白衫红裙妹子引发的内网被撸穿的血案

某日路过地沟油一条街如意冒菜店,看到一白衫红裙妹子,这让我内心泛起涟漪,都走过冒菜店一段距离后的我又折回来吃了一碗冒菜。第二天去店里做了兼职,跟她同学聊天后得知了他们的专业和班级,但当她同学得知我的意图后死不给我她电话,没办法,就转向她们的学校吧。

对目标系统进行端口扫描

对开放的端口挨个访问,列出端口开放的服务。

http:// *.*.9.***:8088/userLogin.asp

ER3260系统管理

图片1

而h3cer系列路由器身份验证绕过漏洞(详细内容请见:http://www.nsfocus.net/vulndb/17106),访问地址http://www.*****.edu.cn:8088/maintain_basic.asp?userLogin.asp可直接查看配置信息,利用此漏洞我们得知了网络大概拓扑结构,并导出了ARP绑定表。

图片2

(ARP绑定表)

获得信息:

  • 下载ARP绑定表cfg,知道校内哪些重要服务器。管理员常常会在交换机或者路由器上做MAC地址绑定防止ARP攻击,通过ARP绑定表我们可获知哪些是重要服务器或设备。
  • 下载全局配置文件cfg,获取整个路由配置信息(路由器登陆密码无法解密),当然更暴力点也可以使用其他已知路由器加密密码替换目标配置文件加密密码,然后导入配置文件来重置目标密码。
  • 网络双线接入此路由器,然后在路由器上做端口转发来分别访问内网不同服务器。

其他端口信息

8000简单的文件共享,提供校内师生下载工作软件使用。

http://*.*.9.150:8000/net/

publish.htm 数字化校园安装

App.zip 数字化校园2013-7-2演示版

net/oa.zip OA系统

net/p1108.rar HP1108驱动

8002 一个tomcat服务器,删除了管理功能。

3690  SVN服务器,网页认证未发现弱口令。

8081 方正系统。

21   FTP无法访问。

社工信息

之后卡了一阵子,尝试搜集社工信息。

域名信息,域名在http://www.35.com,注册人shulijuan,加QQ资料姓名舒丽娟。以QQ邮箱584273499@qq.com再次收索,发现很多域名在其名下,此人估计是个域名注册商之类的人,暂时放弃收集他的资料。

根据主站上搜集到的邮箱hchp***@126.com进行收索,找到文档“促进中职卫生类藏区“9%2B3”学生学习***.doc”,“2014年职业教育***推荐书”文档包含了邮箱使用者信息和其他老师信息,不过未找到身份证号码。

整理信息:

姓名 性别 出生年月 现任党政职务 从事工作 电话 邮箱
邓XX 1978-07 学生管理处处长、团委书记 学生管理、共青团工作 1390XXXX38 5834XXX4@qq.com
蒲XX 1973-05 教务副处长 专业教学及教学管理 138900XXX33 61XXX027@qq.com
黄XX 1973-01 副院长 思想政治教育 13890077116 hchXXX6@126.com
罗XX 1965-06 副院长 教育管理、专业教学 138900XXX Zg9XX@126.com
秦XX 1981-11 实践教学及成人教育管理、教学质控 136190XXX 36189XXX@qq.com

接着根据手机号码13890XX6找到一个2011112XXX51-253549.25第二十六期.xls缴费表,里面找到一个身份证号 黄禄琪510*************1436,但不是目标的。

尝试攻击:

  • 社工库搜索hchXXX@126.com邮箱信息,未找到。
  • 尝试邮箱弱口令(hcpXXX,hcpXX,hchpXXX等),未成功。
  • 尝试126的找回密码功能,3次错误被锁定。

注册伪装邮箱hchpXXXX@126.com进行邮件欺骗(MD没免杀马啊)。

最后再转向主站

主站存在SQL注入漏洞,尝试获取基本信息。

网站访问量过多或是访问速度一大就崩溃,使用–delay 3延时访问,但数据库跑几分钟网站仍然挂掉,使用–os-shell参数网站直接挂掉,没办法只有手动注入。

判断字段是数字还是字符

获取@@version信息

图片4

获取数据库名

图片5

枚举数据库

system_user 当前用户

sczg***

开启了混合验证windows和sa

读取sa密码乱码(最后才知道数据库保存的是二进制的数据)

图片6

是sysadmin权限

判断xp_cmdshell是否存在

建立cmd表(无法建立)

获得信息:

