组件全部存在@_@#
Net user sadfish fish /add
Net localgroup administrator sadfish /add
直接登录进去才发现这台服务器是kappa内网服务器
图5

接下来就要漫长的内网渗透了.个人渗透内网经验,1.先扫弱口令 2.溢出 3.ARP.仅供参考.搬出安焦的牛X工具.X-SCAN3.0开扫.扫一些比较有利用价值的弱口令. 一般我就喜欢扫SQL 扫别的没乐趣 哈哈
图6

扫描出来有三台服务器SA空口令一台FTP弱口令.. 192.168.1.X 192.168.1.X 192.168.1.XX 这三台机器是有SA空密码的 本来还有两个服务器有SA空密码 但是xp_cmdshell被删了。 没法加个用户 所以暂时不考虑。先搞定了这三个服务器 后台又想试试DNS的 结果都没开53端口只好闪人了
挨个机器登录寻找敏感信息,因为我们的最终目标是拿下www.kappa.com.cn主服务器嘛..当登录到192.168.1.3的时候发现一个严重的问题....
图7

好多pcanywhere被控端.大家记不记刚才我说过,提权的时候同事发现pcyanwhere和SQL空口令,那这些被控端会不会都是一个密码.光想是没用的 马上下回来看看..回头上到WEBSHELL找到pcanywhere目录下到了GIF文件打开后找到密码 然后马上回到服务器去登陆 测试结果发现我的判断是正确的,没个pcanywhere都可以登陆 但是所有机器又都是被锁定,所谓的双重验证,貌似没有了门路.我又反复的登录已经拿到的内网的4台服务器,发现他们都有一个共同的用户,我猜想,会不会所有的内网机器都是那个用户,而那个用户又是一个密码呢?很有可能,根据我想到的一些敏感信息随意组合了几个密码去试发现不成功,又尝试抓hash,去暴破,结果还是无功而返.渗透陷入的僵局.折腾了这么久也累了,丢个cain去嗅内网的所有机器的1433,21,3389看能不能嗅到些什么,三天后我登录终端,发现嗅到一个SQL的SA密码XXX的用户如图
图8

用sql server连上去登录后我发现192.168.1.6是kappan的数据库库服务器 前面说过了我们的目标站的WEB跟数据库是分离的。所以我们拿个数据库服务器也没什么用..不过后来这个数据库可帮了大忙了
图9

现在想想即使是数据服务器也没什么用啊.还是拿不到WEB的上的SHELL.渗透又一次陷入了困境.整理下思路重新来
我们ping www.kappa.com.cn返回一个外网地址。突然发现服务器上还有一个dxsport的ASPX的网站。扫了一下没发现什么注射点之类的
后来把网站丢给了SpookZanG让他看看. 过了会这小子丢来一后台..http://xxx.com/cms/panelIndex.aspx 我汗 第一反映是比较奇怪的
文件名是怎么发现的。后来才知道 习惯性的输入cms自动就跳转了

如图10

上一页  [1] [2] [3] [4] 下一页