一次运气好的渗透测试

2015-04-22 12,343

  一、基本情况:

  • 服务器环境:Apache/2.2.14 (Win32) PHP/5.3.1
  • 服务器IP:1.2.3.4
  • 网站类型:PHP,网站程序采用joomlaCMS
  • Whois信息:没有对whois做查询

二、思路的定制

由于网站采用joomla程序,joomla程序作为国外一款很常见的程序用到的特别多,而joomla程序本身也是比较安全的,可能你会说,你不是说安全么,为什么exploit-db上有他的漏洞,注意看,我说的是本身是比较安全的,没有说它的插件是比较安全的。

 

pen_1

三、实施阶段

信息收集

1、robots文件:

默认后台:www.123.com/administrator

2、测试phpinfo

存在:http://www.123.com/phpinfo.php

得到物理路径和一些其他的信息

渗透开始

一、WEB篇

exploit-db.com

在上面寻找以知的漏洞进行各种测试,无果,,过程环节各种蛋疼,测试了很多,都特么的不成功,陷入蛋疼过程,浪费了一些时间,

难道真的要旁或者C,这可是一个不归路,算了,,再GOOGLE一下吧!也许会有奇迹发生

奇葩的转折点

通过GOOGLE的各种搜索,搜到了一个链接,打开看看,其实没抱有希望的

pen_2

 

在option的参数后面加个单引号爆出了SQL语句,难道这里有注入,继续测试,这是个希望,当继续测试and 1=1 a=a or 1=1 a=a等均302跳转,

好不容易找到一个能报错的页面,难道就放弃,不对,也许是我手工技术不行,姿势不对,果断的丢sqlmap

pen_3

 

神器就是神器,果然有,瞬间,心中涌起万匹草泥马,终于有突破口了,抽支烟,平复下激动的心情,先把裤子脱下来

pen_4

 

到了这一步,哦!找到了注入,找到了物理路径,来吧!看看权限,看看能不能直接写,是DBA,运气啊!人品啊!心里那个高兴啊!

pen_5

 

PS:由于是事后写的文档,没图,就看字心里高高兴兴的去交互写SHELL———–失败

–file-write——–失败

各种测试,花了些时间

没事,咱不是还有后台账号和密码么,解密去

pen_6

 

CMD5、群各种解密,各种问,好吧!没解开,,蛋疼了,不过还好,没到绝望的地步,一个新的思路出来了,update下管理员的密码,拿到shell再把密码update回去可否,说干就干,,可惜失败了。

还好,还是有希望的,读下配置文件,看到配置文件里面的东西了么,邮箱、数据库,看到这路思路有来了

 

pen_7

思路一:看看是不是有phpmyadmin或者MYSQL是否开启外链测试结果:失败

思路二:利用邮箱找回密码

测试结果:登陆了两个邮箱,均测试失败

再次陷入困境

 

峰回路转进入后台


 

当所有的希望都放在破解后台密码进后台的时候,公司的服务器还真没放我失望,爆破成功,当我拿到明文的那一刻,我果断的跑厕所去尿了一泡

pen_8

 

尿完回来听着一首“咱老百姓”继续干,Joomla后台拿shell比较简单,添加一个PHP

 

pen_9

然后上传一个shell,上传以后目录为/images/xx.php  OK,SHELL终于拿下,下一步,提权内网

 

pen_10

二、内网篇

拿到SHELL了,当然是先提权,看了下权限,运气真J8好,直接system,但是一看IP,哟西,内网果断的添加账号+转发

pen_11

 

拿到第一台服务器,运气比较好

pen_12

 

Net view一看,吓尿 这么多,查询域用户,卧槽,不是一般的多

pen_13

 

恩,整理下思路,现在有内网服务器一台,接下来就是抓hash,说干就干,抓到不少,

pen_14

 

OK,经过对抓到的hash进行分析,net user /domain查询域账号的时候得到了很多用户,同时也得到了DC的地址User accounts for \\123.456.com,

通过ping得到的地址抓到了ip,同时在WEB服务器上抓到hash有一个账号密码和域中的一个账号密码是一样的,果断尝试登陆,登陆成功拿下第二台服务器

打开域一看,我的乖乖这么多,既然是这样继续抓域控的hash秒杀内网去

pen_15

 

打开DNS看了下网段,晕了,,共享更多

pen_16

 

总结:

内网漫游还未全部完成,内网确实大

可能运气成分比较中

 

【原文:www.baobaosb.tk 作者:宝-宝 】

本文作者:SP小编

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/4511.html

Tags:
评论  (4)
快来写下你的想法吧!

SP小编

文章数:209 积分: 25

交流和分享以及愉快的玩耍

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号