目标网站:http://www.168pcp.com/ 先来判断他是不是钓鱼网站,用站长工具查询了下,网站没有备案(就像汽车没有牌照),机房在美国。
108.171.247.59[美国 加利福尼亚州洛杉矶县沃尔纳特市Psychz网络公司] [同IP网站3个] [响应时间: 1秒752毫秒就能判断他是非法网站了。在来看下我们红盟:
有备案 ,服务器在国内,所以是正规网站。非法钓鱼网站都是没有备案的,服务器都不会在国内的。先来判读下此非法网站架设环境
Server: Microsoft-IIS/6.0得到一条有用的信息IIS6.0 IIS6.0 环境一般都是Windows2003现在可以找Windows2003服务器系统漏洞,也可以先找网站漏洞。我们还是一步一步来。先扫描下服务器开了什么端口
开了80 22 3389我们一个一个分析。80端口 http 端口,不开这端口网站也访问不了,网站也没有爆出什么0day,所以放弃22端口 22端口就是ssh端口,PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh) 这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。用于连接linux 22端口的工具有 SSH Secue Shell。前提是iptable开放了ssh这个服务。(百度百科到的)
百度也没有找到这个端口什么0day。所以果断放弃3389 远程桌面现在链接试下
先按5下shift键盘,看看弹不弹出CMD界面,有没有黑阔来过,说不定留了后门。没有设置密码,或者密码简单弱口令,这样你就进去了。当然俺没有这么好的运气,可以试下3389爆破http://www.cnhonkerarmy.com/thread-117711-1-1.html[/url] 具体怎么用教程在这,当然除非运气及好,不然会不成功的,所以俺也没有成功现在我们在找下3389溢出0dayMS12-020: 远程桌面中允许远程执行代码漏洞(不知道百度) 2012年爆出漏洞,如果管理员没有打补丁说不定就溢出成功说Windows系统类的!只要开了3389端口! 发包速度达到了580左右就能远程溢出增加过管理员帐号!不只是不是真的!到百度找了个MS12-020 溢出工具!本来想增加个管理员进去!可能是发包速度达不到吧!(还是没他们说的那么神奇!能增加管理员帐号!)直接溢出!结果蓝屏重启!我在虚拟机也试过!也是这个样子!直接蓝屏!重启! 服务器也是直接蓝屏重启!(如果提权要用到服务器重启这招很不错哦)
所以3389没有成功,如果查询到Server: Microsoft-IIS/6.0这样信息,又扫描到没有开3389端口。这是管理员防御黑阔手段把端口修改了可以下载个扫描器(啊D网络工具包里面有个挺适合新手的)把这个服务器1到65535端口。扫出的端口,一个一连说不定有一个就是远程桌面链接比如:
这个钓鱼网站端口就被管理员修改了,现在3389没有成功果断放弃只好找社工和网站这方面下手了有些新手就会问还有135 445 43958 这些抓鸡溢出漏洞没有试啊。人家服务器端口都没有开,你怎么试就像一幢房子门都没有,你拿了钥匙有用吗?在说那些漏洞都是几年前的,漏洞早就修补了。(钥匙早就生锈了)由于此网站是静态的,果断的SQL注入不了。静态网站是指全部由HTML代码格式页面组成的网站,所有的内容包含在网页文件中。每个静态网页都有一个固定的网址,文件名均以htm、html、shtml等为后缀;静态网站是没有数据库的,也就是说网站发布之后上传到网上之后,您不可能在后台随时添加您想添加的产品新闻等。如果想添加新的东西您就需要找当时开发网站的人,当然您也可以自己修改,前提是您自己会修改。