| 有些渗透是一种偶然,但偶然的渗透却有着被渗透到必然。本次渗透源于素材收集,通过本次渗透有了下面的一些收获: (1)扫描工具不是万能。扫描工具的扫描结果具有参考价值,通过扫描出来的信息,借助经验,可以进行进一步的测试。 (2)hzhost管理系统的渗透方法,通过Asp.net的Webshell查看进程来获取hzhost 的物理路径,如果能够访问hzhost的物理路径,则可以下载其管理所用的数据库表 site.mdb,在site.mdb数据库中会保存root和sa用户的密码,掌握了MySQL和MSSQL的 管理员密码后,可以尝试数据库提权,从而获得管理员权限。在hzhost有access数据库,也有是采用MSSQL数据库。 下面是具体的渗透过程: 1.分析aws扫描结果 使用的扫描工具为AWS,如图1所示,扫描结束后给出了 265个警告信息,虽然出现高 危的跨站漏洞较多,但对于普通安全人员来说,利用188还有一些难度。然后对于扫描结果 中的源代码暴露、文件路径、web编辑器、特殊文件名称等要做详细的分析和实际测试,通 过这些漏洞很有可能拿到Webshell权限。  2.获取直接文件上传地址 通过查看aws扫描结果,发现该网站存在直接文件上传地址,在aws中选中该页面直接 进行浏览测试,如图2所示,能够正常访问,且未做安全验证测试。  3.直接上传网页木马测试 通过测试发现上传页面能够正常访问,则可以按照以下方法来上传网页木马: (1)直接上传网页木马,网页木马可以是大马,也可以是小马,也可以是113文件命名漏洞的图片文件。 (2)尝试文件编辑器漏洞来直接上传文件 (3)将文件保存到本地修改提交地址和代码来上传文件。 (4)此抓包提交等方法来上传网页木马。 在本例中利用的是第一种方法,通过iis命令规则漏洞来上传,成功上传一句话后门文件 “2.asp;l.jpg”,如图3所示,上传成功后还提示具体的文件上传地址。  4.创建并操作一句话后门 相比早期,中国菜刀真是一句话后门操作的福音,如图4所示,在地址中输入一句话后门 ®a“http://www.jybase.net/sywebeditor/2.asp;l.jpg“,密码为“cmd”单击添加。即可将该后门地址添加到中国菜刀管理器中。在中国菜刀中单击刚才添加到一句话后门地 址,如果连接没有问题,则可以直接对该网站文件进行操作,如图5所示。  5.上传大马进行管理 在中国菜刀中将网页大马上传到网站中,如图6所示,通过该页面进行文件上传、删除、 修改和下载等管理操作。  6.查看网站服务器文件 通过网页木马查看目标网站所在服务器上的文件,如图7所示,获取了该网站所在服务器 的管理平台的数据库,将该数据库下载到本地。  在该文件夹下还存在mysql数据库,到data目录下建user.myd文件下载到本地,该文件保存了 MySQL的所有数据库用户名称和密码等信息。MySQL的user.MYD文件中的用户密 码可以cmd5网站查询破解。如果破解了root用户密码,对于Windows系统可以尝试UDF提权。  8.分析site.mdb数据库 由于目标网站使用的管理系统为华众管理系统(HZHOST),通过下载该安装文件下的 site.mdb, site.mdb有site,sqlseting和vhosteting三个表,其中site表记录的是站点名称、ftp用户名称、ftp密码、站点所在目录等信息,如图10所示。在该表中可以直接 获取ftp用户名和密码,主机所能支持的语言类型(asp、php和net2)等信息。Sqlseting 表保存的是sa和root用户的密码,如图11所示。Vhostseting表保存的是虚拟主机管理信息。  图10获取网站管理信息  |
