我朋友写的一片文章,渗透思路比较灵活全面....丢给大家学习一下..

目标站：www.xxxxx.gov.cn

信息收集：

整理一下：

Microsoft-IIS[6.0]

21/tcp open ftp Microsoft ftpd
80/tcp open http Microsoft IIS httpd 6.0
3306/tcp open mysql MySQL 6.0.2-alpha-community-nt-debug
3389/tcp closed ms-wbt-server
8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1

根据工具的猜测，服务器系统是Windows Server 2008 SP1或者2007

社工信息收集整理：

邮箱：xlp68@163.com

手机：13905386702

电话：86 0538 6623721

传真：86 0538 6623721

Name : Xie LiPing

好了，该知道的已经知道了，不该知道的也已经知道了，开撸把~

之前的端口扫描，让我很是无语，1433,3306一个没开，目测应该是该了端口吧？

看看之前我扫的信息吧，不知道为嘛Acunetix Web Vulnerability Scanner 8对这个站没法扫描。。

我R，不知道为嘛，WVS，御剑，同样扫不到任何信息，我的WVS连C都能一起扫，这丫的，C的信息也没扫到。。。。

神器W3AF也是啥都没有。。。

– Nikto v2.1.5
—————————————————————————
+ Target IP: xxxxxxx
+ Target Hostname: www.xxxxxx.gov.cn
+ Target Port: 80
+ Start Time: 2013-08-14 03:19:54 (GMT-4)
—————————————————————————
+ Server: Microsoft-IIS/6.0
+ Retrieved x-powered-by header: ASP.NET
+ No CGI Directories found (use ‘-C all’ to force check all possible dirs)
+ Retrieved dasl header:
+ Retrieved dav header: 1, 2
+ Retrieved ms-author-via header: DAV
+ Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
+ OSVDB-5646: HTTP method (‘Allow’ Header): ‘DELETE’ may allow clients to remove files on the web server.
+ OSVDB-397: HTTP method (‘Allow’ Header): ‘PUT’ method could allow clients to save files on the web server.
+ OSVDB-5647: HTTP method (‘Allow’ Header): ‘MOVE’ may allow clients to change file locations on the web server.
+ Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
+ OSVDB-5646: HTTP method (‘Public’ Header): ‘DELETE’ may allow clients to remove files on the web server.
+ OSVDB-397: HTTP method (‘Public’ Header): ‘PUT’ method could allow clients to save files on the web server.
+ OSVDB-5647: HTTP method (‘Public’ Header): ‘MOVE’ may allow clients to change file locations on the web server.
+ WebDAV enabled (SEARCH UNLOCK LOCK MKCOL COPY PROPPATCH PROPFIND listed as allowed)
+ OSVDB-13431: PROPFIND HTTP verb may show the server’s internal IP address: http://xxxxxxxx/
+ OSVDB-59412: /db/users.dat: upb PB allows the user database to be retrieved remotely.
+ /order/order_log_v12.dat: Web shopping system from http://www.io.com/~rga/scripts/cgiorder.html exposes order information, see http://www.mindsec.com/advisories/post2.txt
+ /order/order_log.dat: Web shopping system from http://www.io.com/~rga/scripts/cgiorder.html exposes order information, see http://www.mindsec.com/advisories/post2.txt
+ /orders/order_log_v12.dat: Web shopping system from http://www.io.com/~rga/scripts/cgiorder.html exposes order information, see http://www.mindsec.com/advisories/post2.txt
+ /Orders/order_log_v12.dat: Web shopping system from http://www.io.com/~rga/scripts/cgiorder.html exposes order information, see http://www.mindsec.com/advisories/post2.txt
+ /orders/order_log.dat: Web shopping system from http://www.io.com/~rga/scripts/cgiorder.html exposes order information, see http://www.mindsec.com/advisories/post2.txt
+ /Orders/order_log.dat: Web shopping system from http://www.io.com/~rga/scripts/cgiorder.html exposes order information, see http://www.mindsec.com/advisories/post2.txt
+ OSVDB-3092: /css: This might be interesting…
+ OSVDB-3092: /dan_o.dat: This might be interesting…
+ OSVDB-3092: /search.vts: This might be interesting…
+ OSVDB-3092: /search97.vts: This might be interesting…
+ OSVDB-3233: /index.html.he.iso8859-8: Apache default foreign language file found. All default files should be removed from the web server as they may give an attacker additional system information.
+ OSVDB-4237: /ban.dat: Bannermatic versions 1-3 reveal sensitive information from unprotected files. These files should be protected.
+ OSVDB-3093: /OA_JAVA/oracle/forms/registry/Registry.dat: Oracle Applications portal pages found.
+ 6474 items checked: 5 error(s) and 28 item(s) reported on remote host
+ End Time: 2013-08-14 03:56:18 (GMT-4) (2184 seconds)
—————————————————————————
+ 1 host(s) tested

