拿下母校的服务器群.docx
- 文档编号:29124399
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:12
- 大小:1.24MB
拿下母校的服务器群.docx
《拿下母校的服务器群.docx》由会员分享,可在线阅读,更多相关《拿下母校的服务器群.docx(12页珍藏版)》请在冰豆网上搜索。
拿下母校的服务器群
彩笔渗透拿下学校服务器群(彩笔不知道有没有这个名词,随便用了下)
介绍:
看过keio的一篇文章,对自己现在的大学网站的检测--湖南电子科技职业技术学院。
上面说到:
在大学毕业之前没把自己的大学高中网站拿下来就不算真正的黑客。
于是开始渗透学校之路。
(这是5月的上旬的事,有点久了,整理了下)文章比较长,请看目标人群选择观看,谢谢。
目标人群:
还未共完成一次完整的渗透过程的新手。
(大牛飘过)
内容:
第一节:
拿下网站shell
首先看下学校主页(希望大家不要捅菊花,彩笔感谢大家配合)
看了一下,主页就是一个页面,其他的全都是链接到其他二级网址。
于是旁站看下。
如图:
只有一个新闻网。
如图:
本人指定拿站喜欢多面开工。
在检测新闻网的同时,扫描网址c段。
做提前准备。
如图:
一共28个网站,其实大家应该知道这不只28个,有许多网站只能在学校内才能打开。
接着,直接将c段网站丢入工具扫描有用信息。
让它先扫描着,回到旁站新闻网,继续检测。
Asp的网站架构,存在防注入,彩笔哪里知道什么防注入,反正是啊D和注入中转无法拿下。
丢入御剑扫描出后台
从登陆页面可以看出,并非管理员登陆后台。
继续加强字典,再扫了一篇。
嘿嘿,真正的地址出来了:
(ps后来发现在谷歌上搜索:
后台管理site:
也能找到后台路径)
如图:
到这里可能就有人就会疑惑,账号密码都不知道,后台拿来干嘛?
我想说的是在这下面有两个渗透思路。
一、猜账号密码,也可以社工。
二、扫描此目录下有无漏洞文件,如数据库、上传、、、
试了下常用的弱口令,没成功。
果断将
上了个厕所后,果然不出我所料,存在上传页面。
(以下上传需要的资料下载:
上传了一个真正的图片上去试了下,名称被修改了。
解析就没办法。
选了个asp后缀的小马,准备上传时,弹出了如对话框。
这个漏洞利用方法很多。
我个人喜欢用火狐,现在在学着使用Burp+Suite这个工具的一些功能,同样也可以突破,总之方法多多。
果断使用火狐浏览器+修改表单修改突破过滤上传。
我选择的是firebug修改了下。
(当然用这个tamperdata也可以成功突破)如图:
在其中加入asp。
右键查看源码得到shell路径
留个黑页,装个b。
大牛勿喷。
第二节:
提权服务器
为了完成一个完整的渗透,只是拿下一个shell根本不叫渗透。
真正的战场是在内网。
扫描了下端口:
只有3389端口开启,其实在5月时21端口也是开启的,我通知管理员后,他关闭了。
找了了可读可写的文件夹,上传cmd执行命令(组建支持wscript.shell)。
执行netuser11/add无回显。
先执行systeminfo看看烤肉和PR的补丁有没有打上.
我靠补丁真多n个、、、顿时不详预感
PR对应补丁号:
KB952004
巴西烤肉对应补丁号:
KB956572
结果看了下补丁打上了、、、小菜就只会这两东东。
怎么办?
好吧也得试试,上传了一堆东西net.exekindle.exeiis.exe......
后面都不想试了。
执行以下shift后门试试看:
copyshift.exe%systemroot%\system32\sethc.exe/y
Copy%systemroot%\system32\sethc.exe%systemroot%\system32\dllcache\sethc.exe/y
Cmd.exe
提示文件未找到。
。
。
。
蛋疼的在硬盘里面瞎找,找到这个东东,记录3389服务163收信后门。
按要求填写邮箱后生成木马,上传上去准备执行,被杀了。
。
。
怎么办?
没办法免杀吧。
可写彩笔哪里会免杀呢。
。
。
本人有个毛病就是喜欢下各种各样的资源,放在硬盘里,解压开。
于是当自己要找门方面的文章或者教程时,直接搜索就行了。
同样,打开计算机,搜索“免杀”结果如图:
找到一个最新的免杀,当时是5月。
。
。
无赖把教程下下来看了看,按着里面的工具一阵胡搞。
。
。
我记得好像是第一步:
打乱dll函数,第二步:
加壳,第三步:
修改签证。
。
。
记不太清了。
按着这几步下来,彩笔RP降临。
免杀了!
!
!