本地测试OPENROWSET

将本地的用户表写入远程数据库test strs表中(执行成功)。

测试命令执行(失败)。

错误1,服务器 ‘WWW-8A691A6C*** 上的 MSDTC 不可用。

解决方法:服务–>Distributed Transaction Coordinator–>属性–>启动

错误2,该操作未能执行,因为 OLE DB 提供程序 ‘SQLOLEDB’ 无法启动分布式事务。

[OLE/DB provider returned message: 新事务不能登记到指定的事务处理器中。 ]

解决方法:未能解决

在寻找解决方法的时候无意指定了远程数据库,竟然提示登陆失败,表示数据库可以远程连接,然后没报多少希望的测试弱口令,发现密码scz***竟然登陆成功(能想到这个密码也是先前读取的数据库用户名是这个)。第一次的端口扫描显示1433端口是关闭的,不过最近管理员可能为了方便远程管理而临时打开了,端口开放情况有改变(很多时候管理员会做一些新的配置,开放一些新的端口或者测试服务,这时候往往会是APT的突破点)。

mssql管理工具连接数据库

开启xp_cmdshell

查看IP

图片7

(xp_cmdshell执行命令)

查看用户信息

net user

图片8

(select 用户hash)

http://www.cmd5.com解密出

login/1

hsmisLogin/1

在本机数据库里找了半天,没有发现我们要找的妹子的信息,考虑本机的数据库内容可能不是最新的。

之后打算上传webshell,不过使用sqlttols自带的上传始终未成功。之后使用

方式写马发现网页无法找到,多次尝试后猜测主站不再此此服务器上。

其他尝试(尼玛,下面方法都还未成功,可以直接忽略。):

最后苦逼地浏览数据库每个表(体力活),找到一个用户最后登录时间记录表,里面竟然有登陆用户的密码(我勒个去),用此密码可以登录协同管理系统,最后找到妹子电话号码。

数字化校园管理系统

图片9

(协同管理界面)

第二天小伙伴翻看了磁盘内的所有文件(重要的是网站目录下的数据连接文件,体力活啊),找到一些数据库配置信息,包括口令和数据库服务器IP。然后小伙伴用作晚的管理密码登录后台查看,在邮件上传的地方成功上传webshell。

图片10

(后台邮件上传)

在mssql中直接建立管理员账号(如果是webshell就用漏洞提权工具,比如MS11_46.exe),lcx反弹远程3389端口,登陆桌面getpass获得管理员密码,清除建立的账号。

在这里有一个细节,登陆服务器查看了远程桌面连接历史记录,挨个尝试登陆(有时管理员为了方便会将登陆信息保存),在登陆234机子时显示的登录名是\\PC-532HB\532***,这里可以猜测管理员用户名可能是532***(其他用户几乎都是adminisrator,只有管理员会操作服务器)。

图片11

获得的信息:

mssql:sa/scz***(通杀)

mstsc:administrator/windows

入侵数据库服务器

IP:122.122.***.***

使用windwos密码无法登陆(很多时候管理员记不住那么多密码,很可能将自己维护的许多机子设置成同一个密码,当我们获得一个密码后可以大胆的发挥你的想象力了)。

最后继续翻看了***服务器,打开mssql管理器,里面保存了183服务器的连接信息,不过查询管理器是普通用户登陆的,密码是1(其实可以用MSSqlPass.exe工具读取密码)。在企业管理器里将login提权(加入sysadmin组),然后执行建立账号命令。远程桌面连入执行dump密码操作各种出错,最后是用procdump+mimikatz获取到administrator密码。其实当时没考虑到杀软的影响,mimilib.dll被360杀毒拦截,本地账号taskkill结束360会权限不够,我们使用233服务器远程连接183MS数据库 xp_cmdshel执行taskkill命令成功结束360进程(360sd被MS干掉咯)。

图片12

(mssql2000企业管理器)

图片13

(修改login账户权限)

图片14

                              (MSSqlPass.exe读取密码)

获得的信息:

数据中心服务器Data-center

122.122.***.***:3389

SQLDebugger/ruo@123.  //后门密码

Administrator/windowsweb  //procdump+mimikatz获取

MSSQL:2433

login/1

sa/admin

远程备份数据库下载回来导入本地

1,备份数据库

–备份数据库HealthSchoolMIS到D:\Hs.bak

图片15

(sqltool连接数据库执行备份)

2,建立数据库HealthSchoolMIS,也可以任意名字,后面使用WITH REPLACE 在现有数据库上强制还原。

–返回由备份集内包含的数据库和日志文件列表组成的结果集

图片16

(日志信息)

3,还原

–指定还原后的数据库物理文件名称及路径

其他

Oracle 11g

zfxfzb/zfxfzb //权限未知

图片17

(orcale管理界面)

渗透其他服务器

可能管理员后期做了其他配置,致使端口开发情况改变,对目标IP重新扫描。

命令成功完成。

主要服务器

部分日志

目标1:尝试拿下管理员机子

收集密码

  1. 数据库
  2. 网站登陆数据库
  3. 社工

查看HealthSchoolMIS数据库时MEM_GENINF表显示了类似base64加密后的密码字段,不过base64解密后乱码,也没有找到老师登陆信息,于是下载了ECM整个网站文件,查看连接字符串后发现使用的还是183的orcale数据库,orcale保存的是最新数据应该是无疑了。

从代码中查找信息:

  1. 老师和学生登陆判断所使用的表,这样可以直接DUMP此表。
  2. 密码加密方式,可以解密加密后的密码。

导出orcale数据库

Lcx反弹内网183 1521端口,本地Navicat Premium查看数据库。

图片18

密码加密方式:

这是java MD5的实现,开始以为是base64,研究了半天,后来发现可以在http://www.cmd5.com/网站直接解密常见弱口令。

在查看employee_login表时看到密码qd,猜测可能是个用户名,然后查看前面收集到的资料只有名字秦丹最匹配,用此密码登录邮箱成功。

获得信息:

秦 丹 3618****@qq.com 90***/ ********qd(密码可登陆邮箱)。

前面确定了网管机和网管拼音简写,后面开始收集网关信息,猜测rdp弱口令。

确定网络管理员名字为hb,(\\PC-532HB\532HB)

雇员表数据库有两个拼音类似,其实开始没看到有两个,以为网管名叫黄博,结果找了半天没找到多少有用的信息,后来再看employee表才看到还有一个名字。

55780(Em_id) 黄博 51****19811103****,11/3/1981

90121黄波51****19821220****,12/20/1982,1399007****,学校在编在岗

employee_login表90***最后登陆密码为Huangbo****

登陆秦丹邮箱查看QQ联系人,猜测hbQQ号码

(可能邮箱”黄波”<39830****@qq.com>;”黄波”<36043****@qq.com>;)

图片19

 

接着我们登陆教学资源网站数据库模糊找

最后通过lastloginip字段122.122.***.***(这是网管机)值判断网关真名叫黄波。

图片20

黄波,男,1186e041de1552cc***17d014caa47(解密hungbo_***),39830****@qq.com,1399007****

Hydral跑弱口令

目标2:尝试主站

主站

\\ZGWX-PA***     //网站数据库机子

ping ZGWX-PA*** 返回122.122.***.***地址,判断站库未分离。

根据233 D盘目录猜测网站可能路径,然后使用注入点写webshell。

MD说好的晚上猜目录写shell,结果网站奔溃了一晚上都没好。

于是乎只有考虑通过远程数据库写shell,不过数据库密码不通用了,我们只有反编译主站dll从中寻找数据库连接字符串了。我们从233网站D盘备份目录导出网站dll文件反编译,dll文件比较多找了半天才找到是哪个dll。

图片21

(.NET Reflector反编译DLL)

连接字符串:

通过233远程连接230,查看D盘目录结构,判断网站目录位置,xp_cmdshell写webshell(其实网站结构和我们预估的结构类似,通过网站注入写webshell应该也没问题,不过还要考虑是否有写入权限,通常我会写到图片或文件上传目录和编辑器目录)。

图片22

菜刀连接

图片23

minidump导出密码

图片24

获得信息:

Administrator/windowsweb1

目标3:监控机

Arp绑定表显示了监控机的IP,浏览器访问直接跳到登陆地址,baidu搜索url关键字,发现是**监控系统,然后baidu默认密码(系统都未修改默认密码)。

http://122.122.***.***/doc/page/login.asp

admin/12345

后记

后期翻看了管理系统代码,找到登陆所使用的表,不过在orcale库中没找到对应的表,应为不熟悉java,有点蛋疼,3000多个表就没细看了。

图片25

(jd反编译class)

内网其他机子,最后上hscan扫描弱口令,种马之类的就不说了。本次渗透前期收集了一些有用无用的信息,突破点在mssql口令。进入系统后可以查看用户操作历史记录,读取系统软件缓存密码进一步渗透。不过遗憾的事没有拿下网管机,键盘记录器工作也不太正常,但想要的信息拿到了,没有比这个更重要的了,不是么?

[via@若 / Mr.X]

注:本文系投稿91RI的文章,作者:若。本文奖励Bugscan邀请码一枚,文章内容较为敏感,不允许其他站点进行转载。谢谢!