完全滲透臺灣大型旅游網(wǎng)

前言：這個滲透過程本來是不打算發(fā)出來的， 但是最近有些人總是詆毀我。 我不知道為什么， 難道是因為我太久不出面了么？

目標(biāo)站點：XX旅游

一：獲得

分站很多的， 首先是一個名叫TV的分站， 是他們多媒體的服務(wù)器， 是好友jackal獲得的webshell， 服務(wù)器是靠pcanywhere遠(yuǎn)程管理的， 這個提權(quán)過程我不必說了吧， 相信大家都知道。 所以在此我們就獲得了一臺他們網(wǎng)站的服務(wù)器權(quán)限了。

二：強大的內(nèi)網(wǎng)。

安裝pcanywhere并連接， 到服務(wù)器， 一般我喜歡是先執(zhí)行ipconfig/all 查看網(wǎng)關(guān)和IP情況。

他是內(nèi)網(wǎng)為100的機器， (由于這個是事后發(fā)的， 過去很長時間了， 所以截圖那時候沒截)。 沒有馬上去抓hash， 去看了下網(wǎng)上鄰居， 內(nèi)網(wǎng)的網(wǎng)上鄰居有很大的好處， 一般大型內(nèi)網(wǎng)為了方面文件傳輸都會設(shè)置很多共享的目錄， 而且很多時候入侵的拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)可以從網(wǎng)上鄰居中獲得初步的判斷。 如圖

我們可以清楚的看到他的內(nèi)網(wǎng)有我們要找的信息， 網(wǎng)上鄰居中的 -Lxxxtravel

這個很有可能是他們的主站的web服務(wù)器， 如果運氣好的話， 他的web目錄會共享給內(nèi)網(wǎng)， 我們直接傳個shell進去在翻找sql數(shù)據(jù)庫連接密碼那就大功告成了。

到這里入侵就應(yīng)該結(jié)束了， 但是事與愿違， 當(dāng)我滿心期待的進去網(wǎng)上鄰居中的web服務(wù)器， 令人費解的事情發(fā)生了， 這個網(wǎng)上鄰居又分成好多個機器。 (文章的最后我會把大概的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖發(fā)上來， 由于那時候沒有截圖所以現(xiàn)在只能口述了)

三：難關(guān)

從網(wǎng)上鄰居的截圖大家可以看到， 內(nèi)網(wǎng)的機器不像一般的網(wǎng)絡(luò)那樣有ip名字， 這些都是以職位或者服務(wù)器的作用或者目錄為命名的， 也就是說我們滲透會很盲目， 大海撈針一樣， 畢竟內(nèi)網(wǎng)太大了。

為了保險， 我用lc5抓出管理的hash， 沒去跑密碼。 他機器上不但裝了pcanywhere的服務(wù)端而且也裝了控制端， 或許這將會是突破點吧。 運行控制端， 發(fā)現(xiàn)里面有2個機器， 分別是ip為XX.XX.XX.135 和 XX.XX.XX.138。

138是本機也就是獲得服務(wù)器的ip。 那135呢， 憑借社工進入了135的機器， 135的機器也是一個分站的服務(wù)器是什么已經(jīng)記不清了， 135是win2000的， 而138則是2003的。

到這個階段， 還是很迷茫， 難道要一個個的ip去試？200多臺內(nèi)網(wǎng)機器， 都要去搞么 ？

四：突破

不得不佩服臺灣的安全做的很不錯， 而且管理員也比國內(nèi)的管理員要勤奮(不要罵我， 因為我遇到過很多次， 機器的進程都十分多了， 管理也不來看看的情況。 )。 在我想開始全方面進程內(nèi)網(wǎng)掃描的時候， 晚上8點， 管理突然登陸服務(wù)器， 而且是本地登陸， 我猜測是因為我一直連接著pcanywhere導(dǎo)致管理連接不上(有朋友會問為什么不留個后門進去呢？或者跑出hash3389登陸？

回答是：機器的殺毒過于變態(tài)， 紅傘， 跑hash需要時間， 而且時間比較緊迫。 )所以管理本地登陸了， 被迫無奈我退出了登陸， 管理開始查找進程和查看網(wǎng)絡(luò)連接， 我等了將近半個小時， 認(rèn)為管理應(yīng)該走的時候進行登陸， 誰知道管理還在并且機器上裝有網(wǎng)絡(luò)連接監(jiān)視的軟件， 狀態(tài)為開啟狀態(tài)， 我一連接pcanywhere， 顯示我的ip為紅色的提示， 沒辦法我只能馬上退出。 那時候我認(rèn)為權(quán)限會丟掉， 在晚上12點的時候我又嘗試登陸進服務(wù)器， 沒想到權(quán)限沒掉， 慶幸。

這次我沒有急于去掃描， 而是去查看網(wǎng)絡(luò)鄰居， 進入了XXvel這個目錄里面， 翻找， 到到了一個為data/comm的機器， 他把web目錄共享了， 我直接丟了個asp的馬上去， 開始猜目錄， 有時候不得不承認(rèn)運氣是成功的不一部分， 猜到了目錄直接拿到主站的webshell。