幸好，nikto还扫到点信息，不然我要崩溃了。。。

表示看了下，似乎还是没有什么有价值的信息。。哪怕能利用，俺也不会。。（弱爆了弱爆了，求带~）

好吧，都不知道是个什么情况，果断的看旁吧。。。。

旁站尼玛有139个站。。。好吧，瞬间没那么郁闷了。。。。。

不过拿shell虽然容易了些，提权似乎又要被阻下来。。估计。。。2008的系统，未知杀软，虚拟机。。。。

额，那个啥，我突然脑袋灵光一闪。然后，突然，我的RP大爆发了。。。。

正在看旁站。。。。。看了两个站，第一个是商城，后台没扫到，第二个是个公司，然后，页脚发现管理入口，发现管理路径：admin_x

于是乎，脑袋突然想到，像这种政府站的服务器上的站，一般都应该是同一个或者一家技术公司帮做的啊，他们会不会后台都做的一样？而且，后面这两个站和目标站都是asp，都是南方，于是，我果断在目标站后面加上：admin_x，这尼玛，我特么怎么这么聪明，看到了熟悉的后台，南方的。

再次废话一下，相信大家也注意到了，这是一小亮点，在我们渗透的时候，如果工具扫不到后台，很多网站后台地址的不再是默认的了，比如我这个，丫的，直接啥都没法扫。。遇到这种，大家就可以看看旁，然后看下页脚，有么什么管理后台的导航，当然，你们也不能盲目的看不是，得注意你们的目标站的技术支持是谁，也就是是谁做的，然后再找同服中他们做的别的站。嗯哼。废话完毕~

继续之~

尝试弱口令，进去鸟。。。。。GOV，为嘛都喜欢弱口令？真不知道他们是认为没人敢撸他们的站还是不知道到处都是高价收GOV权重站么？难怪我们国内的站安全总是比不上国外，哎，管他的，天朝的事，咱没能力管，还是继续说俺的撸站故事吧~

南方的后台，相信拿shell那是秒杀ing。。

R，看了后才发现是如何的苦逼，难怪。。MD，整个后台，除了一个阉割的eWebEditor外，其他啥都没法利用，连logo图片上传页面都尼玛给删了，真特么干净。。。。各种思路瞬间没法用了，突然发现，在绝对的规则下面，哪怕在有思路也是浮云飘过~

空欢喜一场，算了，继续撸我的旁，MD，100多个站我会拿不下？

我R，再次秒进一后台，再次发现，比之前的那后台还尼玛干净，我丢，原来出自同一公司之手也并不是一件好事啊。。。。

NND的，你们不知道我啥感觉。。。

打开一个旁，我压根不等他显示直接在域名后面加个admin_x，然后果断到后台，然后，果断，admin admin进去，然后，果断的在关闭，然后，果断的在下一个站，我擦，出自同一个人之手，真让我汗颜。。。。

不过幸好，终于有个后台不是弱口令进去了，果断的看了下首页，找了个注入点，果断扔sqlmap。希望，这个不会再是他们做的了，我怕了。。。

R,看来这服务器真装了神器，工具几乎全部免疫，你妹，sqlmap无法注入。。。。

得，手工吧，坑爹的站。

果断进后台，主啊，别再让我纠结啦，一定别再那么干净，不然我真的真的没有勇气在撸下去了。。。

我R，刚不小心在旁看到个三个派出所，两个政府信息网。。。。我去。。。。。。。。瞬间，小心肝猛跳。。。

我擦你妹，真心跪了。。。一样的南方，一样的干净。。。我丢，还浪费我一条CMD5，伤不起。

继续看，有本事，你特么139个站全部南方，全部做成这样，有种就别让我钻到空子。

这次我学聪明了，凡是ASP的，凡是默认后台admin_x的，我直接跳过，连后台都懒得进了~

看到一个商场网站，果断的看了下，没法，其他都是那个神马技术的南方站，真心伤不起，只有在这些站上寻突破口了，注册了个会员，然后找到个上传的地方，然后，修改上传类型，这里，我感觉似乎可以突破，当我上传aspx马的时候，显示的是在上传，返回的消息是上传的文件过大，我换asp就又不行了，还是提示说什么类型不行，纠结，在捉摸下，没法突破就换站。

