和檸檬草叔叔的淚奔史:從注入到內網漫游 2015-10-16

作者:王松_Striker && 檸檬草
郵箱:song@secbox.cn
團隊:安全盒子團隊

前言

注入點是jcms的一個注入點,然后進行注入獲取密碼以后,安全核心核心成員wefgod對密碼進行了逆向(在此感謝wefgod大神),但是登陸后臺提示密碼錯誤,各種無解,最終發現注入點可以執行命令,自己鼓搗了很久無果,于是拉上草叔叔,就有了下文,非常精彩的一個過程。

0x01撕開內網入口

松叔叔給我發了一個sa權限的注入點。條件是:庫站分離。
ps:也是比較蛋疼的,sqlmap的回顯比較慢,雖然可以加上–threads參數提高線程速度,但是還是有些偏慢。
其實最不好的處理的是庫站分離,而且是在內網里面。
xp_cmdshell松叔叔把它恢復好了,然后執行命令就好:
http://www.xx/xx.jsp?xxid=11;EXEC master..xp_cmdshell ‘命令’–

思路:
1、ftp下載遠控
2、vbs下載遠控

但是這一切都需要內網能夠連接外網。
執行命令,ping了一下百度。

1812338973

www.a.shifen.com是baidu的保護殼,這證明是ping的通的,于是echo寫ftp。
接踵而來的是工具執行一條命令好像會被執行兩次…

3441979295

這就導致ftp不能成功登錄。

思路:
1、手工在注入點寫(可能是工具多執行了一次把?)
2、帳號設置為open ip,這樣就可以登錄進去,后面的錯誤命令不會導致出錯,可以無視。

最后還是松蜀黍V5的實現了思路1,得到了服務器,我在本地實現了思路2,但是最后不知道為什么還是沒有執行成功download到木馬。

2287893544

0x02 內網漫游

@echo off 
setlocal ENABLEDELAYEDEXPANSION 
 @FOR /F "usebackq eol=- skip=1 delims=\" %%j IN (`net view ^| find "命令成功完成" /v ^|find
 "The command completed successfully." /v`) DO ( 
 @FOR /F "usebackq delims=" %%i IN (`@ping -n 1 -4 %%j ^| findstr "Pinging"`) DO ( 
 @FOR /F "usebackq tokens=2 delims=[]" %%k IN (`echo %%i`) DO (echo \\%%k  [%%j]) 
 ) 
 ) 

用這個bat跑了一下。大致了解一下內網情況。只有一個工作組

2922790959

當前我們是處于192.168.2.15這臺數據庫服務器,根據電腦名猜了一下,可能192.168.212或者192.168.2.14是web服務器。

抓了一發服務器的管理員密碼,然后感覺這密碼還有點規律啊。
aaa@bbb 其中bbb是電腦名的前綴,然后就是各種構造密碼爆破。

822763967

其中也試過MSSQL憑據密碼獲取工具,但是密碼還是沒獲取出來。
對c段的ip掃了一下端口。
天清漢馬USG防火墻:

2581807723

一個web服務器:

2664080091

手工檢測了一下,是有sql注入的,但是沒找到后臺。
然后就是各種翻服務器文件,找敏感信息。

0x03 getshell

松叔叔這時候測試目標站的后臺,發現數據庫服務器的管理員密碼能夠登錄后臺。
是一個jcms系統,wooyun一下。
http://www.wooyun.org/bugs/wooyun-2014-064240

3077093201

得到一個shell,然后查看ip的時候,我沒有哭。

1137104905

它就是我已經爆破出來的服務器,而且翻了很久配置文件的服務器。

ps:這不是iis搭建的web,所以我不知道怎么看本地的web配置。

一级A片不卡在线观看