記一次偶然發生的滲透測試

0x00 信息搜集

話還要從最近網上轉載的一篇文章說起—據說某家校通系統存在後臺萬能密碼登錄—於是點進去看了一下，然後從文章的某些特徵猜到了這個家校通系統，之後就某度一波，然後就發現一堆網站，隨便挑了一個，進行測試。

找到測試目標，找到後臺入口，然後開始搞事情

使用文章的弱口令成功進入和後臺。找注入啥的不是我的志向，雖然文章說有很多注入點，但是我還是比較喜歡上傳點，然後瀏覽網站發現了一處編輯器有個上傳點

嗯，前期本來還打算掃描一波的，看看有沒有什麼其他的服務打開，但是這個任意文件上傳讓我非常激動，直接跳過了掃描。

在信息搜集這一塊其實做的不多，主要還是靠的那篇文章，加上自己的火焰金睛在萬碼從中找到了有效信息成功猜測了cms信息。

實驗：利用Kali工具進行信息收集

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015082709512800001

0x01 getshell

二話不說，傳一個冰蠍馬，任意文件上傳（嗯！！！這種系統居然還這麼多人）

直接訪問是會爆500的錯誤，但是這並不影響冰蠍的連接：

拿到shell之後肯定先收集一波伺服器信息：

目錄瀏覽：

用自帶的shell看一下權限有多大：

Server2008的系統，只發現兩個補丁信息，先記下來，說不定有用。

再搜集一波系統任務信息，看有沒有什麼防護之類的：

截圖不是全部任務，不過暫時沒有發現全家桶之類的防護軟體，好運氣。

Getshell其實沒有花費太多的力氣，任意文件上傳加上冰蠍這種加密木馬，getshell並且不被waf已經就很簡單了，當然還有其他的getshell方法，例如什麼資料庫備份getshell，當文件上傳不好使的時候就要考慮其他的方式了。至於getshell之後的信息搜集感覺自己還是有些欠缺，有些需要收集的信息如：任務列表之類的一開始就沒想到，還是之後看到了一些文章才了解的，所以還要加強信息搜集能力。

0x02 提權階段：

接下來就是要提權了，怎麼提權呢？這個cms系統全部都是用的MSSQL資料庫，而且基本都是使用了SA用戶，且MSSQL會默認運行在system權限上，那麼就可以通過xp_cmdshell組件執行系統命令，執行權限便會繼承system權限。

接下來就是就是msf啟動的時間了：使用auxiliary/admin/mssql/mssql_exec模塊進行攻擊：

嗯，看來還需要收集很多信息，資料庫的帳號密碼以及埠，這時候就想起來我的webshell還沒怎麼利用，返回去查找一波信息

Web站點基本都會有一個配置文件，而且很多都是用.conf,.config這樣的做擴展名，所以以後滲透的時候可以關注一波網站配置文件。當然這個系統也不例外，找一波配置文件：

一口老血，冰蠍居然打不開中文文件夾…… 沒辦法，切命令行總行吧，成功查看webconfig文件（aspx的配置文件一般都是會放到根目錄下的）

然後找到關於資料庫的配置：

OK，帳號密碼到手。

拿到帳號密碼，先用冰蠍連接一波，這裡有個坑--管理員已經換了資料庫的埠，所以1433是連不上的，是二次查看webconfig才發現的，大意了。

資料庫連接成功，那攻擊開始。

往之前的攻擊模塊填充信息：

然後修改一下CMD命令，執行一波net user操作，看能不能攻擊成功：

OK成功，那接下來查看一下命令是用什麼權限執行的：

OK，權限足夠高，可以開始搞事情了。

首先嘗試啟用Guest用戶，然後發現又踩坑了：Guest用戶本身就是啟用的，然後執行的所有命令全部失敗了。。。。

不過還好命令失敗了，查看了一下Guest用戶信息，才登錄過不久，要是搞了，估計就出問題了：

沒辦法，嘗試自己添加用戶，這裡也有個坑--管理員對用戶的密碼複雜度是做了限制的，一直使用弱口令，命令一直無法執行，流下菜雞的眼淚。

之後換了一個強密碼，添加用戶成功：

查看一下用戶信息：

接下來也不加到管理員組了，怕被請去喝茶，直接嘗試一下3389登錄。Netstat 查看一波埠：

截圖不完全，不過可以肯定3389是沒開的。【哭泣.jpg】

冷靜思考下，3389埠沒開，嚴重懷疑是換了埠，要是之前掃了一波估計就發現了，不過現在我都能netstat了，直接一個一個試一下就完事了，然後果然如此，看來這個管理員還是有安全意識的，對於一些常用埠知道替換，不過就是用的這個cms不太好【笑哭】。

使用我創建的帳戶登錄：

因為有些提權的命令沒有執行，所有沒有遠程登錄權限，不過基本上算是提權完成了。

實驗：MSSQL注入提權

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182015093010330700001

（掌握通過SQL Server的存儲過程xp_cmdshell來提權的過程和原理）

0x03 後滲透階段：
只是簡單地測試一下，沒打算搞事情，所有把用戶，shell啥的都刪了。再清理一波痕跡，溜溜球。

Shell還挺多，估計被人搞過了，順手給清理了：

實驗：Metasploit後滲透入門

http://www.hetianlab.com/expc.do?ec=ECIDee9320adea6e062018020615520500001

（學習拿到meterpreter後的滲透學習。這一階段也被稱為後滲透階段。）

0x04 來個總結：

對於這次的滲透，首當其衝的便是信息搜集了，在原文嚴重大碼的情況下，還是發現了cms的名字版本，之後通過搜索找到合適的攻擊目標。不過在系統信息搜集這一塊做的不好，前期連埠信息都沒有進行搜集就開始攻擊了，導致後來走了彎路，所有前期的信息搜集下次一定要重視了。

還有一點收穫就是熟練了一波MSSQL的提權方法，利用xp_cmdshell組件直接system權限提權還是很刺激的。當然不足的地方就是對於提權的知識掌握的還是太少了，一遇到防護強一點的系統就捉襟見肘了，本來還嘗試了一下dump保存hash值解密進行提權，但是失敗了【菜.jpg】，所以還是要不斷去學習新的騷操作啊。

最後給自己提個醒，以前一直忽視了弱口令，暴力猜解這類的攻擊方式，但是目前看來完全錯了，這些漏洞的利用價值其實很高，某些時候還會有意想不到的效果，長個記性，以後注意！！！

聲明：作者初衷用於分享與普及網絡知識，若讀者因此作出任何危害網絡安全行為後果自負，與合天智匯及原作者無關。

別忘了投稿哦

大家有好的技術原創文章

歡迎投稿至郵箱：edu@heetian.com

合天會根據文章的時效、新穎、文筆、實用等多方面評判給予200元-800元不等的稿費哦

有才能的你快來投稿吧！

了解投稿詳情點擊——重金懸賞 | 合天原創投稿漲稿費啦！