07
2015
05

最近在练手X站,乔客CMS1.2,有防注…需要高手指导…UPDATE 20150508

    因为在自学网络安全,自然要学习一些攻防手法,既然学了就得要做实践的,于是斜眼盯上了内网一个站点。http://1.1.1.9/其实也不是现在才盯上它的……一两年前这个站就已经被XX过,那时候我也试过,内网的站都有这个特色,就是基本不做安全防护,任由大家随便玩,只要不瘫痪,不乱发东西就行,那时候随便拿个注入工具就能跑出管理员密码,基本上属于没难度的事。两年过去了,现在准备练手了,自然第一个就还是想到它,不过去年底内网的这个站点更新了一下,80端口跑的是一个新站,旧站转移到8008端口了http://1.1.1.9:8008/。没关系,反正是练手,不管他在哪个端口都一样。。。

    然而没想到的是可能内网的管理员也提高了安全意识,感觉不是那么容易拿下来的了。先说下这个练手用的旧站,两年前测试的时候得知是Win2003的服务器,IIS6,CMS用的是乔客1.2或者可能更老的版本,是网站管理员自己改了改以后上线的,最早上线大概是08年吧。鉴于安全的原因,网站的概貌就不截图了。

    不过……原先有注入点的链接,现在都做了防注,加'的时候会弹出防注提示。问过大牛,说是代码上做的防注,应该很容易过,可以用注入中转的方式。这个我测试了半天,都没成啊。

    于是继续按照以前对这个站的了解,拿到一个这个站的弱口令的低权限账户。可以在部分栏目发文章。找上传。

    管理员改了版权信息,变成了XXX在线CMS…不过从CMS的文件名以及后面提到的eWebEditor里都可以看到这个CMS其实就是乔客CMS,而且是很老的版本。

    可以看到这个乔客CMS1.2在文章编辑处有一个eWebEditor,很多人一看到这个就眼前一亮。

    是的,以前是可以利用的,这个我测试过的。通过内置的弱口令admin直接登录了,修改了样式,添加了.asa文件类型。然后上传asa的网马。。。呵呵,但是这次却又失败了(为什么要说“又”?)。而且原因不明啊,简单的描述一下就是,点完上传后,一直等很久,然后最后页面超时……挂了 ,文件也没上去。问过大牛,大牛反问我,是不是有防火墙?防火墙……呃……还真有可能有哎,防火墙把马拦截了?这怎么办。。。

    只能继续不管它,看看同服务器上的新站吧。管理目录是tqcms,大概是一个名字叫TQCMS的东西,没听过,百度了一下,连个像样的网站都没有……真的假的……

        也没找到什么可利用的漏洞和EXP。不太可能吧,居然弄了这样的三无产品在用吗??然而最让我吃惊的是这个新站居然管理员是弱口令……管理员果然还是没什么改变啊。尽管增加了防火墙之类的东西,可是弱口令是永恒的存在啊。

    继续……

   在这个TQCMS里翻了半天看到这是一个JSP的程序,tomcat 6.0.39,数据库不明。不过在后台翻到水印一栏的时候,赫然看到默认水印是JEECMS……哦,舒爽了,好歹是个常见的CMS。不过我这里的应该是一个很老版本的吧。总之先四处翻翻看。

    在资源管理下,居然可以直接创建文件。经测试,可以直接创建JSP文件……

    创建了几个JSP小马测试一下,可以运行,但创建大马的时候立刻失败了。直接返回服务器各种错误。我估计还是防火墙的原因呢。

    上一句话的时候发现,菜刀的JSP一句话不能连接,会返回错误。

     K8飞刀的JSP一句话可以连接。不知道什么原因。是K8的一句话有加密?过了防火墙?

    但是即便能连接这个一句话,很多命令仍然运行失败,权限貌似限制的很低,DIR之类的命令一律失败。好家伙。。。

    到目前为止,我也只能做到这个程度了。通过前面上传的小马,又试过在之前的8008端口旧站里上传了ASP和ASPX的一句话,因为大马传不进去。。。然后K8连接测试发现ASP和ASPX的权限比这个JSP的权限还低。。。呵呵了。

    暂时不知道该怎么玩了。谁给我个提示啊。。。看在我这么菜的份上,谁来搭救我一下呢~


UPDATE 20150508

    无聊的时候继续猥琐这个内网老站。通过eWebEditor的目录浏览,发现了乔客CMS的一些页面音乐、影视之类的组建,页面ASP文件都还在,我在想这些页面从来没在网站上见过,因为用不到,管理员会不会比较疏忽,忘记做防注?

    直接加',果然没有弹出防注提示,直接丢进JSky,呵呵,果然弹出存在注入警告。不过需要说的是JSky之前也扫过,但因为选的入口点不是这个music.asp,直接从主页index.asp开始的话是看不到这个页面的。而且有诸多误报。

    不用多想,继续上Pangolin穿山甲。。。管理员可说是功亏一篑啊,估计是上了很昂贵的防火墙,又给网站做了防注加固,可偏偏没把这个漏洞百出的旧站彻底下线,而且疏忽了,一些他觉得不重要的页面没有做防注。。。

    基本上到这里就和我两年前测试这个站的时候是一样的了,因为不存在任何阻碍,直接拿到所有人的登录账户,CMS管理员的也不在话下。不过因为防火墙的存在,直接上传大马仍然是不可能的了。没关系,因为这里是MSSQL2000的数据库,我猜管理员一定没给sa降权。这里直接尝试命令行。

    SYSTEM权限啊,泪都流下来了。下面的就不用说了,直接添加管理员,然后3389登录。

    测试了3389,登录OK。下面就该保留权限了。我计划是种个木马,再想办法添上WEBSHELL。然后拿这台服务器上管理员的登录密码,最后扫尾,删除掉我的账户和登录信息。一步一步吧。

    到目前为之,新站和旧站下我都有放JSPSpy和ASPspy之类的WEBSHELL,发现只要WEBSHELL上传好后,直接访问,防火墙是不会拦截的。不过不知道是因为我今天触发的防火墙或IDS告警太多还是什么别的原因,访问这个网站会经常被断开链接。远程桌面也会动不动陷入不能连接的无奈中。。。这个过程实在熬人的很,尤其是远程桌面,突然掉线,再连接不是没反应就是超出最大连接数,还动辄得把我之前自己的登录踢掉,麻烦的很。我决定暂时尽可能的先让木马过去,剩下的改天继续。。估计还是防火墙或IDS的问题。这个谁有好办法呢?继续等待高手赐解啊!

    另外从网上下了个QuarksPwDump,这个东西挺好使的,放到服务器上,直接拿到了全部HASH。可以丢到CMD5上跑跑看。运气特别好,CMD5上有这个HASH。

    密码看似很厉害、很复杂,但大家从键盘上一看,就知道这个密码是一个什么德行了……总之有了这个账户密码,我就可以把之前建立的临时账户删除掉了。然后再建立一个隐藏账户比较好。因为懒得按照教程一步一步做了,所以直接下载个HideAdmin,一步搞定。现在这个服务器已经基本上可以说拿到了完整的权限。按照传统的方法,该扩大战果了,就是进一步渗透其他服务器。我先侦查一下有哪些服务器比较好下手再说啦。。。总之,先得弄个键盘记录什么的放到服务器上才行吧。成了,今天就先这样了。


« 上一篇下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。