配置文件泄漏引发的服务器沦陷-渗透某越南集团公司

0x0目标基本信息收集

目标:xxxxxx.xxx.vn
IP:203.xx.xx.55[越南某集团公司]
端口开放:21、80、445、3267、3389
目标主页获知的管理员信息:

用ip尝试远程连接,发现可以连接,根据回显确定服务器windows2008

接着尝试shift,软键盘几个自己常见的后门,无果。然后也尝试了域名和站点首页底部管理员的邮箱和名字电话等都失败了。

0x1 敏感目录探测

来到主页,在域名后加了个robots.txt,看看有什么防爬虫的目录。

由此判断站点cms为wordpress,访问后台文件:wp-login.php,从后台源代码获知版本为:wordpress3.6.1,在尝试一些弱口令后以失败告终

首页邮件地址包含的的用户名尝试,根据回显获得了管理员为邮件地址用户名,用管理员和邮件地址在社工库上尝试搜索,失败了。

接着尝试爆破密码,爆破过程中发现太慢了,暂时放弃爆破

本地下载了个wordpress3.6.1,看了看里面的目录文件尝试访问,最后访问了/wp-includes/目录下的几个页面根据报错回显发现了站点根目录:

接着用wpscan扫了下,站点没有安装任何插件。通过字典跑出了phpmyadmin目录,页面跳转瞬间,标题闪现发现phpmyadmin版本是3.3.9,尝试几个弱口令登陆失败,尝试了phpmyadmin的万能密码漏洞, ‘localhost’ @’@” 结果成功登陆进了phpmyadmin,不过发现没有权限。(P.S:小编很好奇为什么这个版本存在万能密码问题?于是小编决定本地搭建一个测试后再给大家回复)

tp1

0x2 远程下载配置文件

接着继续在本地下载的wordpress3.6.1的目录里到处翻,看到了wp-config.php,想着如果能下载到本地就好了,根据里面的mysql密码,外加现有的phpmyadmin和站点根目录就可以拿shell了。
尝试访问:http://xxxxxx.xxx.vn/wp-config.php ,发现页面存在,可是要怎么才能下载这个文件到本地呢,突然记得以前在乌云上逛时,看到过有站点存在配置文件泄露,于是尝试访问wp-config.php.zip/wp-config.php.rar均失败了

当构造地址访问:http://xxxxxx.xxx.vn/wp-config.php.bak 时,提示有文件可以下载,立马下载回本地,根据下载回来的文件,获得了以下信息(有替换):
——————————————————————————-

0x3 phpmyadmin导出一句话到站点目录

尝试登陆phpmyadmin,成功进入后台,查看了下权限,发现xxxxxx这个用户具有所有权限接着在mysql数据库里导出了root密码:

tp2

尝试导入一句话:

提示成功了,可是构造地址访问提示404看来没成功,应该是转义的问题
接着尝试:

再次导入,提示成功,访问后发现真的成功了
tp4

菜刀链接,成功拿到shell。立马修改了马儿上传时间:

接着删除了站点的wp-config.php.bak,堵死后来者的这条路。

回到phpmyadmin导出了web后台管理员表,采用的是MD5(wordpress)加密,以后备用(有替换):

0x4 权限提升

通过cmd权限查询得知是system,接下来就好办了,为了不尽量动作轻,就没有添加用户,尝试get管理员密码,但被没成功怀疑uac拦截。因为是win8.1,属于NT6,于是尝试将lsass.exe dump回本地来读取密码。

目标是64位,最后通过mimikatz 64读取到了密码。

tp6

91ri.org注:这是篇较为完整的渗透过程,小编将文章花了20分钟将文章的语序重新修改然后排版编辑,过程中删减了部分内容。别看文章被删以后内容较少,看起来有点简单,但实际上我们挑文章比较看重细节和特别是实例。其中的phpmyadmin的万能密码问题待小编本地复现一下试试,然后统一回复大家。近期太忙,91更新较慢,见谅!不过其实有空可以多逛逛91RI的以前的老文章,可能有的排版不是特别的好,但是内容还是OK的,希望对大家有帮助!

[via@90sec]