹的祸,据说oracle可以执行命令,但是没有尝试,看上去貌似很麻烦,这网速龟一样,点个右键要两秒钟才能出来。telnet上去结果登录帐号但是回显的并不是能够执行命令的,这让我比较奇怪,后来嗅探的时候搞清楚了,这几台机器貌似是处理订单之类的。登录之后让我选择什么的,但是选择了编号回车之后就提示失去连接,后来用嗅探到的帐号登录发现也是同样的问题,暂时不知道原因。

不能执行命令自然就不能溢出提权了,看到hscan扫到了80端口,访问发现是apache的默认页面(redhat貌似是默认安装的?),我的思路是通过ftp上传一个php木马,反弹一个shell到我这里来执行命令

Ftp连接上机器,找到网站目录之后发现没有上传的权限,但是在子目录里又有上传的权限,上传了php的webshell,但是访问发现是一片空白,不知道是什么原因,于是这个思路又断了。

到网上找了下ssh的相关版本有没有远程溢出的漏洞,无果,暂时放弃好了。

用到现在为止收集到的信息(管理员的帐号密码,翻各种文件找到的一些敏感信息),整理了下,再次弄了个字典,挂上hscan扫

有所斩获,192.168.0.7的机器的ftp帐号密码为adminsitrator,0o9i8u7y,果断连接远程桌面,发现是windows2000,不常见哟。

到这里陷入了僵局,再一次意淫了下自己是外网的情景,metaploit溢出于谈笑之间,在各台服务器上systeminfo了一下,发现没有打ms08-067的补丁,想到用08-067来远程溢出,但是发现网上所用的08-067抓鸡工具都是需要配置木马,让其下载运行再上线的,本机开放了80端口,但是内网其他机器下载的话需要经过http验证,没去查什么原因,懒。。。

再次用hscan扫描的到的弱口令一个一个试,发现还有aix系统的服务器,我自然是没有经验搞的了,但是收获还是有的,找到另外两台redhat服务器,登录之后能够执行命令,那就好办了,尝试udev通杀提权都不成功,然后一台内核版本2.6.18-194的用一句话给提权了,种上rootkit走人(本来想种个键盘记录的,但是想想还是算了,我得从网上下载下来,然后ftp传给linux,再进行安装,两台linux的dns配置都有问题,尝试ping www.91ri.org,无法访问外部网络,wget自然是没用的了,只能通过这个方法了,期间还得忍受鼠标1-2秒的延迟,欲乘风去撞墙~)还有一台用了各种exp,最后http://keio2.cccpan.com/在这里找到的exp给成功溢出了,同样种上rootkit

(这台是一句话提的权)

种rootkit的我没有截图下来,命令敲上来好了,rootkit下载地址:

http://forum.eviloctal.com/attachment.php?aid=13419#tc_qz_original=47347

传到tmp目录下,

tar zxvf mafix.tar.gz 解压缩。进入目录,赋予root文件执行权限

安装rootkit:./root 连接密码 端口 回车

如果成功回显如下:

下次之间用putty连接相应端口输入密码就可以了,root权限。

安装成功后目录会自行删除,最后history -c 清除命令记录。

又有两台服务器到手了,自然是下载/etc/shadow文件到本地尝试破解,很荣幸的,破解失败。

期间仍然在各台服务器的硬盘上各种翻,找敏感数据。

看到有三台思科路由器

弱口令登录失败,尝试暴力破解同样失败,telnet上去,回显:

Lishijie welcomes you! Are you allowed by administrator?If not, you are not allowed to enter!(大概就这么一段话)

得知了管理员叫做lishijie,百度了下“lishijie 居然” 也没发现什么,发现社工网站打不开了,在自己下载的csdn库中找lishijie找到多个帐号(为什么要到csdn找,你懂的)。。。不愿一个个去试了,本机把winwebmail中lishijie的那个文件夹中文件查看了下,发现些相关信息

再到csdn中找了下,终于找到了

尝试登录失败,很累,感觉不会爱了

不愿去社工了,省的没射到别人自己惹了一身骚。

直接apr嗅探好了

扫描同网关下的机器的时候发现还有打印机

可以考虑下微软的打印机远程溢出,惠普的应该存在远程溢出的,可惜我没找到。

嗅探了两天也没什么成果,telnet那边很多记录,都是前面我说的登录就要选择的那种,不能执行命令的。可惜没有root密码

类似的,我猜可能是订单管理之类的服务器,但是数据交换大都在10.XX.XX.XX和192.168.0.XX之间的,联想到之前的飞秋,我猜到了10.XX.XX.XX大概都是员工的个人pc,

不愿搞了,很累,感觉再也不会爱了。

干脆把居然之家主站的首页给换了吧,我首先想到的当然是netfuke劫持,但是没有找到主站服务器的内网ip啊。之前我嗅探的都是192.168.0.XX这个段的,于是嗅探了一段时间的192.168.1.XX,然后就被我发现了192.168.1.5这台机器和192.168.1.1网关之间有数据,domain显示www.juran.com.cn,毫无疑问,这就是居然之家的主站了。

剩下的你大概也知道了,下载了netfuke,配置好,点开始,然后就把居然的首页给换了。

总结一下吧:运气很好,耐心不够,技术不足,我还是怨念我的内网环境。。。metasploit只能在本地测试,蛋疼死了,求推荐能放把机器在dmz区的路由~~

顺便说一句:年底我要想好好编程,日站什么的,还是别找我帮忙了吧,在此谢过各位大黑阔~

91ri.org小编点评:我不会告诉作者 那个飞秋内网通讯工具是有远程溢出漏洞…. 呵呵呵呵 -.- 好吧 其实这篇文章总体上确实还是不错 假如作者继续渗透下去我想挖点内部资料是完全没有问题的,居然之家貌似成立于1999年 小编我刚出生没多久人家就开公司了!!但是这么大的一个公司竟然如此不注意网络安全方面的事情 假如对手聘作者去偷点内部资料 恐怕早就得手了吧?因为资料泄密而倒闭的公司我想肯定不是少数了!具体案例可以看《APT攻防对抗(2):APT攻击的案例》。

假如正在读这篇文章的你是某公司的网管或者正准备往这方面发展我建议你看下《较为简单的内网渗透思路》文章 这是篇较为简单的内网渗透思路,懂得攻击才能明白如何防守!

最后给想学习内网渗透测试的朋友推荐几篇文章:《域内网渗透小结》《利用linux渗透公司内网全过程》 一篇是经验文 一篇是实战 希望大家喜欢!

Tags:

内网渗透资料,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/920/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)