記一次簡單的滲透測試

0x01 起源

某天比較無聊，聽一個朋友推薦httpscan這款工具，于是就下載下來試試。

首先對某學校網段開始進行測試，測試時發現有個比較特殊的標題，一般有這個，證明存在目錄遍歷。

python httpscan.py **.**.**.0/24

目錄遍歷這個漏洞，說大也不大，說小也不小，但是，一般來說，存在這種目錄，可以證明網站管理員比較粗心，當然也有可能會把一些敏感文件放在上面，如數據庫文件，賬號文件等。

嘗試google搜索，可以找出好多這種例子，可以撞運氣試一下有沒有敏感文件泄露，然后進一步拿下一個站。

intitle:Index of /

0x02 開始滲透

當時訪問后，發現是以下的狀況。

這個就又比較開心，看到了phpinfo，這個文件和目錄遍歷漏洞性質也差不多，說大也大，說小也小。

phpinfo屬于處在信息收集階段的一個重頭，當有了這些信息，可以看出服務器端調用了那些庫，以及一些敏感路徑，從而進行深入的漏洞挖掘，用途也是很廣的。

所以建議各個站長，不要將這個文件泄露出來。phpinfo先放一邊，先點開1目錄看一下，發現是一個discuz 3.2的站

嘗試搜索discuz 3.2 getshell，最終發現有個后臺插件配置導致getshell，但此時我們沒有后臺權限。https://www.secpulse.com/archives/40705.html

于是繼續搜索，也沒發現什么有價值的。改變一下思路，想想如何能進入后臺？嘗試弱口令登錄，最終admin/admin成功登錄后臺。

當時的心情是絕望的。順理成章，直接進入后臺，找到好貸站長聯盟 2.0.2安裝，并啟用。

然后進行配置，輸入我們的一句話即可。

成功拿到shell

0x03 控制服務器

當然，這么簡單的滲透，拿到shell肯定是不夠的。要想辦法進而打開3389，成功奪取服務器權限，這樣可以實現長久控制。

首先shell打開命令行，查看一下用戶權限，當然，由于用的是蟻劍，已經說明了。

此時因為用的就是最高權限，所以就不用再進行提權了。我們可以嘗試創建新用戶，并賦于其管理員權限。

net user hacker 123456 /add
net localgroup Administrators hacker /add

此時再次輸入net user即可查看到你創建的用戶，然后嘗試3389鏈接，發現無法鏈接。

此時第一反應一定是，他改端口了。因為畢竟是服務器，不可能不通過遠程桌面連，天天抱個顯示器去機房。

于是需要找到其3389端口修改后的端口，首先查看一下端口占用情況：netstat -ano

發現果然是沒有3389，此時可以猜測一下，感覺那個像就連那個，多試幾次就好了。

但是，咱可是一個有抱負的技術宅，怎么可能用這種概率事件！所以，可以通過查看一下當前運行的服務，定位pid后，到端口占用里面對比。

首先tasklist /svc然后尋找TermService，記錄下中間的pid號。

然后返回之前的端口占用情況圖中尋找5492，可以輕易發現，3389端口被改到了65530

然后嘗試用我們賬戶通過 mstsc鏈接過去即可

最終成功拿下服務器，做到這步的時候，已經可以說是結束了，但是！如果被管理員發現賬戶后刪除了怎么辦呢？

此時需要找一下管理員的密碼。通過一款老師推薦的軟件，最終查詢到了管理員的密碼。

0x04 尋找管理員密碼

使用工具mimikatz，首先下載該工具，然后上傳到目標機器。按目標機器環境，使用合適的位數（32or64），直接執行。

然后在工具窗格內依次輸入以下兩條命令即可

privilege::debug //提升權限 
sekurlsa::logonpasswords //抓取密碼

在這里，由于隱私問題就不放截圖了。

最后再說一點，這幾步，雖然說實現了長久的控制，但是還是有所欠缺，畢竟管理員一旦發現有其他賬號，在刪掉的同時也會將自己的密碼改掉。

所以一般大佬們都是直接放入自己的遠控木馬，進而持久控制。

0x05 漏洞威脅以及修復建議

1. 在該服務器下發現存在teamviewer，懷疑有人已經拿下該服務器，進而實現長久控制。
2. 該服務器大部分數據為14年左右，且網站完全沒用，建議關閉該臺服務器。
3. 網站內敏感數據建議刪除或備份到其他地方。
4. 建議對服務器集群內文件實施清理，減少不必要文件泄露。

0x06 總結

這次滲透測試，比較膽戰心驚，因為一環一環，猶如是一個蜜罐在引自己上鉤。但是考慮到之前老師對自己進行漏洞挖掘的支持，還是進行了下去。

感覺這臺服務器之前應該是測試用的，最后忘了還跑著服務，最終導致被拿下。