一个真实的故事

好久木有更新博客,一定是因为最近撸太少了!

9点多的时候,收到了一张外卖的广告单。其实这种单子经常都有啊,不过这次比较吸引人的是它有网上订餐功能(感觉现在做生意的越来越有头脑啊,知道屌丝男们连电话都懒得打了,直接来个更方便的网上订餐,而且成本也没高多少~)。这个网站做得挺好看的,网站内容全是纯png,而且都是静态网页。既然是个站嘛,那肯定要“友情检测”一下,于是就有了下面的故事~

网址是个纯IP(尼玛敢不敢申请个域名!),第一感觉至少是个VPS,老板高富帅有木有~

先查下IP的所在地,原来是个托管在阿里巴巴的服务器。

2

然后开始猜网站是不是用了某种整站系统。看到首页有“Home”、“About”等菜单,感觉有点像wordpress。加个wp-admin试试,没有找到。看了会首页的源码,也没看到某某CMS的痕迹,只好作罢了。

既然是订餐网站,怎么也得有个会员功能吧,果然在网站的左上角有注册和登录的按钮。随便注册了个账号,然后来到用户管理个人信息页面。

3

这里有个比较YD的地方,就是首次修改信息需要验证手机号!以为禁掉JS就可以绕过了,结果不行0 0为了防止身份信息的泄露,我决定用某SB的手机验证一下~

顺利过了这一步,然后就是找能够利用的地方。好吧,左侧的上传头像实在太明显了,我想大家都会首先注意到它的- -

打开上传对应的代码,发现木有任何的过滤(看到这里我觉得这个网站应该是站主原创的,赞一个~),传上去的文件也只是强制重命名,没有改后缀什么的,那应该就是随便传的节奏了。。。网站的后缀名是.do,通过访问一个不存在文件所返回的错误可以知道Tomcat的Web server。表示jsp的站我基本木有搞过,经验各种不足= =

第一次我直接扔了一个JSP大马,结果给我爆了一堆看不懂的错误,大概是没找到需要的类?

4

既然环境不太完整,那第二次就传一个小一点的,来一发菜刀带的小马,很不幸又报错了。

5

不过仔细一看,好像是说没提供需要的参数(缺了个连接密码)?于是直接把网址添加到菜刀里面试试,结果成了。看来访问JSP的小马不像ASP、PHP一样,返回一个空白的页面。。

6

磁盘目录给我的感觉就像虚拟机- -既然网站基本不设防,那么服务器的配置应该也是各种水了。连接终端whoami一下:

7

果然是Administrator权限,直接省去了不少功夫~ systeminfo显示操作系统是32位的win server 2008,补丁打得各种勤快。看了下打开的端口有3389,又省掉不少功夫~

接下来的思路是想下办法获取管理员的密码。首先是reg save,不过是nt 6.1的系统觉得希望不大,果然dump到的hash是AAD***(我记得这个方法在6.x都已经不好使了。。)

然后是wce,结果在上传的时候就遇到麻烦了,目测是因为小马不稳定,神马文件都传不上去。(求破~)

那既然文件传不上去,那就只能用绝招了,取消Guest禁用,加密码,加权限,直接用3389连上去。

连上去之后还是要借助各种工具,上传用不了,那只能用服务器下载了- -直接下了个mimikatz,4行命令爆出administrator的明文密码:

hashes

把各种痕迹都清除掉,重新禁用Guest,然后用administrator重新登录一下。

9

由于登录的时候还是晚上9点多,怕管理员还在线上,于是马上就下线了,等到现在再搞!

总结一下,整个过程相对轻松,主要因为两点,一是网站没有安全防护,二是web server权限过高,所以才给我这种菜鸟可乘之机0 0.上线去了。。

« 返回