2.16 通過簡單的漏洞滲透某公司內外部網絡

在滲透過程中，一些簡單漏洞的發現和利用往往會起到意想不到的效果，本次滲透就是這種情況。開始僅發現有目錄信息泄露，隨著滲透的深入，慢慢地滲透了整個內網及域控。從一個普通的漏洞開始，從WebShell權限，到服務器權限，再到內網權限，很有代表意義，值得網站管理人員重視。

2.16.1 測試頁面漏洞的檢測

測試頁面泄露在外網漏洞中主要是指站點在整個產品開發、測試、部署及交付使用過程中的測試信息出現在公網上。這些信息一旦出現在公網上，就會被認為存在“漏洞”或者被黑客入侵了，常見的文件有phpinfo.php、test.php、test.asp、test.aspx、test.cgi、test.jsp、test.html、test.htm、.svn/entries、info.php、info.asp、info.aspx、info.jsp等?？梢允褂脪呙柢浖δ繕苏军c進行檢測，也可以手工進行檢測。如果是無目標地尋找這種漏洞，可以通過普通搜索引擎及專用搜索引擎進行搜索，查看是否有測試頁面存在。

通過搜索引擎查找test.php，如圖2-154所示，可以看到該目標站點還有漏洞，并存在baidu.zip備份及mszw.sql數據庫文件泄露的情況。

2.16.2 測試頁面漏洞的利用思路

測試頁面漏洞的利用要根據實際情況來進行，一般來說，存在測試頁面的網站中會存在壓縮文件、列目錄漏洞、數據庫文件備份等。對測試頁面漏洞的主要利用思路如下。

1．掃描端口

對站點的IP地址進行掃描。如圖2-155所示，使用“Intense scan, no ping”方式進行掃描，可以看到目標IP地址開放了25個端口。開放的端口越多，獲取和發現漏洞的幾率越大。

2．反查IP地址所在域名

在http://www.yougetsignal.com/tools/web-sites-on-web-server/站點對IP地址進行域名反查，獲取IP地址所在的域名列表，如圖2-156所示。

3．對端口進行測試

使用IP地址或者網站地址（帶端口）進行逐一測試。例如，發現有8181端口，則利用方法為“http://www.antian365.com:8181”，查看該端口所使用的服務，判斷是否提供了Web服務，進而通過服務尋找漏洞。如圖2-157所示，該服務器使用WampServer架構，該架構存在目錄信息泄露，會直接將所有的項目列出。

4．對存在的漏洞進行利用

如果存在phpmyadmin，則查看數據庫用戶是否為root。如果能夠獲取密碼，則可以通過導出一句話后門獲取服務器權限。

5．獲取WebShell

該網站的phpMyAdmin直接保存了用戶名和密碼，原因應該是在phpMyAdmin目錄中默認設置了config.inc.php。在其中直接導出一句話后門，如圖2-158所示。使用“中國菜刀”后門管理工具添加一條記錄，并測試是否可以連接，如圖2-159所示，成功獲取該網站的WebShell。

6．獲取服務器密碼

通過“中國菜刀”上傳wce32.exe密碼獲取軟件到服務器，運行“wce32-w”命令獲取當前登錄管理員的密碼“ruentexo”，如圖2-160所示。

2.16.3 登錄服務器并進行口令掃描

使用lcx進行內網滲透。在外網獨立服務器上嘗試連接和登錄，如圖2-161所示，成功登錄該服務器。

將獲取的口令放入NTscan的掃描字典中，對192.168.1.1-192.168.1.254進行掃描。如圖2-162所示，獲取內網口令為“ruentexo”的IP地址下的其他服務器。

2.16.4 獲取域控密碼

使用gsecdump程序直接獲取該域控服務器所有密碼的列表，如圖2-163所示。

2.16.5 測試頁面漏洞的修復

該漏洞的修復方法就是刪除測試頁面，包括無用的phpinfo.php、test.php、test.asp、test.aspx、test.cgi、test.jsp、test.html、test.htm、.svn/entries、info.php、info.asp、info.aspx及info.jsp等測試頁面和無用的信息。