静态网站在网站制作和维护方面的工作量是比较大的,但是开发费用却相对要低。静态网页一经发布到服务器上,无论是否被访问,都是一个独立存在的文件。再说一下动态网站,很多浏览者在浏览网页的时候都会看到页面上面有很多很炫很酷的动画、图片等,他们经常会问这样一个问题,动态网站是不是就是那些有动画的网站。其实这个想法是错误的,那些GIF或是FLASH都可以在动态或是静态网站上出现但会动并不代表是动态网站。动态网站可以实现交互功能,如用户注册、信息发布、产品展示、订单管理等等;动态网页并不是独立存在于服务器的网页文件,而是浏览器发出请求时才反馈网页;动态网页中包含有服务器端脚本,所以页面文件名常以asp、jsp、php等为后缀;动态网页由于需要数据库处理,所以动态网站的访问速度大大减慢;动态网页由于存在特殊代码,所以不易被搜索引擎检索。它们各具优势,只是看你不同的需求了。根据需求,对哪一方面要求更高一些就选哪个更强一点的。 对于一楼的追问,其实动态网站也可以生成静态页面的。(百度百科)现在我们开扫描器,看看能扫到网站敏感信息么,工具论坛,百度 都有学会自己动手
利用扫描等待的时间我们去查下管理员邮箱,注册商信息联系人, 得到一些信息
注册商: GODADDY.COM, LLC域名服务器: whois.godaddy.com相关网站: http://registrar.godaddy.comDNS服务器: F1G1NS1.DNSPOD.NETDNS服务器: F1G1NS2.DNSPOD.NET域名状态:运营商设置了客户禁止删除保护域名状态:运营商设置了客户禁止续费保护域名状态:运营商设置了客户禁止转移保护域名状态:运营商设置了客户禁止修改保护更新时间: 21-8月-2013创建时间: 21-8月-2013过期时间: 21-8月-2014设置有点变态 ,都禁止了擦
注册商 美国的。。。。无语,英语不好。查了下裤子 没有发现邮箱
这社工不好继续下去,果断放弃现在我们在看下有没有扫描出敏感信息、
什么都没有泄漏出来,可能由于是静态网页愿意吧,现在只能旁站了 和C段了先来查下服务器上有没有旁站吧,C段比较费时费力,还要看运气。
运气不错有2个旁站(都是一个服务器上的网站,钓鱼网站大多都是共享服务器,独服很少,毕竟成本吃不消)下面的思路是拿下一个旁站,然后进去看下权限,看看能不能跨站,如果不行就提权然后拿服务器然后拿下今天目标网站拿着扫描工具,扫了下旁站,运气不错,出了些敏感信息
打开后下载一看运气真不错,管理员可能备份疏忽竟然是这旁站的源代码有了这网站源代码通过分析
发现前辈留下shell运气真不错 ,懒得在分析这程序了就这样跟着前辈的后门进去了
看了下权限蛮大,还奇葩支持WS组建 ,能调用CMD 上菜刀还能跨站,还能弄到目标网站。
到了这目标网站已经拿下了现在提权 先在webshell里面找到可读可写目录!一帮都是去C盘找,毕竟C盘是系统盘权限大点嘛
然后我们在上传CMD 和 提权工具IIS6.txt
然后我们右键cmd.exe 虚拟终端!然后这样我们就可以调用CMD了
然后在设置好设置终端路径:
我们在用命令跳到上传提权工具的目录!
然后提权!
然后远程 输入IP和端口 连上去 ,然后输入刚才提权建立帐号密码 ,然后就进去了。
这就是最简单提权,还可以进一步深入,扩大成果,如果服务器连接内网,可以试着渗透下内网,还可以C段嗅探这个IP段,说不定有意外收获。这次是在管理员没有补漏洞情况下成功的,如果禁掉WS组建,把这些溢出补丁都打了,那就有难度,以后在写禁掉WS组建提权办法,和Linux下提权渗透。**我们就讲到这,如果我是管理员我们应该怎么防御呢,
本文来源:https://www.2haoxitong.net/k/doc/8666e2750722192e4536f6c1.html
文档为doc格式