这是刚才我上传asp大马的时候，提示的，原来他限制64KB，嘎嘎，这也间接说明，我的思路可行，能突破，果断找找小于64的小马，或者超级免杀一句话~

R,可能是我异想天开了，这样怎能突破？换思路吧~

burp抓包也没法，好吧，换站。。。。

奶奶的，各种站，可惜小菜日不下，DZX2，伪静态企业站（没法扫）各种苦逼。。。。

发现一DEDECMS，嘎嘎，试试，希望最近出的洞子没打补丁

利用最近出的织梦爆管理账号洞子，成功秒下来，

在这唠叨一句，你们是否奇怪我菜刀怎么可以用了，其实吧，主要是我开了VPN代理，我也不知道为嘛，开了VPN才能用菜刀，不然就链接不上。

进shell看了下，CMDSHELL删了，

127.0.0.1:21………开放
127.0.0.1:23………关闭
127.0.0.1:53………关闭
127.0.0.1:1433………开放
127.0.0.1:3306………开放
127.0.0.1:3389………关闭
127.0.0.1:4899………关闭
127.0.0.1:5631………关闭
127.0.0.1:5632………关闭
127.0.0.1:5800………关闭
127.0.0.1:5900………关闭
127.0.0.1:43958………开放

看了下脚本，支持PHP，在这里我又小小的纠结了一下，1433.3306开放，为嘛之前信息收集工具没扫到？

好吧，现在提权，提下了，这次渗透才圆满结束~

终端端口找不到，这是个问题ing，只有等加了管理员用NMAP扫了。

在织梦配置文件中，找到了MYSQL账号~

权限不够，哎，不是ROOT。在找突破

装了360，我丢，最近和360挺有缘，老遇到。。。幸好不是C哦。奶奶的，防ARP的还不止一个，如果C，估计P都嗅不到~
实在没辙，MYSQL账号不是ROOT权限，43958账号对了密码错的，sa密码也没找到，21爆破就算了，表示渗透从不爆破那玩意。不过我尝试过收集的一些账号资料登陆，失败之~

在这种情况下，提权真心无力，在乌云群请教也是说提不下。好吧，我果断换站。。。

这个shell算是白拿了。。。

这次希望，我辛辛苦苦拿下的站，一定要有sa或者ROOT权限啊，不然就白搭了。。。

这次那些企业站什么的我都不搞了，直接搞大点的，祈祷中。。。

MD，被逼疯了，我都不知道搞哪个站才能有权限，实在没辙，突生一记~

这服务器上大多都是同家公司做的网站，我可以看下那家公司的网站，然后，我ping了下IP，奇迹的发现，一个服务器。。。

NND，别让我R下了，不然果断挂个黑页。。。。

————————————————邪恶的分割线————————————————————————————–

刚我很无奈的在群丢了一句很奇葩的话。。

明知道这种情况下是不可能拿下shell的。。。但，某牛居然奇葩的蹦出来一句话。。（乌云的果真全是奇葩）

然后，果断的百度那个洞子。。。。

然后，奇葩果真是奇葩。纠结中。

2010的洞子。。。。好吧，既然人家牛牛都说了。那就试试吧。

http://www.yunsec.net/a/security/bugs/script/2010/0322/3000.html

失败之~

好吧，继续刚才的，撸IDC。。。。

扫半天没扫到，后面社了半天，各种找后台方法终于把后台揪出来了。苦逼的后台样~

尝试弱口令于社工登陆失败。。。

擦你妹，社了下这个域名，你妹，管理员是万网技术。。。。

然后，在社了下邮箱，发现。。。。。。

在这个邮箱下 注册了4425个域名。。。。

丢你个海。。。。肿么越渗透越让我纠结。。。万网都蹦出来了。。。

原本把。刚看到他有这么多站，瞬间一思路蹦出来，

既然这么多站，那么我就先随便选个拿下shell，看下他的后台密码，或者拿下服务器在找找他的一些常用的密码什么的，其实这也是社工的一种方式，找到了在来登陆这个IDC站后台，只要进去，我肯定这站我能拿到shell，因为我从前台观察就发现这个后台功能绝对不会少。。。。

可是，这个思路刚出来，就瞬间被否决了，随着社工的进一步，我发现这是万网的技术员。。。

http://u-lis.com/blog/archives/1882

那么。邮箱下的这些站，肯定都是他帮别人做的，假设，我给你做好网站，给你账号密码，你会改么？当然会，每个人都喜欢隐私秘密性，而且，一般IDC做站都是喜欢默认弱口令，就比如我在渗透这站同福的时候，很多南方数据，后台路径一样，很多也直接admin进去，包括目标站也是，（我估计这服务器上的那些弱口令进去的站，可能都是那些管理员知道很安全没法拿shell才没改密码的）所以，我这思路不可行。

突然，我感觉似乎我刚有点犯糊涂了。搞错了。。。

我发现，我应该社的是管理员啊，管理员的联系电话，和域名注册者的完全不同。那么我们在转回来。。

对网站管理员的社工：

手机：13356826189 15092856606

邮编：271000.

