巧用G6FTPServer賬号滲透台灣某圖書伺服器

巧用G6FTPServer賬号滲透台灣某圖書伺服器

Simeon 【antian365.com】原創

   某日群裡一兄弟給了一個mysql的連接配接位址，當日因為比較忙，是以就一直拖到今天，今天剛好有空，對該伺服器進行安全檢查，結果不僅擷取了該網站的Webshell，而且還得到了該伺服器的權限，下面将整個過程寫出來跟大家分享。

    掃描漏洞的軟體很多，俺喜歡交叉使用，先使用掃描工具掃描，如果掃描不出漏洞，再手工。如圖1所示，使用jsky，很快就有結果，找到兩個SQL注入漏洞。

圖1 掃描漏洞

1.猜測表名和資料

在Jsky中選中SQL注入漏洞，然後選擇滲透測試，如圖2所示，單擊“check”按鈕進行SQL注入實際測試，該注入點為access資料庫，在圖2中一共猜測出4個表，member，user，news以及book，user是管理者的表，使用Pangolin對user進行猜測，結果僅僅出來username，其它列名猜測不出來。

圖2 猜測資料

2.使用Domain3.5猜測資料

   将SQL注入位址複制到Domain3.5的SQL注入的SQL注入點中進行檢測，如圖3所示，能順利的猜測出上面猜測的4個表，同時可以對user表的列名和資料進行猜測。在user表中有30位使用者，由于該網站是繁體版本，是以在表中顯示為亂碼，在猜測的資料中選擇一個英文使用者名稱和密碼。

圖3 使用Domain3.5猜測資料

1.擷取背景登陸位址

   在浏覽器中輸入http://xxx.xxx.net/admin.asp結果指向登陸頁面，如圖4所示，該頁面相對簡單，使用上面的猜測出來的使用者名和密碼進行登入。

圖4 擷取背景位址

2.登陸背景

    驗證成功後，順利進入背景，如圖5所示，表明該網站是一個出版社的網站管理系統。進入背景後仔細觀察和測試背景頁面。

圖5 成功登陸背景系統

3.上傳點測試

    如圖6所示，建立一條test的記錄，然後再檢視，在做測試一定要切記不要修改原有的資料記錄，否則會被發現的。如果要修改，記得修改完畢後一定要恢複原狀。

圖6添加測試記錄

     在該系統中有檔案上傳和照片上傳，上傳是快捷擷取Webshell的一種方式，如圖7所示，上傳檔案中直接上傳一個Webshell，結果很順利的上傳，不得不說運氣很好！

圖7擷取上傳頁面

3.擷取Webshell的具體位址

    上傳檔案成功後，再次回到剛才添加的記錄，通過檢視記錄可以看到剛才添加的Webshell圖檔，通過檢視圖檔熟悉而擷取Webshell的真實位址，如圖8所示。

圖8擷取上傳webshell的具體位址

4.測試Webshell

    如圖9所示，在浏覽器中輸入剛才擷取的Webshell的位址，順利打開shell登陸頁面，輸入密碼後成功登陸。

圖9 測試Webshell

1.檢視系統使用者

   在Webshell中選擇“系統服務-使用者賬号”檢視系統的使用者情況，通過該資訊來看看是否前面有人曾經進去系統。如圖10所示，可以看到使用者和使用者組的情況。收集這些資訊有助于在後期進行密碼猜測等。

圖10擷取使用者情況

2.檢視資料庫等資訊

    如圖11所示，通過浏覽網站檔案擷取資料庫的實際連接配接檔案connection.asp，通過Webshell中的編輯來檢視該檔案内容，該資料庫檔案為bin.asp。

圖11擷取資料庫等資訊

3.下載下傳資料庫

   在該系統中對檔案下載下傳做了限制，我先後對bin.asp檔案複制重命名，命名為bin.mdb以及bin.bak均不能進行下載下傳後面将其命名為bin.rar才成功得以下載下傳，如圖12所示，将其下載下傳到本地。

圖12下載下傳網站資料庫

4.上其它Webshell

Asp的Webshell權限相對較低，通過檢視該伺服器發現該伺服器支援asp、php、aspx以及pl。上傳一個asp.net的馬，上傳後能夠成功執行，如圖13所示，可以執行指令，不過權限為“nt authority\network service”，直接提權比較困難。

圖13上傳asp.net的webshell

5.繼續擷取其他資訊

   通過使用asp.net的Webshell中的IIS Spy功能進一步擷取其它網站的資料庫連接配接資訊，如圖14所示，擷取了Mysql資料庫的一個使用者和密碼資訊。

圖14擷取mysql資料庫使用者資訊

6.G6FTPServer賬戶的妙用

    在該伺服器上裝有G6FTPServer，通過google搜尋了一下有關G6FTPServer的利用工具較少，雖然有一個提權的方法，由于實作起來比較繁瑣，是以考慮在提權不成功的情況下再用。通過檢視G6FTPServer的安裝目錄，發現其中有一個Remote.ini檔案中包含了密碼加密資訊，而G6FTPServer賬戶采用md5加密，如圖15所示。

圖15 擷取遠端管理的使用者密碼加密資訊

将remote.ini檔案中的兩個md5值放入破解工具MD5digger中進行查詢，如圖16所示出來一個結果，Administrator所對應的賬号密碼未出來而出來另外一個賬号（lyndon）的密碼onlinedtm。碰巧的是在使用者資訊中恰巧有lyndon這個使用者。

圖16 破解G6FTPServer賬戶密碼

7.成功登陸伺服器

    使用剛才破解的賬号和密碼進行登入，如圖17所示，成功登陸伺服器，yeah。後面聽朋友說該伺服器上安裝有shift後門，我測試了多次均未成功。

圖17 成功登陸伺服器

    本文通過G6FTPServer賬号的破解成功登陸伺服器，在滲透前期的資訊收集很重要。G6FTPServer賬号密碼是采用md5加密在擷取遠端登入配置和使用者配置的情況下，可以進行提權。有關G6FTPServer提權還可以進一步的研究，可以寫出一個類似serv-u的提權工具。

 本文轉自 simeon2005 51CTO部落格，原文連結:http://blog.51cto.com/simeon/246350