當(dāng)我進行這些的時候好友jackal在主站進行著黑盒測試， 獲得主站的webshell是一個相當(dāng)大的收獲， 也說明他的共享目錄有值得挖掘的價值， 我有試著翻找， 又找到了他們的數(shù)據(jù)庫是個300M的BAK備份文件Lxxxx200811172300.bak

直接復(fù)制到我的機器上(不是拿到那個服務(wù)器)， 嘗試恢復(fù)， 可總是錯誤 。

這個時候jackal丟來一句話， 主站是mssql2005的， 馬上下mssql2005進行恢復(fù)， 恢復(fù)的時候出了些問題， 但是后來還是解決了， 可是恢復(fù)出來的東西并不是所想象的那樣...通過朋友得知這個站的數(shù)據(jù)應(yīng)該有30萬以上， 恢復(fù)出來的才幾千條， 難道搞錯了？

五：峰回路轉(zhuǎn)

當(dāng)迷惑的時候， jackal又突然問我主站沒寫的權(quán)限？ 我登陸webshell一查看， 果真沒可寫權(quán)限， 只能通過內(nèi)網(wǎng)寫進去， webshell上的權(quán)限是沒有可寫性的。 jackal讓我寫個一句話進去， 我納悶， 但是還是寫了個一句話進去， 到此滲透的時間已經(jīng)過去了3天， 每天都在和管理玩貓和老鼠的游戲， 我一直在忙于突破內(nèi)網(wǎng)， 而jackal一直在從主站的webshell入手。

在第4天的凌晨2點我又登陸服務(wù)器， 發(fā)現(xiàn)有幾個pcanywhere的密碼已經(jīng)被修改， 我直覺告訴我， 被發(fā)現(xiàn)了， 如果再進行掃描的話， 從新分析內(nèi)網(wǎng)結(jié)構(gòu)的話， 暫且不提能不能找到準(zhǔn)確的數(shù)據(jù)庫地址， 萬一時間上正好被管理發(fā)現(xiàn)的話， 那一切前功盡棄了， 此時我也后悔為什么沒一開始就進行內(nèi)網(wǎng)掃描并且著重分析開數(shù)據(jù)庫連接端口的機器， 只能放手一搏了， 丟了個cain上去， 嗅探。

在早上9點的時候嗅到了一個3389的登陸密碼， ip為192.168.1.65， 登陸， 成功。 但是我不能在進行下去了， 因為管理會在9點左右的時候來打開多媒體。 清理了一下痕跡， 退出了登陸。

六：數(shù)據(jù)庫在此

當(dāng)晚上10點我進入了內(nèi)網(wǎng)， 登陸了65的3389， 直接去查看網(wǎng)上鄰居， 感謝天感謝地， 發(fā)現(xiàn)了一個data-erp\backup的目錄， 里面有個備份文件， 但是沒有高興太多時間， 因為他是32G， 太大了， 如果直接轉(zhuǎn)移備份文件的話， 得5天， 這個時候想了個大膽的想法， 直接在65的機器上裝mssql2005， 之后通過TeraCopy來加快復(fù)制速度， 先把備份文件復(fù)制到本機， 之后直接恢復(fù)， 在導(dǎo)出數(shù)據(jù)， 那樣的話會縮短很多時間， 而且65的機器還裝了pcanywhere，

Pcanywhere的密碼和3389 的一樣， 通過100的pcanywhere來進行文件傳輸， 當(dāng)然mssql2005的安裝文件是iso， 必須要用虛擬光驅(qū)， 又千挑玩選找到了個不需要安裝可使用的虛擬光驅(qū)， 開始復(fù)制文件...

按照teracopy的復(fù)制速度， 在早上9點的時候就可以完工。

七： 我發(fā)現(xiàn)你了

早點9點的時候我滿懷欣喜的登陸100的服務(wù)器， 那管理在， 我剛要退出， 人家直接通過pcanywhere來了句， "我發(fā)現(xiàn)你了"， 到此所有的內(nèi)網(wǎng)服務(wù)器權(quán)限幾乎全部丟失， 悲哀， 管理員把所有的pcanywhere刪除， 只剩下一個hash。

八 我真是天才。

滲透了將近一個星期， 到此就失敗了么？當(dāng)我嘆息可惜的時候， jackal突然對我說， "我真是天才"， 原來他在webshell里面找到數(shù)據(jù)庫連接的帳戶， 只不過站點是在內(nèi)網(wǎng)設(shè)置了一個dsn， 沒有ip， 通過海洋的asp馬， 可以連接到數(shù)據(jù)庫。

到此滲透就已經(jīng)結(jié)束了。 由于網(wǎng)絡(luò)中的內(nèi)網(wǎng)滲透例子很少， 故此發(fā)出來， 希望對各位有所幫助。 另祝大家圣誕快樂!