电话：0538-6311766.

传真：0538-8501180

Email：takldq888@163.com takldq@163.com takl@ta-kl.com

QQ:463831142 812401189

没有社工库，所以社的资料有限。

IDC站管理账户admin，将射来的信息整理，猜测可能密码：

13356826189

271000

6311766

8501180

takldq888

463831142

15092856606

812401189

takldq

ta-kl

尝试登陆后台~失败之。

我没辙了，有心无力，技术有限。。。。

好吧，在看下旁的别的站把，在拿个shell看看，万一就让我找到sa密码了呢？其实我之所以不愿再搞旁是因为在找到MYSQL密码的时候我发现密码是随机生成的，所以网站应该是星外或者什么，密码都是不同的。而想要得到SA AND ROOT 感觉从哪些站根本不可能。。。

在前面信息收集的时候，工具检测百分之九十五系统是2008，刚用SQLMAP注入时，又说的是2003，纠结。

睡觉觉了，明天继续写，先发吧~

——————————————————————————————————————————————————————–

好了，继续撸旁ing,奶奶的，昨晚四点才睡，今天中午才起来，伤不起。

在旁站果断找到个php的，Mssql数据库站，一个地区的农业大学，

检测了下，发现不存在注入，扫描没有得到任何有用信息，尝试弱口令登陆失败，

正在我蛋疼的时候，突然想到一思路，后台没有验证码功能，

那么，我是否可以用burpsuite爆破后台试试？学校站，一般后台密码都不会太复杂

说干就干，这也是没有办法的办法，果断在网上下了个28G的密码字典，然后，实施爆破~

MD，字典大就是蛋疼，解压半天不说，我这配置居然还搞得我有点卡卡的，纠结。

接下来，继续看别的站，等结果出来。（其实没报什么希望）

哎，旁大多是企业南方，有几个不是缺没能力拿下，得，抱着死马当做活马医的心态，拿个Cshell吧。

注入秒进一南方后台，功能齐全，原本准备秒下shell的。结果，尼玛，ASP.PHP都没法解析，神马情况?

果断的找了个免杀一句话试试。

R,PHP免杀马儿不解析，不知道是不支持PHP还是啥，我压根没看服务器脚本。。。。

果断的找个ASP的。

R,还是不解析，果断的蛋疼，

然后，猛然发现我备份的马儿的代码，我丢，这完全不是马儿啊。。。。认真看了下，发现是数据库。。。。

丢，看来没有成功备份马儿啊。果断在认真看了下数据库备份。

之前我只是修改了路径就直接备份了，因为很多南方都是可以这样的，结果，刚认真看了下，发现，name=”dbpath”难怪。。。。。备份的始终是数据库，除非我将这个改下。既然，现在都明白了，那么就开始琢磨怎么突破吧，

在这里可能有人会纳闷，南方不是还可以配置插马直接拿下么？其实吧，那方法更快，我也想啊，可惜，不能修改配置信息。。。。

现在只剩下突破这个数据库备份或者在看下他的EWE编辑器有没有阉割过这两条路了，我先看下这个数据库有法突破没。

R,看来不关那的事，好吧，小菜对程序并不了解，也不是神马程序员，哎，这里也不能突破，那就在看下EWE，如果不行就换站，南方也就这么几个突破口~
阉割过的，好吧，换站。。

找到个SDCMS 时代网站信息管理系统网站，

百度SDCMS 时代网站信息管理系统漏洞，但是果断打了补丁。。。。鬼哥的神器失败之，继续看。。

发现ecshop商城网站，可惜，洞子已补。

R，特么的，我不日了，什么玩意，越搞越揪心。这次渗透就这么结束，我也没法。菜B就是菜B，还想撸GOV…

PS：

本文纯属是一片渗透测试文章，没有别的恶意，请勿牵连于俺。。

LOFTER：r00tshell™-Team http://r00tshell.lofter.com/post/3d2f21_42c7963