這篇敘述性較強的日志文獻將全程記錄這次滲透，不管成敗如何。我將站在教程的角度去表述。希望給大家完整的滲透入侵的感覺。
----------------------------------------------------------------------------------------------------------
No.1
文章背景： 我那篇滲透臺灣情色視頻服務(wù)器群全程日志的文章相信大伙已經(jīng)看過了。去年的事，當(dāng)時進行掛馬操作，導(dǎo)致權(quán)限丟失太快。這個周末重新整理日志的時候翻到它，決定再次進行滲透。 61.**.***.230-254（具體ip我照例隱藏掉）
這一段是目標公司的服務(wù)期ip，對外開放的端口是80，1027，17616（這個端口是我進行全面掃描是才發(fā)現(xiàn)的）。服務(wù)器由于一早被我入侵過，原先開 放的21，5631都已經(jīng)封掉了。這使這次再次滲透變得艱難。這個17616端口我很奇怪，于是telnet到此端口看下banner信息，得到一個笑臉 圖標。我記得好像是早一點的版本的mysql。用客戶端連接上去出現(xiàn)錯誤。郁悶得一米，先放下不表。
（ps：因為我手頭還保存著第一次入侵收獲的很多口令信息，所以才有此一試） 站點是asp mssql的，服務(wù)器去年是win2000。由于第一次的暴露，管理員重寫了代碼，封死了注射。這是經(jīng)我多次檢測得出的結(jié)論。
----------------------------------------------------------------------------------------------------------
沒法子，看下同c段的情況。
scan:
nmap -sT -p 80 -P0 61.**.***.2-229
我是用nmap進行掃描的。簡單說下參數(shù)：
-sT 是tcp協(xié)議握手的方式掃描，好處是精度高。缺點是速度慢，容易被發(fā)現(xiàn)。（這里是臺灣人的站點，怕毛！） -p 80 指掃80端口。多個端口用, 隔開，連續(xù)端口可用1-65500這樣的 -P0 指跳過ping這個環(huán)境。這掃描器默認是要用ping來檢測遠程主機是否存活的，目前大多數(shù)機子防火墻或者其他規(guī)則都是禁止ping的。所以加上這個參數(shù)。
后面是掃描的ip段。我取的是 2－229
---------------------------------------------------------------------------------------------------------
看了會電視回來收報告，開80的機子很多。我陸續(xù)測試了一些。發(fā)現(xiàn)幾個切入點：
1. 50這個ip是個教育網(wǎng)站，找到注射點，可惜是db_owner權(quán)限＋內(nèi)網(wǎng)數(shù)據(jù)庫，暴字段的時候由于是繁體中文，工具報錯。暫擱不表。 2. 142這個ip是一個交友網(wǎng)站（這個段交友網(wǎng)站很多）。jsp的（玩慣asp的見到它有點怕吧，哈哈）。簡單看了下注射，過濾了。注冊個號，需要身份證， 臺灣身份證是10位的，第一個是字母，我手頭有現(xiàn)成的，還有手機，也跟大陸的不一樣的很。很快注冊完成。既然是交友網(wǎng)站多半是可以傳相片的?？戳讼律蟼?， 直覺告訴我有上傳漏洞。老套路抓包，修改，nc提交。hoho順利得到一個jspshell（system權(quán)限的喔）。
No.2
前面拿到權(quán)限的機子，我讓大少幫我開了終端。其中遇到些納悶的鳥事就略過不談了。常規(guī)思路，在一陣基本的檢查后，沒有獲取有價值的東西。偶打算開始嗅探。 偶給肉雞做了個即時的ftp，隨用隨關(guān)，方便傳東西。用xlight做的。
把cain打了個包上去（這東西的好處是不用安裝，驅(qū)動安裝也不用重啟就可以使用），看了下肉雞的program files文件夾已經(jīng)有了winpcap了，可能是大少安裝的吧。偶樂得偷閑，打開cain。暈死，連網(wǎng)卡都找不到。郁悶了我一陣。后來一想，應(yīng)該是驅(qū)動問題，重新安裝下cain安裝包自帶的驅(qū)動就可以使用了。 略做配置。scan了下mac，host列表有138，139，151，152，155，156，157，158，沒有我的目標。
但是我在139這個ip訪問的時候，出現(xiàn)的是一個情色視頻站點，jsp的web腳本，結(jié)構(gòu)跟142很相似，從一些特征上分析，跟我的目標也很有共同點。于是決定就對它進行arp欺騙。
選擇arp，添加對139--158的通訊方向進行欺騙。158是網(wǎng)關(guān)ip。一會就看到password里出現(xiàn)http登錄口令了。看了下口令出現(xiàn)的速度，不快。于是斷開肉雞終端，看電影，明天上去檢查。
----------------------------------------------------------------------------------------------------------
第二天，連上去得到很多口令。全是http的。略作分析整理：
得出一些經(jīng)營模式：他們的管理是挺成熟的。網(wǎng)站分公司管理入口，經(jīng)銷商入口，視頻主持人入口和客戶入口。公司管理負責(zé)對客戶數(shù)據(jù)進行維護，各經(jīng)銷商獨立的，其下瞎有視頻主持（小姐）。
供應(yīng)商帳號密碼特征：
606a/6abc1234
605a/5abc1234
其所轄小姐的帳號密碼特征：
606a01/123456
606a02/123456
......
