記一次私服的滲透測試到揪出維護人員

0x00 前言

 近日在網上愉快的沖著浪，誤打誤撞的點開了某鏈接直接跳轉到某游戲私服的網站，剛想關掉背景音樂吸引住了我，別說還蠻好聽的，用聽歌識曲識別是許美靜唱的《邊界1999》一代人的回憶啊，既然你的背景音樂那么動聽那就別怪我不客氣了。

0x01 信息收集

 為了更大的利用收集時間直接把網站URL丟到了AWVS漏掃工具，不一會掃出了兩個高危漏洞，IIS短文件漏洞和存在備份文件下載，其中IIS短文件漏洞過于雞肋這里我們就選擇了忽略它，相反備份文件的可利用性會更大些。

0x02 找尋漏洞

將備份文件下載至本地，運氣很好是個整站的備份文件，當我們得到了網站整站文件時最需要特別注意的是confing目錄和data目錄等這類型的目錄文件，因為其中的配置文件可能記錄著網站的明文或加密的賬號密碼，data呢則是數據庫等其他類型數據的備份文件保留目錄，這就多了幾個的利用點。

進入到config目錄AspCms_Config.asp為網站的配置文件目錄，從文件名上我們也可以得到該網站是用aspcms搭建的，打開文件得到其配置的數據庫賬號密碼但似乎只是個虛設其1433端口并未開放，config_qp.php文件看著是個大馬文件難道有前人來過？但去直接訪問的時候文件已經不存在了。

接著進入到data目錄下發現了mdb的數據庫備份文件，時間看著挺新利用工具打開管理員的賬號密碼表，經過解密是個弱口令但并未能成功登錄后臺。

0x03 Getshell

前面在翻備份文件中配置文件的時候發現了大馬文件，很有可能有人來過也很有可能在其他目錄存在別的后門，利用這個思路點使用D盾對整站進行掃描，掃描出了兩個后門文件和一個掃馬的工具文件，已知那個大馬文件已經被刪除了但配置文件中存有后門的代碼，可能是剛剛看的不仔細沒發現返回去看果然在配置文件中被插入一句話后門，但遺憾的是也連接不成功，從這三個文件的修改時間來看是在同一天同一時段的，從時間的先后順序看這里盲猜一波很有可能是管理員自己上傳的后門測試掃馬工具用的。

接著訪問根目錄下的shell.asp掃馬文件，發現其可以編輯文件的代碼并保存又可以指定文件去修改，這不就妥妥的可以getshell了嗎。

這里要特別注意的是像網站的配置文件與全局文件等最好不要去做任何的改動，因為這里在編輯代碼的時候顯示的是亂碼一旦保存了也是保存當前顯示的亂碼字符很容易的就把網站給搞蹦了，前面我們已經得到了整站的配置文件那我們就找相對于網站無關的文件進行修改成一句話后門文件。

0x04 權限提升

拿到webshell后發現當前的權限是個很低的IIS的權限，這時候我們就獻祭出CS團隊多人py工具了。

將權限上到CS后，shell systeminfo查看當前機器所打的補丁可以看到打了74個補丁之多，但肯定也總會有漏的，將補丁信息復制出來到提權對比網進行對比就可以根據漏打的補丁進行相應的提權操作。

之后就是利用CS的第三方插件進行權限提升，一鍵操作猛如虎直接干到了system權限。

最高權限再手直接利用內置的mimikatz抓取到了明文密碼xxxxxx8,有了遠程桌面的登錄密碼下面就是找遠程連接的端口了，netstat -ano看本地開放的監聽端口得到遠程端口63389。

下面就是趁夜深人靜管理員不在線的時候悄悄的登錄，上去的時候發現是個站群服務器，上面都是各式各樣的私服站點并未能看到能夠透露管理人員的任何信息。

0x05 揪出幕后運維人員

 因在上面的服務器上并未能收集到比較有用的信息，回到最開始網站的頁面在翻看網頁源代碼時發現了另一個站點，該站點的作用是提供私服游戲登錄器的下載。

經過站長工具的多地ping測試發現并沒有cdn防護得到真實IP地址：119.xx.xx.xx.xx，再利用nmap對其進行端口掃描得到疑似遠端桌面端口33502。

之后以一套密碼打天下的原理，套用之前抓取到的網站服務器的明文密碼進行嘗試登錄并成功的登錄到了該服務器上。

發現該服務器管理著近百臺的私服服務器，其CPU處理器i7-4770K不像是服務器的架構更有可能的是個人電腦，而且存在的服務有花生殼和金萬維的內網穿透服務，更加的說明了其在家中私自搭建違法私服游戲和維護賺取牟利。

在金萬維軟件的個人中心，得到其的登錄賬號、手機號、QQ號，并通過社工庫對手機號與QQ號進行泄露查詢得到其詳細住址和寬帶所在地一致，與其在泄露的計算機班群中真實姓名劉某某，該姓名與私服網站和管理服務器密碼縮寫相對應。

此外在其服務器上還發現其搭建有第三方支付平臺，在該平臺的頁腳處的客服QQ與郵箱和金萬維穿透服務個人中心中的QQ吻合，且該網站也做了個人備案，備案名字與社工庫查詢出的名字劉某某一致。

0x06 總結

此次滲透測試較為簡單，遇到的服務器均屬于裸奔狀態沒有任何的防護與殺毒軟件，攻擊流程也只是常規的手段而已，也只能說自己還是太菜了百分之八十都是靠運氣，當然運氣也是來自細心的發現，望各位師傅在項目上的時候也要做細到女朋友都嫌棄的地步才可以多發現洞洞，其實最后的服務器處于內網環境中也做了簡單的橫向探測但并未發現可以利用的價值，相關的證據固定也均截圖保留必要時可提交至相關部門。

聲明：本文以貼近實戰的角度去分享技術，文中所提到的攻擊思路和手段與相關工具僅用于學習和分享，若利用相同手段與工具從事違法犯罪活動與本文作者無關。