[投稿]记一次曲曲折折的渗透之旅

那是一个无聊的下午,我还在折腾我的ettercap,接到基友的呼唤,要用我手上的资源搞个对象,我仔细想了下,如果在对方的局域网内的话,这事就显的好办多了,因为要用139、445这是个校园局域网。于是乎我就开始搞学校的站,因为在校站的服务器上就和这家伙接壤了~所以就引出了这次非常和谐各种曲折的渗透经历啊;)

1、目标发现

想着随便搞个站就行,也没有特定的目标,果断google hacking了一下。手工判断了下找到的几个链接,目测其中一个是mssql,放到havij里一试便知了。人品确实不错,是sa权限,xpcmdshell扩展存储没删。

1 2

中文乱码,反正不介意了,目测2008 R2企业版,64位虚拟机。

 

2、一记闭门羹

net user添加了一个管理员,先试了下3389,提示未开启远程桌面服务,这种情况要么是端口被隔离,要么是换端口了,敲个netstat -an -p tcp,查看所有的TCP连接

3

就是这里,我发现了个比较可疑的端口65533,果然能连上,其实后来回想直接用reg命令查注册表里面的端口值也行的,补充个so easy的方法-b参数显示端口占用的进程

4

现形了没,看到TermService了吧~
虽然能顺利连上远程桌面,但是立马吃了个闭门羹!

5

看到这个你不用怀疑我,我是把账户加进了administrators组的,尝试添加了remote desktop users组,依旧失败,郁闷,本来以为进展挺顺利的,结果这里就有点捉急了,好吧,好在手里还有sa权限,且回头慢慢来日!

6

既然是这样,不如用管理员用的账户登录试试,net user,发现有个gyadmin的账户。比较神奇的是默认的administrator没了,不过这个gyadmin,查看了信息的确是个管理组用户,应该就是这个了,本来打算直接改了密码去登录,不过这事不能鲁莽啊,今天出门带了节操的,嗯,打草惊蛇也不好,各位看官你说是吧,千万不要对号入座哦;)

 

3、getshell好办事

2008默认是不存储lm哈希的,不知道这个管理员的ntlm哈希能不能破解,用pwdump7先dump下hash试试,不过得先拿个shell放菜刀方便上传文件。有sa比较好办了,一路dir到网站根目录,前人栽树后人乘凉,type了个别人的小马,这个童鞋略不可爱啊。

8

菜刀挂之,迅速的传了pw7,但是执行命令回显超时了,怀疑有安全软件,tasklist果然发现有猫腻,目测金山卫士

9

不慌,taskkil /pid  360,这样失败了,这个流氓啊,加/f一试,我觉得这是成功的意思,你觉得呢~顺便说一句/f参数在admin下通杀各杀软,屡试不爽

10

那就接着吧,再没有什么阻拦,顺利的dump了hash

11

guadmin的uid是500,看来就是改头换面的administrator账户了,但是那个ntlm哈希解不开,果然不好对付啊。

料想既然administrator被改名,那个注册表的sam项应该被人为修改过,顿时有个想法:regedit /e 路径xx HKEY_LOCAL_MACHINE\SAM\SAM,导出sam注册表项,然后我看了下对应的路径,居然真的导出了sam!看来管理员的确忘记把那个注册表项的权限关闭了。这下好办事了,等下改完可以导入恢复了(regedit /s xx.reg)。果断改了密码,但是!同样还是失败了,一样的提示无权登录,实在太奇怪了。

不明就里的,考虑还是先搞个交互式的shell看看神马情况吧,菜刀传上了放大镜后门(shift就太明显了),用命令替换了下,这里要注意2008没有dllcache,所有的东西在winsxs里面,先查找后替换,比较麻烦,各位有空自己尝试下吧。

蛮科普下,登录界面的权限比较可爱哦,是system,比admin 还高

12

 

4、问题在哪里?

远程桌面登录不了,我开始怀疑是角色服务没安装,执行servermanagercmd -query(或者power shell 随你便),对比了下本地的虚拟2008,安装的关键角色服务都差不多。其实不装远程桌面服务,默认也是可以登录远程桌面的,只不过最多才允许两个终端用户。一切看起来是那么正常,费解了。

原本我犯了个错,以为登录界面explorer是不能调用的,期间还尝试去关闭欢迎界面调用经典登录,不过失败了,各种纠结。不过我发现lusrmgr账户管理是可以调用的,直接explorer了,可爱的桌面底栏还是出现了啊,空想无益,不如动手一试啊!