605a03/123456
.....
注意到?jīng)]？帳號應(yīng)該是系統(tǒng)按一定規(guī)律分配的，密碼默認也是有規(guī)律的。小姐密碼默認是123456，她們幾乎都沒改。而經(jīng)銷商和他們所轄小姐之間的帳號有存在聯(lián)系。hoho
客戶注冊是需要經(jīng)過手機這道關(guān)卡的，所以俺不能注冊。不過嗅探也得到很多客戶口令。公司管理人員的信息還未嗅探到。
-----------------------------------------------------------------------------------------------------------
首先用小姐的帳號登錄進去。為啥先挑她們？因為網(wǎng)站上都有小姐的照片，有照片就該有上傳，此web程序跟我們前面通過上傳拿下的已經(jīng)可以認定是同一款，那么也應(yīng)該有繞過驗證的漏洞。so...
登錄后發(fā)現(xiàn)，除了上班視頻外就是業(yè)績查詢，后臺很簡單。 繼續(xù)用經(jīng)銷商帳號登錄。發(fā)現(xiàn)上傳。原來小姐的管理都是由經(jīng)銷商來完成的，資料都是他們輸入的。（模式蠻成熟的）上傳是肯定有漏洞。老套路抓包，NC提交。拿到shell。和上臺機子一樣，遠程管理是用radmin的。輕車熟路，本地安裝一個radmin，端口設(shè)置跟它一樣8899，設(shè)置密碼，導(dǎo)出注冊表，上傳到d:\my.reg.目標主機 導(dǎo)出注冊表regedit -e d:\bal.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin 備份下。 然后net stop "Remote Administrator Service" 導(dǎo)入咱的regedit /s d:\my.reg繼續(xù) net start “Remote Administrator Service” ok，radmin連上去。加個用戶，hoho為所欲為了。用完后還原備份，刪除閃人。 問題是，我通過圖形界面開啟終端，默認是3389端口，卻發(fā)現(xiàn)被硬防攔了?？磥碇荒芏丝谵D(zhuǎn)發(fā)了。radmin畢竟用來太風(fēng)險。又多了臺肉雞。 No3. 拿到權(quán)限后，我啟用肉雞的遠程桌面，并修改端口，肉雞是使用自帶的防火墻，我設(shè)置其允許出站，即可遠程登陸了。配置上與前一臺沒什么差別。由于目標是視訊網(wǎng)站的數(shù)據(jù)庫，所以我翻看tomcat的conf目錄，查找數(shù)據(jù)庫連接信息。郁悶的是并沒有找到口令。（jsp我也沒咋接觸過）后來才知道管理員用的是空口令，汗倒。人家禁止外部連接，所以不設(shè)口令。上傳了個 mysql-front (mysql數(shù)據(jù)庫圖形編輯工具)，翻查數(shù)據(jù)庫表。把用戶表和管理表導(dǎo)出，并下載回本地。這時我發(fā)現(xiàn)有個表allowedip很奇怪，分析一下，才知道原來管理員帳號登陸后臺是有IP限制的，未經(jīng)允許的ip不能登陸，夠嚴格啊。
更BT的是，設(shè)計者在網(wǎng)頁的很多頁面加了如下代碼：
以下是引用片段：
<script LANGUAGE='javascript'>
var wwwname=navigator.userLanguage;
if(wwwname =='zh-cn')
window.location.href='401.htm'; 啥意思？屏蔽掉簡體中文瀏覽器訪問了。我是用firefox訪問所以沒有問題的。NND，把他去掉。
經(jīng)一番折騰已經(jīng)拿到所有權(quán)限。所以日志也就沒有繼續(xù)的必要了。完

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。