一次运气好的渗透测试

一、基本情况:

  • 服务器环境:Apache/2.2.14 (Win32) PHP/5.3.1
  • 服务器IP:1.2.3.4
  • 网站类型:PHP,网站程序采用joomlaCMS
  • Whois信息:没有对whois做查询

二、思路的定制

由于网站采用joomla程序,joomla程序作为国外一宽很常见的程序用到的特别多,而joomla程序本身也是比较安全的,可能你会说,你不是说安全么,为什么exploit-db上有他的漏洞,注意看,我说的是本身是比较安全的,没有说它的插件是比较安全的

1

三、实施阶段

信息收集

1、robots文件:

默认后台:www.123.com/administrator

2、测试phpinfo

存在:http://www.123.com/phpinfo.php

得到物理路径和一些其他的信息

渗透开始

一、WEB篇

  • exploit-db.com

在上面寻找以知的漏洞进行各种测试,无果,过程环节各种蛋疼,测试了很多,都特么的不成功,陷入蛋疼过程,浪费了一些时间

难道真的要旁或者C,这可是一个不归路,算了,再GOOGLE一下吧!也许会有奇迹发生

  • 奇葩的转折点

通过GOOGLE的各种搜索,搜到了一个链接,打开看看,其实没抱有希望的

2

在option的参数后面加个单引号爆出了SQL语句,难道这里有注入,继续测试,这是个希望,当继续测试and 1=1 a=a or 1=1 a=a等均302跳转

好不容易找到一个能报错的页面,难道就放弃,不对,也许是我手工技术不行,姿势不对,果断的丢sqlmap

3

神器就是神器,果然有,瞬间,心中涌起万匹草泥马,终于有突破口了,抽支烟,平复下激动的心情,先把裤子脱下来

4

到了这一步,哦!找到了注入,找到了物理路径,来吧!看看权限,看看能不能直接写,是DBA,运气啊!人品啊!心里那个高兴啊!

5

PS:由于是事后写的文档,没图,就看字心里高高兴兴的去交互写SHELL———–失败
–file-write——–失败

各种测试,花了些时间

没事,咱不是还有后台账号和密码么,解密去

6

CMD5、群各种解密,各种问,好吧!没解开,,蛋疼了,不过还好,没到绝望的地步,一个新的思路出来了,update下管理员的密码,拿到shell再把密码update回去可否,说干就干,,可惜失败了。还好,还是有希望的,

读下配置文件,看到配置文件里面的东西了么,邮箱、数据库,看到这路思路有来了

7

思路一:看看是不是有phpmyadmin或者MYSQL是否开启外链测试结果:失败

思路二:利用邮箱找回密码

测试结果:登陆了两个邮箱,均测试失败

再次陷入困境

峰回路转进入后台

当所有的希望都放在破解后台密码进后台的时候,公司的服务器还真没放我失望,爆破成功,当我拿到明文的那一刻,我果断的跑厕所去尿了一泡

8

尿完回来听着一首“咱老百姓”继续干,Joomla后台拿shell比较简单,添加一个PHP

9

然后上传一个shell,上传以后目录为/images/xx.php OK,SHELL终于拿下,下一步,提权内网

10

二、内网篇

拿到SHELL了,当然是先提权,看了下权限,运气真J8好,直接system,但是一看IP,哟西,内网果断的添加账号+转发

11

拿到第一台服务器,运气比较好

12

Net view一看,吓尿 这么多,查询域用户,卧槽,不是一般的多

13

恩,整理下思路,现在有内网服务器一台,接下来就是抓hash,说干就干,抓到不少,

14

OK,经过对抓到的hash进行分析,net user /domain查询域账号的时候得到了很多用户,同时也得到了DC的地址User accounts for \\123.456.com,

通过ping得到的地址抓到了ip,同时在WEB服务器上抓到hash有一个账号密码和域中的一个账号密码是一样的,果断尝试登陆,登陆成功拿下第二台服务器

打开域一看,我的乖乖这么多,既然是这样继续抓域控的hash秒杀内网去

15

打开DNS看了下网段,晕了,共享更多

16

总结:

内网漫游还未全部完成,内网确实大

可能运气成分比较中

 

*来自ArriSec Team 宝-宝原创投稿,未经许可不得转载。

原创文章,作者:ArriSecTeam,如若转载,请注明出处:http://www.mottoin.com/article/intranet/85113.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code