13

账户管理里面看了下没发现有什么不对劲的,远程桌面是允许的

14

 

5、困难重重

反正目的是要个图形界面来操作,达到这目的就成了。记得metasploit有个 vnc远控,尝试这个,结果发现2008不支持run vnc的,不知道是不是哪里有问题,我猜可能是那个内网IP问题吧,不过没办法我是挂在路由器下面,但是我的49也是DMZ主机了,对方cmd执行tasklist下也没看到vnc相关进程。此路行不通了。

15

16

这么费力都登陆不了,管理员自己能登录么,开玩笑吧,试着输了个命令发现了点蛛丝马迹

17

 

domain,难道说这是个域控的机器,管理员平时都是用域控账户登陆的吗?如果这就是真相,那就来dump域控的hash,一试便知!

这个比较程序化,并不复杂,我用vssown.vbs脚本来搞,为方便改了名do.vbs。

说下几个参数的意思:/start是启动服务,/stop是停止,/status查看服务状态,/create C创建C盘hash的快照,一般系统都是装在C盘的,/list查看所有建立的快照。命令中的.代表当前目录下。

18

最后还是失败了,dump本地hash都正常,dump域管理员的时候提示不存在了。一定记得善后,用/delete * 删除所有建立的快照,免得被发现。

19

赶紧用servermanagercmd -query看了下,这里关于ad的通通没装啊!(绿色高亮颜色+x标记代表安装)看来不是通过域控管理的,后来小伙伴告诉我机器可以直接这样加入域里面,不添加ad的。

20

那这样看来管理员的确是通过gyadmin登录的啊,而且查看gyadmin有最近的登陆记录,那为什么我登录不了啊,一点都不科学!query user看了下,机器应该重启过了,没有存在登录的会话。再次陷入了僵局。

6、成功突破防护

为了验证下之前的判断,我做了个大胆的决定,在IIS管理器里面把网站stop了!等管理员来启用的时候我就知道怎么回事了。等啊等,网站一直404,直到第二天早上终于看到网站正常了,果断登录,调出放大镜后门,query user一看,果然是gyadmin这货,本地会员是console会话,看来只是不允许远程登录而已了

21

灵机一动,想到一个好主意,任务管理器大有可为啊!cmd调出taskmgr

22

华丽丽的成功登陆到了桌面,这机器配置还算不错~

23

开始以为是sa权限的注入点,你会想到后面有这么多怪脑抽的故事吗?!不懂安全的管理员总是会有这些乱七八糟的鬼点子来对付你,简直哭笑不得。折腾了两天,终于拿下,总算可以进行后续的渗透工作了。是个有意思的段子,学会了不少新姿势,不枉此行了~

编辑注:可能有的同学没有认真阅读文章,在没有搞清楚具体的情况下就吐槽了。我们这里帮作者做个简单的说明,本次的环境是本地用户均不允许远程登录,本地的用户只有本地登录权限,没有远程登录权限。作者最初的思路被固有的:获取system,add用户,然后3389上去,给限制住了。至于为什么不直接dump域管理的hash是因为一个关键的因素:域用户从未登录过本台机器。

你可以理解为:此服务器本身就是不希望被远程登录,只是管理员忘记关闭3389了,而作者的思路被固化的限制住了,才导致了曲折。

一切的渗透都只是靠思路,一个好的思路是成败的关键。所谓工具等等那都是其次,渗透是个艺术,与管理员之间对抗的艺术。小伙伴们你们说对吗?

还有的是,我个人希望91ri.org不要变得像某些站点一样,读者都是一些无脑的吐槽狂魔,除了吐槽讲不出一点点有意义的东西。分享与阐述你的见解是件非常好的事,但由于自己不注意而导致的将文章原意理解错误,那么就是你的问题了。

最后,感谢在文末提出自己观点的小伙伴。同时我代表91ri.org团队真心希望91ri.org能与小伙伴们在一个良好的沟通交流环境里一起成长与进步。无论怎样,只要大家愿意学习在xxoo论坛时的那种共享与感谢精神:要么对帖子的内容提出质疑,要么就一句:楼主好人,楼主辛苦了,楼主一生平安。

赏金发放情况:本文获得赏金120RMB,已于4.27日发放到作者账号。

征稿启事:91RI一直相信“你不与人分享,谁与你分享”, 分享的确是件非常有意义的事情。为了让优秀的同学有 地方分享自己的独到见解,也为了让更多同学从分享中受益,同时我们也希望给那些愿意分享的小伙伴们一点点心意作为感谢,所以我们隆重了推出“有奖征文”活 动!本次活动的详情可以围观《征稿启事