一次对星外主机的渗透

由于某人做的一些事情实在太过分了,所以准备给他点教训,真好最近几天正在学习这个,所以准备拿他开刀了,由于他本人也是对什么黑客比较了解的,听他描述是从vblog1.0改的,我想应该没什么漏洞,我也对这些不是很懂,所以准备从旁站下手,下手的目标是一个php168程序。

第一个思路是注册普通用户,然后使用购买超级管理员权限的漏洞(http://site/member/buygroup.php?job=buy&gid=3),也不知道那个网站多久没打补丁了,进去后台之后找到模板管理的地方写入php一句话失败,之后用了:

http://site/member/post.php?only=1&aid=1&job=endHTML&showHtml_Type[bencandy][1]={${fwrite(fopen(base64_decode(‘eC5waHAg’),‘w’),base64_decode(‘PD9waHBpbmZvKCk7Pz4g’)) and print(‘ok’)}}

生成http://site/member/x.php,成功生成一句话,拿到shell后发现可以执行aspx,asp,php,星外虚拟主机,权限目前只发现只有一个可替换文件目录可以上传执行(c:\Documents and Settings\All Users\Application Data\Hagel Technologies\DU Meter\log.csv),经过一个晚上测试,未发现可写目录。中间发现可替换文件执行后常驻进程,无法结束,无法替换,在先前看系统信息的时候发现该系统上线11个小时,预测挥第二天重启,所以等待第二天重新上传其他可执行利用程序。

中间读取了星外的两个注册表,其中一个被破解,另一个未破解,被破解的密码无法登录mssql。

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost\

第二日,继续找目录,使用星外提权工具无法找到id,突然想到,找windows 2003 exp,找到ms11-080漏洞,上传执行,成功添加账户,不过连接不上3389,在先前寻找目录的时候找到iis的ftp目录,看到了默认目录,于是使用该账户连接ftp,成功登录,并有可读,可写,可执行权限,但上传cscript.exe读取iis用户无会显。

断网,等待可以上网之后继续…

网络正常后,我再次连接ftp已经不能连接了,不过我传的文件还在,原来执行cscript.exe无效,这次抱着试一试的想法再次执行一遍结果成功获取到了所有的iis账户。

无图无真相,这个实在没有图片,由于本人也在学习中,所以无法提供截图。

这次主要认识到了对星外的提权,如果防护的话应该打好补丁。

没有评论: