我一看组件基本都在,目录权限也大,脚本asp php aspx都支持,mssql mysql都有!心想这个估计很容易!于是乎答应了!
穿了个cmd上去,执行whoami
在执行systeminfo看看补丁情况,这个图就不截了,补丁打的比较全,我是没有什么独门的本地溢出!转向数据库提权
先查看了下一些数据库连接文件,找到了sa,但是网站和数据库是分离的!先把这个sa留着,内网渗透用!
于是乎我再执行了下tasklist /svc
里面有filezilla nginx RemotelyAnywhere.exe mysqld-nt.exe
执行sc getkeyname "MySQL"
执行sc qc MySQL
转到此目录,可读,于是乎下载user表,拿到了root密码
这个时候有了root就需要php提权脚本了!但是asp 和aspx网站所在的目录不支持php,因为iis没有配置php模块,上面已经看见了,他有nginx,查看mysql路径的时候也看见了NPMserv,这个是一个nginx php mysql的集成环境,于是乎查看nginx配置文件d:\NPMserv\nginx\conf\vhost.conf里面有域名 路径等信息,有三个php的我网站,一个是外联的别的服务器网站不在此服务器,一个网站是坏的,最后一个可以!于是乎上php大马!权限很大啊!administrators权限,直接开3389
执行REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
问题来了这个是内网啊!怎么3389当去呢?用lcx是最常见的了,但是不成功!这个后面再说!于是乎我就使用aspx的木马上面的端口转发
先本地监听lcx -listen 7788 6677
然后用本机的mstsc远程连接,但是一连接就断开了!不成功!于是乎用终端加强版连接127.0.0.1:6677
成功
这个web服务器就这么拿下了
内网渗透开始(其中是各种请教啊!萝莉同学,fans同学。。。。。)
有一台web服务器,于是乎加隐藏帐号,gethash,分析网络拓扑结构,交换机连接内网的6台(至少是6台),在接入路由器,没有设置域控制!
用web服务器连接db服务器,当然我用sa权限已经开了3389,但是连接总是超时,加强版也不行,于是乎了hd反弹sock5代理,悲剧的没法,lcx转发也不行,反正只要是软件级的程序和其他电脑连接都不行,我猜测是交换机做了端口的限制(猜测),既然这样那我就用脚本级的代码reDuh的80端口来!但是是不行的!一样是超时!为什么呢?因为他的数据传输还是用web服务器的连接db服务器始终会使用到web的mstsc,看个图就清楚了 80端口穿防火墙!但是这儿内网也是不能用,所以我猜测是交换机到的鬼!这个穿透的是我的电脑和web服务器,而不是web服务器和数据可服务器!
于是乎我有测试了ipc$ ftp都是不行的,狗日的估计就开了个80和89,应为89是连接mssql的数据库端口!既然web->db不行那我db->web试试!结果也是一样的!
db服务器没有web环境所以reDuh也是没有办法的!fans同学说用mssql写vbs执行,但是想往db服务器下载东西vbs也需要ftp!即使种了木马进去,估计没法连接!
既然db没法,库mssql也脱不掉,那换一个其中有一个服务器与web服务器有共享但是需要密码!我查看过db服务器帐号,发现db和web有同一帐号,这个应该密码是一样的,于是忙着个大网站的解密,无果,彩虹表也无果(我就两个小的表,没有7.5g的,或者更大的)!
-----------------------------------------------------------------
我翻目录查到了serv-u这个东西但是我想修改配置文件,用echo命令不能输入|这个管道符,我有用
echo “xxx|xxx” >>xxxx.txt这样这个双引号也被加进去了!
然后 夜叉 同学帮忙写了个去引号的批处理,但是批处理里面有>>所以我也写不进去!