记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

细节决定成败

2013-07-01 16:50

Author: A11riseforme [F4ck Team]
QQ: 你猜
Email: 你再猜
http://www.a11riseforme.com
DATE :2013.6. 作

哎呀好久没写东西了,其实俺这段时间一直都在好好学习~
直接介入正题,前段时间玩命叫我帮忙提权一台linux,不小心就提下来了(是真的不小心,提下来了我都不记得我用的哪个exp),然后就顺着那个站逛到了了它上头的那个公司,看着名字挺牛逼的就想搞下来了。
这个站我在某个群里发过求助,如果有谁觉得熟悉的话,请不要透露这个站的地址,谢谢合作!
各种踩点就不说了,搞清楚操作系统,web容器,开放端口,服务啊什么的都是必需的准备工作,nmap扫描的同时我也在那个网站上逛了逛,网页脚本语言为jsp,搭配strut,不知道有没有远程命令执行漏洞,这时候nmap结果也出来了。

<ignore_js_op>1.png

这网站肯定有数据库,要不然就是站库分离,要不然就是内网,或者皆而有之。这么大公司,还有股票的,估计是内网,还有一个IDS。
点开一个链接
http://www.xxxx.cn/xxxx/xxxx.action?id=1
简单判断之后确定是注射点,数据库是mysql的,过滤了select,一旦出现select就返回404
暂时没有去想怎么绕过,本身就对注射无爱了,看下有没有命令执行漏洞吧

<ignore_js_op>2.png

果然有,那就有很大的可能拿下了
试了下执行命令,net user 可以执行,可加用户可提升权限,net start 可执行,发现是虚拟机,ipconfig可以执行,得知是内网,tasklist可以执行,发现装有360,taskkill无法执行
dir 无法执行,但是可以用上面那个exp的文件管理功能来列目录,只是不能用来寻找文件了,有点麻烦。
echo无法执行,不能写入shell
type无法执行,但是可以用上面那个exp的文件功能来查看文件内容,没有多大关系。
del无法执行,如果在后台尝试传马需要特别小心,因为无法删除
ftp命令可以执行,但是无法通过一行命令来下载木马到网站目录,需要分次输入用户名密码,如果有谁知道方法还望告知,谢谢。
copy命令无法执行,无法上传jpg然后copy成jsp。
rename命令无法执行,无法上传jpg然后rename成jsp。
move命令无法执行,无法上传jpg然后move成jsp。
reg命令可以执行,成功导出hash下载到本地,cain加载读出hash,在线破解把administrator权限的hash给破解了,但是因为机器在内网,无法直接连上,暂时只能当作敏感信息,鸡肋。
感觉有点棘手了,怀疑那么多命令无法执行是因为环境变量还是什么关系,想反弹个shell到本地试试,发现无法反弹回来。
于是用exp的文件管理功能来翻服务器上的文件,看下有什么敏感信息。
发现根域名下还有一个cms目录,后台为cms4jadmin,谷歌之后得知这套cms叫cms4j,有一个文件下载漏洞,但是本身exp就有下载文件的功能,所以比较鸡肋,前面得到的注射点不是cms4j下的文件,尝试跨库注入,得到帐号密码之后进入后台。
Pangolin,havij均无法注入,估计是无法绕过select,但是sqlmap可以成功注入,注出来的密码为md5值,cmd5无法解开,开始翻数据库连接文件。

<ignore_js_op>3.png

尝试用数据库密码newsXXXXX登录后台失败,尝试用XXXXXnews登录成功。

<ignore_js_op>4.png

上传文件功能过滤使用白名单,无法绕过上传webshell,其他功能无法利用。
开始思考别的dos命令可以写内容到文件或者修改文件名之类的。
突然想到xcopy命令,但是我记得xcopy命令是用来批量复制可以把指定的目录连文件和目录结构一并拷贝。
在本地尝试使用xcopy命令把sam.hive改名为sam.hiv,又发现棘手的问题了。

<ignore_js_op>5.png

在执行xcopy 源文件 目标文件 之后,会问我目标文件是文件名还是一个文件夹,只有继续输入F之后才能成功改名。

<ignore_js_op>6.png

<ignore_js_op>7.png

但是需要一个交互式的shell,但是无法反弹回来shell。
开始查看xcopy的帮助文件

<ignore_js_op>8.png

有一个选项吸引了我的注意力:
/Y Suppresses prompting to confirm you want to overwrite an existing destination file.
指默认覆盖重写一个存在的目标文件,而不提示
也就是说,如果我xcopy的目标文件是一个存在的jsp文件,那么就是直接覆盖它,这也就达到了我的把jpg文件改名为jsp的目的,当然被覆盖的文件需要事先做好备份。
于是后台上传一个jsp改名为jpg的文件,然后用xcopy命令
xcopy C:\Program Files\Tomcat6.0\webapps\cms\upload\xxxx.jpg C:\Program Files\Tomcat6.0\webapps\existed.jsp /Y
xxxx.jpg 为我在后台上传的jsp木马图片文件,existed.jsp为网站存在的jsp文件,事先做好备份了。执行之后访问,发现没有成功复制,后来想了下,觉得应该是文件目录Program Files中间有一个空格的缘故,exp使用get方式对网站发起http请求,中间的空格会被转为%20,但是Program%20Files并不存在。想了下,其实很容易就能解决的,用windows短文件名progra~1代替Program Files就可以了,我觉得其实也可以用+号。因为执行net user命令的时候,exp发送的请求中net user中间的空格就是用+号代替的
xcopy C:\ progra~1\Tomcat6.0\webapps\cms\upload\xxxx.jpg C:\ progra~\Tomcat6.0\webapps\existed.jsp /Y
执行了之后再访问existed.jsp就得到了我的shell了

<ignore_js_op>9.png

记得恢复原来的文件。
挺大的内网,so…
未完
但不一定有续….

  • 阅读:83625 | 评论:0 | 标签:黑客攻防 细节决定成败

    想收藏或者和大家分享这篇好文章→复制链接地址
  • “细节决定成败”共有0条留言

    发表评论

    姓名:

    邮箱:

    网址:

    验证码:

    公告

    关注公众号hackdig,学习最新黑客技术

    推广

    工具

    标签云