渗透测试

从一无所有到服务器权限+社工思路

字号+ 作者:kiang70 来源:i春秋社区 2016-11-25 10:46 我要评论( )

难易程度★★ 阅读点 基础内网渗透技术,涉及弱口令、社工等内容 文章作者野驴 文章来源i春秋原创奖励计划 本文原创作者:野驴,本文属i春秋原创奖励计划,未经许......

难易程度  ★★
阅读点    基础内网渗透技术,涉及弱口令、社工等内容
文章作者  野驴
文章来源  i春秋原创奖励计划




本文原创作者:野驴,本文属i春秋原创奖励计划,未经许可禁止转载!

0X01 前言
最近工作忙成狗,欠了好几篇帖子,版主(@坏蛋)都催好几次了。这次给大家带来的仍然是一次授权渗透测试。目标是一家OA公司,并且是主站是asp站点,很久没有测试asp站点了,早些年多一些。闲言少叙,客官,您看好喽……

0X02 获取webshell
前期信息获取发现该公司子域名不多,且主站为独立服务器,没有旁站,排名还比行。初步肉眼判断也没有发现很明显的漏洞(如注入等),但在主页有留言板,俗话说,有输入的地方,就有风险。管它三七二十一,先输入个XSS语句再说。


输入完XSS语句后,也没报太大希望,去吃饭了,回来正准备上扫描器,结果XSS平台提示打到cookie了,当时菊花就紧了一下。

不过也别高兴太早,没准儿过期呢,还好成功进到了后台,O(∩_∩)O哈哈~,后台比较简陋,通过上传拿到了webshell,限于篇幅,以及获取webshell并不是被本文重点,不深入。


0X03 内网漫游
ASP权限设置较为严格,不允许脚本执行、也不允许目录跳转(如图),并且为内网。

菜刀连接PHP,执行net user,我和我的小伙伴们都惊呆了,竟然有100多个用户。

根据我的经验,只有虚拟主机才会有这种情况,但其命名规则又与虚拟主机不太一样,没有明显的规律,比如ZX001、 ZX002,而更像个人用户的命名习惯,仔细想了一下,这是一家公司的服务器,使用习惯使用规则肯定有别于虚拟主机,因此入侵思路也要相应做调整,既然是 一家做OA的公司,那自己公司的业务不用说,肯定也大都在网上进行处理。在大马里查看下端口,发现本机开放了21,1433,5631(提权会用 到),reGeorg开个代理进内网,namp扫了一下内网网段,发现一个邮箱系统和一个OA办公系统。



看到开放这几个端口还是很高兴的,先看1433,经过测试(其实是很漫长的……),既没有弱口令,也没有找到其他利用方 法,就先放一放,再看21端口,本来希望是第三方FTP服务器,比如Serv-U什么的,思路就能打开,结果是微软自带服务器,转念一想,刚才既然刚才执 行net user时,发现用户空间那么大,难免会有个别用户安全意识薄弱,并且已经获得这么多信息。何不做个FTP的字典呢,说干就干,以刚才取得的用户名和公司 电话网址还有刚才取得的用户名作为关键字,利用pentest(神兵利器之PentestDB)生成爆破字典,再用H-SCAN进行FTP跑字典,选择NT弱口令、FTP弱口令、邮箱弱口令模块开始扫。一根烟的功夫就有结果了。

登陆上去一个用户,目录限制也很死,但是发现一个类似日志一样的文件

那可能就是管理员,即使不是管理员权限也应该很高吧!继续往下看,果然有收获,找到一个EXCLE文件,里面是邮箱的用户信息,而且邮箱地址正是先前踩点找到的,但是密码是MD5加密的,试着破解了几个,大部分已经失效了。

只登上去两个,南京办事处和总经理的。。。。。。越是老板安全意识越薄弱啊。邮箱通讯录里有公司内部所有的邮箱地址:

还有OA协同管理系统,看到没有验证码,第一印象就是爆破,我把以上邮箱的联系人姓名导出,用脚本转化为拼音全拼(https://github.com/mozillazg/python-pinyin) 生成字典和刚才用户名的字典合并为新的字典,对OA系统进行爆破,一般来说这样有针对性的字典,爆破成功率是很高的,难免有弱口令产生,但是!!!!由于 挂着代理,极其不稳定,总卡死且担心大流量的爆破会影响业务,就放弃了。转而想到社工,凯文米特尼克在《欺骗的艺术》中说过,对权威的畏惧是人类的天性。 这就是接下来要运用的社工手段,看见上面的技术部没有。我想他们肯定有OA管理系统的管理员权限,因此我就用总经理的邮箱,以命令式的口气给技术部的邮箱 发了一封邮件,要求他们尽快把OA系统管理系统的管理员账号和密码发到南京办事处,聊天截图由于授权原因不能贴。我寻思着,乐观点也得一天半载有回复吧, 没想到,一根烟的功夫,南京办事处的邮箱就收到信了,用户名、密码就躺在里面。不得不感慨社工的力量。登陆OA系统。


到这,我们可以继续以董事长的身份继续社工,天马行空。但对渗透目的意义不大,点到为止。

0X04 第三方提权
刚才扫描发现开放了5631端口,有经验的白帽子肯定知道,这个端口是pcAnywhere的默认端口,果然在webshell里找到了pcAnywhere路径

Webshell里自带了pcAnywhere提权功能,但测试无效,目测有安全策略。但pcAnywhere还可以破解明文密码,在安装目录下找到*.CIF文件,下载到本地,可破解明文密码。


成功登陆pcAnywhere,难以想象,一个OA公司,服务器竟然还是WIN2000。早知道MSF溢出搞定。

重在思路,客官可还过瘾?

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Security/284.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 一个弱口令引发的服务器沦陷惨案

    一个弱口令引发的服务器沦陷惨案

    2016-11-24 20:33

网友点评
暂时未开启评论功能~