目标系统及软件版本
Linux2.6.18-8.el5PAE
Apache2.0Handler
Mysql5.0X
Web程序为Joomla(php)修改过的删减版本
文:逆风飞扬
渗透目标主站Web管理权限修改目标漏洞和系统弱点
本案例的测试流程
1首先通过对网站进行一个初步的架构分析,Whois查询,和查询同服务器下的挂靠的其他网站.查看网站是否有其他分流负载服务器
2.通过浏览网站的默认的phpinfo.php和结合Whois信息对网站进行一个信息收集.了解目标都有哪些伺服器为其提供服务.
3.通过现有的扫描器对目标的系统软件版本开放端口进行扫描
为了排除扫描器误报手工telnet测试了端口只有2280有效开启
4通过Web安全扫描软件如jsck.exeWVS对网站以及旁注所得的地址进行全局的扫描主要包括
XSSSqlinjectiondirbruteforceFileCheck文件包含漏洞任意下载漏洞和备份文件下载测试.可以根据收集到的网站名编辑字典如目标域名为www.xxx.com可以编辑扫描器字典文档为xxxadminxxxwebadminadminxxxxxx.rarxxxblack.rarxxx.sql.bak等等这些.扫描目标或者根据源码信息搜索分析网站已知的odayexp或者是否存在在线编辑器或者其他的如phpmyadminewebeditor/CuteSoft_Client/fckeditor.等并进行相对应版本oday的利用测试.
通过手工判断和后台路径扫描器扫描后后发现目标存在注入,存在/administrator/没有找到对方的phpmyadmin路径但是因为过滤了注释号不能直接使用语句注入获取信息,需要转换
大概的演示
http://www.xxx.com/play.php?song_id=1,and0=0and1=100对方过滤了and1=1等。
http://www.xxx.com/play.php?song_id=1,1)/**/uNion/**/selEct/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/mysql.user/**/where(1=1
之后注入过程中发现目标Web于sql分离mysql权限是root.
http://www.xxx.com/play.php?song_id=1,1)/**/uNion/**/selEct/**/1,2,database(),4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/mysql.user/**/where(1=1
xx@localhost
xx@192.168.x.200
http://www.xxx.com/play.php?song_id=1,1)/**/uNion/**/selEct/**/1,2,load_file(0xxx),4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/mysql.user/**/where(1=1
运用自己长期收集的字典扫描目标发现其phpmyadmin复杂路径
WelcometophpMyAdmin2.5.7.(也可以通过搜索当前版本的漏洞信息进行利用)比如
www.exploit-db.comwww.milw0rm.com还有国内外其他一些漏洞公布站点寻找
通过注入读取对方配置文件信息得到密码进入phpmyadmin后显示
由于目标Web于SQL分离不能直接写入WebShell,通过登录后台管理继续
查询了对方的admins表后发现目标管理员密码采用的是sha1加密,破解比较麻烦(一般原则是不改动目标但是通过破解后没有破解出密码)我们通过替换对方的管理员的密码sha1进入后台。
发现是修改过的版本,大部分功能已经丢失.继续.返回主站用这个管理账户登录个人管理发现有一头像上传功能通过抓包上传测试,得知对方禁止了php允许jpggifbmp但是可以上传php3php4会检测文件头。我们加过然后上传php4给出了地址,但是目标没有解析php3和php4放弃这条路.我们返回phpmyadmi收集信息。查询标段得到管理的一些隐秘的信息,如邮箱可能的密码或者是前辈留下的痕迹.此路不通我们暂且放下,通过旁注这个C段发现目标和另外一个站的关系甚大,同段ip临近.管理账户存在相同.通过收集到的密码试探下,看是否能通过迂回渗透到目标.通过仔细分析得到了一些信息。之前分析了目标,流量较大
人气高,单个服务器带宽是满足不了的.或许C下还有其他分流负载的服务器.编辑了工具字典文档扫描了C段。(因为目标以及C类都有防火墙保护,外部扫描可能会被屏蔽.我在这个过程中成功拿到一台windows2003在文章后会有仔细的说明)成功获取到一台SSH的root权限.
查看目录是否有何目标有关的备份文件端口连接信息配置文件管理使用过的命令管理习惯以及当前OS的版本配置信息域信息等等
管理有su的习惯
连接本地的MYSQL
综合信息表明这台服务器是目标的SQL服务器。Web的地址是192.168.0.100.
收集了管理的密码信息,连接Web的SHH,没有成功.这时我需要一些工具来帮助我完成渗透
Fakessh.csu.c.加载分析管理登陆时间等待明天收取密码
*
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