对xx目标进行全端口扫描发现开放了http服务
目录扫描
对IP的80端口启用的HTTP服务进行目录爆破,发现几个比较敏感的文件
奇怪的回显
尝试访问这两个页面,发现一个界面很多报错还有一个是phpinfo的界面
简单分析
分析发现,phpinfo页面暴露了该网站的路径,xx.php怀疑为攻击者成功篡改了mysql的日志输出位置,导致mysql日志输出到xx.php,并写入了一句话木马。所以继续分析xx.php的内容,在第三行发现一个notice信息,并找到一个关键字:zs
大胆尝试
尝试使用蚁剑将zs作为密码连接xx.php,连接成功
尝试上传CS后门上线,未成功,虽然服务器上有360,但是因为后门是免杀360的,判断为防火墙阻碍。
因为当前用户是管理员权限,直接添加test用户,发现无法通过3389远程连接到主机,通过在webshell查看RDP服务的端口,发现RDP服务开放在12012上。
连接RDP
通过使用12012端口连接远程端口,成功连接
深入分析
查看windows账户,发现存在(xx)的用户,并在其桌面上发现phpmyadmin爆破工具,以及进程中xx运行的爆破工具
使用创建的test用户登录成功,使用mimikate成功得到所有用户的密码
使用账号密码登录远程桌面,发现正在运行着的爆破工具
在用户桌面找到爆破成功的结果
爆破结果
统计发现,共爆破成功113台服务器
登陆日志
使用LogParser查看该服务器用户登陆的日志
本文始发于微信公众号(Hacking黑白红):一次简单的渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论