在虚拟机中执行了下,成功执行,还过主动防御。
。
。
上传上去顺利执行,十分兴奋。
接下来就等着学校管理员通过3389远程连接服务器了。
每天早上都会打开163邮箱看看,没有~~~各种想法都出来了,是不是已经被杀了?
是不是。
。
。
彩笔我差点都赖不住等待,由于5月这段时间比较忙,慢慢的就把这个事忘记了。
一周后的一天,习惯的打开163邮箱,一封邮件!
!
!
如图:
于是兴奋的拿着账号密码去连接3389远程桌面连接。
悲剧来了。
连不上。
。
。
可能大家会认为是内网,可是彩笔检查后发现并不是内网,3389端口依然开着。
现在整理了下,3389连接不上原因有一下几个。
望大牛们补充。
1、防火墙。
2、服务器在内网。
3、管理员设置的终端登陆权限只有指定的用户可以。
4、做了ip安全策略。
解决方法:
执行cmd命令:
cmd/cnetstoppolicyagent将IPSECServices服务停了它。
再连3389。
5、做了tcp/ip筛选。
解决方法:
cmd命令:
cmd/cregedit-ec:
\1.reg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip"#导出注册表里关于TCP/IP筛选的第一处cmd/cregedit-ec:
\2.regHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip"#导出注册表里关于TCP/IP筛选的第二处cmd/cregedit-ec:
\3.regHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip"#导出注册表里关于TCP/IP筛选的第三处然后回到c盘1.reg,2.reg,3.reg
把1.reg,2.reg,3.reg下载回来到自己的硬盘里面编辑一下,找到EnableSecurityFilters这个字段看看dword后面的键值是否为00000000,如果为00000001就说明管理员做了tcp/ip筛选,我们只要把1改成0就行了,2.reg和3.reg一样的改。
继续文章,当时就认为是做了ip限制。
我用的网是移动wifi我的ip经常变动,一会山西,一会北京的。
(后来经过试验,发现学校服务器应该是属于第5类的情况。
但是并不知道解决办法)
现在必须利用物理环境了,学校图书馆有免费wifi,应该是学校的一个公共ip,我想应该可以连接服务器了吧。
于是周末带着电脑上图书馆(表示很少上图书馆)。
连接成功!
!
!
如图:
既然服务器拿下了,嘿嘿。
。
。
剩下的各种后门,各种账号,淫荡中!
!
!
第3节:
广阔的内网
前面扫描了下,同一个网关下的存在有41个服务器。
嘿嘿,你说是不是应该拿下?
果断上传cain,嗅探下嘿嘿。
配置了一下,选择嗅探21,80,3306,3389
扫描同一网关下的服务器。
如图:
开始嗅探吧。
已经拿下几个网站的账号密码了,嘿嘿。
经过两三天的数据渗透收集整理。
成功拿下各系各学院的网站。
其中最让我开心的事拿下网络中心。
嘿嘿!
!
正巧同寝室的一哥们的电信的网没钱了(我们学校网费也贵)。
果断给他冲了60的网费。
晚上睡觉就意淫着以后不用交网费,做梦都笑。
嘿嘿
第二天,出事了,学校网络中心打电话给我哥们了,说网络中心出问题了,给你的账户冲了60元,请速来缴费。
。
。
无语了,没办法,也罢。
。
。
但是拿下后还有个好处,就是解除了寝室哥们几个的网速限制,哈哈哈,网速杠杠的!
同也拿下一个永久账号,嘿嘿,我还是可以免费上网的,可以是个教育网账号,不管了,聊聊qq还是可以的。
回过头来,发现渗透数据里面没有教务网的数据。
我拿教务网,绝不是为了什么改分什么的,毕竟这是一个非常危险的事。
怎么拿下呢?
同样,还是通过内网拿。
打开服务器的远程桌面连接,嘿嘿发现有关教务网的信息了
如图:
我靠10086端口。
。
。
我说3389怎么什么也没嗅探到,进去后试了下弱口令。
没成功。
突然想起一件事,既然是从这个服务器远程连接,那么这个密码肯定是本服务器管理员的常用密码,立马试了下学校主站的服务器的管理员的密码(登陆过远程桌面都会保存用户名的)。
成功连接。
。
。
顺便试了下远程桌面下其他ip远程连接,都顺利连接成功。
拿下整个服务器群后(其实就拿下7、8个服务器),装b下,嘿嘿。
到此渗透结束,第二天通知了学校管理员,匿名通知。
嘿嘿
总结
1、彩笔最终拿下学校主要服务器。
2、主要知识点:
路径扫描和真实后台查找
上传突破
pr和巴西对应补丁,以及shift后门cmd命令
另类服务器提权
3389连接不上原因
嗅探端口选择去除无用端口
在服务器上寻找可用信息
By:
yueyan
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 拿下 母校 服务器