jdb游戏经验

書名：網絡攻防實戰研究：漏洞利用與提權
作者名：祝烈煌
本章字數： 1871字
更新時間： 2019-11-18 15:09:37

2.9 通過Pr提權滲透某高速服務器

有些滲透是一種偶然，但偶然的滲透卻有著被滲透的必然。通過本次滲透，筆者獲得了下面一些收獲。

·掃描工具不是萬能的：掃描工具的掃描結果具有參考價值，通過掃描出來的信息，借助經驗，可以進行進一步的測試。

· hzhost管理系統的滲透方法：通過ASP.NET的WebShell查看進程，獲取hzhost的物理路徑。

·如果能夠訪問hzhost的物理路徑，則可以下載其管理使用的數據庫表site.mdb。在site.mdb數據庫中會保存root和sa用戶的密碼，掌握了MySQL和MSSQL的管理員密碼后，可以嘗試進行數據庫提權，從而獲得管理員權限。

2.9.1 分析AWS掃描結果

使用AWS進行掃描，如圖2-71所示，掃描結束后給出了265個警告信息。雖然高危的跨站漏洞較多，但對于普通的安全人員來說，利用XSS還有一些難度。對掃描結果中暴露的代碼、文件路徑、Web編輯器、特殊文件名等要做詳細的分析和實際測試，因為攻擊者很有可能通過這些漏洞拿到WebShell權限。

圖2-71 分析AWS掃描結果

2.9.2 獲取WebShell

1．獲取文件上傳地址

通過查看AWS的掃描結果，發現該網站存在直接文件上傳地址。在AWS中選中該頁面直接進行瀏覽測試，如圖2-72所示，能夠正常訪問，且未做安全驗證。

圖2-72 獲取文件上傳地址

2．直接上傳網頁木馬

通過測試發現上傳頁面能夠正常訪問，因此可以按照以下方法上傳網頁木馬。

·直接上傳網頁木馬。網頁木馬可以是大馬，也可以是小馬，還可以是存在IIS文件命名漏洞的圖片文件。

·嘗試通過文件編輯器漏洞直接上傳文件。

·將文件保存到本地，通過修改提交地址和代碼上傳文件。

·通過nc抓包提交等方法上傳網頁木馬。

在本例中利用的是第一種方法，即通過IIS命名規則漏洞上傳。如圖2-73所示，成功上傳一句話后門文件2.asp;1.jpg后，會提示具體的文件上傳地址。

圖2-73 上傳網頁木馬

3．創建并操作一句話后門

相比早期，“中國菜刀”真是一句話后門操作的福音。如圖2-74所示，在地址欄中輸入一句話后門地址“http://www.kuaijielin.com/sywebeditor/2.asp;1.jpg”，密碼“cmd”，單擊“添加”按鈕，即可將該后門地址添加到“中國菜刀”管理器中。在“中國菜刀”中單擊剛才添加的一句話后門地址，如果連接沒有問題，則可以直接對該網站的文件進行操作，如圖2-75所示。

圖2-74 創建一句話后門

圖2-75 管理一句話后門

4．上傳大馬進行管理

在“中國菜刀”中將網頁大馬上傳到網站。如圖2-76所示，通過該頁面進行文件上傳、刪除、修改和下載等管理操作。

圖2-76 上傳網頁大馬

2.9.3 服務器信息收集與Pr提權

1．查看網站服務器文件

通過網頁木馬查看目標網站所在服務器中的文件，如圖2-77所示，獲取了該網站所在服務器管理平臺的數據庫，將該數據庫下載到本地。

圖2-77 下載MSSQL數據庫

在該文件夾下還存在MySQL數據庫。到Data目錄下新建user.MYD文件并將其下載到本地，該文件中保存了MySQL的所有數據庫用戶名和密碼等信息，如圖2-78所示。MySQL的user.MYD文件中的用戶密碼可以在cmd5網站查詢及破解。如果破解了root用戶的密碼，對Windows系統可以嘗試進行UDF提權。

圖2-78 下載MySQL數據庫的user.MYD文件

2．查詢目標網站所在服務器下的所有域名

通過網站地址http://www.yougetsignal.com/tools/web-sites-on-web-server/來查詢該IP地址下的所有域名，如圖2-79所示，獲取了33個網站域名。

圖2-79 獲取同網站域名

3．分析site.mdb數據庫

目標網站使用的管理系統是華眾管理系統（hzhost）。下載該安裝文件下的site.mdb。在site.mdb中有site、sqlseting和vhostseting共3個表。site表中記錄的是站點名稱、FTP用戶名、FTP密碼、站點所在目錄等信息，如圖2-80所示。在該表中可以直接獲取FTP用戶名和密碼、主機所支持的語言類型（ASP、PHP和.NET）等信息。sqlseting表中保存的是sa和root用戶的密碼，如圖2-81所示。vhostseting表中保存的是虛擬主機管理信息。

圖2-80 獲取網站管理信息

圖2-81 獲取網站sa和root用戶的密碼

4．上傳PHP WebShell

通過site.mdb數據庫找出支持PHP編程語言的虛擬主機站點，通過FTP直接連接該站點，輸入從site表中獲取的網站用戶名和相對應的密碼，順利登錄該FTP服務器。如圖2-82所示，執行“put control.php”命令，將本地的control.php網頁木馬上傳到網站。通過IE瀏覽器訪問該WebShell地址，如圖2-83所示，上傳的WebShell成功運行。

圖2-82 通過FTP上傳WebShell

圖2-83 測試上傳的WebShell

5．Pr提權

將Pr提權工具上傳到網站服務器，在“CmdPath”文本框中輸入“C:\RECYCLER\pr.exe”，在“Argument”文本框中輸入“"net user temp temp2005/add"”，將temp用戶添加到系統中，如圖2-84所示。然后，在“Argument”文本框中輸入“"net user localgroup administrators temp/add"”，將temp用戶添加到管理員組中，如圖2-85所示，Pr命令執行成功后會給出一些提示信息。最后，執行“net user localgroup administrators”命令查看管理員組的情況。如圖2-86所示，temp用戶已經成功添加到系統管理員組中了。