事出原因:朋友公司站点被挂马,,于是让我这个超级大菜鸟帮忙检测一下服务器安全性。
Ping 之。返回如下,数据包丢失,初步猜测 [upload=1]
1. 防护墙
2. 策略
用S扫1-65535端口只开了80端口其实管理员安全意识不差。(不过在后面证明我的想法是错的)
然后常规性用X-SCAN,全局扫描了一下看是否有其他收获。但都没什么可利用的信息。
[upload=2]
开始从WEB入手,思路 : 啊D+GOOGLE 找注入 后台 上传
站点没有可注入页面,上传页没发现。通过猜目录拿到数据库地址,还好没有防下载措施,然后读出MD5加密的密码,上XMD5破解之得到一个弱智的生日号码。
然后啊D扫后台,没发现。通过迅雷下载全部链接得出后台地址,通过后台顺利拿到Webshell.从Wbshell看出站点处于内网(IP172.1.1.2)
(具体过程,截图省略)
[upload=3]
把他公司的站的情况跟他说明后,上传CMD无法执行命令,Serv-u提权无效,习惯性翻看磁盘信息。居然除C盘外其他盘均可浏览,甚至读写(这里说明我上面的猜测是错误的,管理员应该不怎么重视安全)。
在G和E中,又发现几个个企业站和某市的GOV信息站(汗一下),于是在GOV的WEN里放了个WEBSHELL,GOV的WEBSHELL下发现此站还带了N个子站。深入发现还有.NET程序。于是上传ASPX的马,可以执行CMD命令。
[upload=4]
上传LCX转发端口。本地监听。等了N都没反映。Net start 发现Terminal Services服务开启,估计管理员更改终端端口了,通过读取注册表发现终端端口为1987,加了个账户。在转发!
网络问题等了很久本地终于有反映, [upload=5]
登陆之,失败,NET USER 发现根本没加到用户,于是在加,(Serv-u提权无效)郁闷!(大牛看到的话帮忙解释下,能列用户但无法创建用户是何原因??)
看看本地账户,N个,估计被不少“黑客”光顾过,而且是光天化日加的账户,可惜管理员没察觉。 发现有个名字很眼熟“jiaozhu”于是尝试用“jiaozhu”账户登陆,经测试密码和账户都相同顺利登陆终端。
[upload=6] [upload=7]
NET VIEW 发现内网还有20多台存活主机,由于时间问题,本人没有在进一步渗透,清理脚印后通知管理员。
不过自渗透都发帖后管理员仍然没有修复漏洞,在此我不得不-_-!汗一下!
总结:此次渗透纯属菜鸟行为,未对站点服务器造成任何破坏数据行为,并非是什么高深技术,只是站点管理员的疏忽和不负责任的态度造成。
1:企业站的管理员没有对数据库做好任何防下载或更改目录措施。
2:服务器管理员未对WEB目录做安全权限设置。
3: 发现服务器装有咔吧等杀毒软件已经防火墙但并未开启,导致我我未免杀的WEBSHELL畅行无阻。
4:服务器无缘无故出现多个系统账户,但管理员并未发觉或采取相应措施。
5:某位“黑客”估计安全意识不高还是怎么的,账户密码设置相同直接让我顺利登陆终端。
归根结底还是此政府站点管理员安全意识不高而导致服务器陷落,小小数据库引发内网服务器被渗透,若是居心叵测之人蓄意破坏服务器数据甚至渗透自内网所有主机,造成的损失将不堪设想,安全问题不容忽视啊。
有什么问题欢迎和我交流!