内网渗透综合实验

2019-08-11 16:54:53

内网渗透综合实验

  • 实验目标:攻击一台web服务器

  • 要求:

    1、通过扫描工具确认 web 服务器的工作状态、所用的数据库,找出 web 服务器的漏洞并加以利用;
    2、通过上载网马查看 WEB 的数据库配置文件得到目标主机的 MSSql 服务器的 sa 密码;
    3、通过操作机上的 SQL Server Management Studio 工具连接到目标数据库,通过xp_cmdshell
    在目标机上添加临时管理员用户 newone,并开启目标机器的远程桌面服务;
    4、通过网络共享文件夹上载密码破解工具破解得到目标主机的 Administrator 密码;
    5、通过得到的管理员密码远程登陆目标主机,清除所有在攻击过程中留下的文件和日志,彻底清除相关痕迹。
  • 实验环境

    网络安全实验综合平台及用户登录终端(浏览器)
  • 使用到的工具

    IpScan
    SuperScan
    NtScan
    X-Scan
    Domian
    ASP 木马
    SAMInsde
  • 实验网络拓扑图

  • 实验思路

    通常的网络攻防实验的步骤都是大体相同的,即:
    1、信息收集
    2、开放的端口和服务
    3、查找漏洞
    4、利用漏洞
    5、获取低权限账户登录
    6、提权
    7、获取管理员权限
    8、清楚痕迹
    9、离开
    由于本实验的最终目标是获取目标主机的 Administrator 账户的密码,因此最先想到的是要上
    传 Windows 的密码破解工具。为了达到目的,必须先获取一个用户密码或找到上传的漏洞。经
    过利用多种扫 描 工 具 对 目 标 主 机 进 行 扫 描 和 信 息 收 集 发 现 该 主 机 为
    Windows2003 服务器,而该服务器的端口 80、1433 端口开放,说明该服务器上运行有 Web
    服务器并具有 Ms SQL server 服务器。因此尝试访问 Web 端口,手工简单尝试可以发现具有
    疑似 SQL 注入漏洞,为了能够对该漏洞进行利用,使用相关的漏洞利用工具破解得到 WEB后台
    管理员账户和密码。利用 WEB 后台管理员账户和密码登录后台后,利用后台管理的权限尝试上传
    ASP 木马,最终发现具有任意文件上传及更名漏洞。上传 ASP 木马后,发现网站目前使用的是
    Access数据库,而刚才扫描时却发现系统上安装有 Ms SQL server 数据库。如果直接利用
    Access 注入来添加账户往往会失败,而 SQL 服务器的权限一般较高,容易利用,因此最好能
    得到 SQL server 的密码。根据以往的经验可以判断很可能是以前使用过 Ms SQL server
    作为后台数据库,而在 WEB 的 ASP 页面文件夹里进行寻找,可以发现以往的数据库连接文件。
    从该文件中可以找到 SQL 服务器的密码。然后可以利用 SQL 服务器的登录客户端尝试登录,发
    现密码可用。下一步可利用客户端输入 sql 命令来添加本地账户,并将该账户加入管理员组,从
    而完成了账户添加和提权。下一步利用 sql server 客户端打开目标服务器的远程桌面,方便
    后面的痕迹清理和密码破解。利用 Windows共享漏洞,上传 SAMInside 工具到目标服务器,
    并连接远程桌面登录后,利用该工具破解得到 Administrator 密码。利用 Administraotr
    登录远程桌面,清除上传的工具和木马等文件,并删除临时账户、账户文件和日志等,完成实验任
    务。
  • 实验步骤

    1、利用IpScan扫描得到Web服务器的IP地址,在IP范围”后面输入目标主机的IP地址,点击“开
    始”进行扫描。发现主机存活。


    2、 利用 SuperScan 确认服务器的开放端口,确认 web 服务器开放端口和数据库端口。


    3、利用NtScan扫描服务器弱口令,验证是否存在弱口令。验证发现,没有弱口令。


    4、利用 X-Scan 扫描 SQL server 弱口令。

    5、打开 Web 页面,寻找是否存在 SQL 注入点。为了能够直观的现实SQL 错误的返回页面信
    息,需要对 IE 进行设置。点击“Internet选项”。


    取消选中“显示友好 HTTP 错误消息”

    windows2003 还由于安全原因对 IE 有特殊的安全设置,也最好去掉。点击“控制面板”中
    的“添加删除程序”。

    点击“添加/删除 Windows 组件”,取消“Internet Explorer 增强的安全配置”


    访问目标 WEB 服务器。

    点击“图片-叶子”,在 URL 结尾加单引号,查看出错信息并找到注入点。

    6、找到注入点,利用 Domain 工具对注入点进行攻击,尝试破解网站管理员的账户和密码。

    利用 Domain 工具破解得到后台管理员的密码。


7、找到并登录网站的管理后台,通常的网站后台都允许上传文件,找到可以上传文件的位置,上
传网马(上传 ASP 木马,记下路径,由于限制,需要将文件后缀修改为.jpg)

利用得到的后台管理密码登录,会发现错误。这是由于通常在后台数据库中存储的都是密码的
hash 值,因此需要将 hash 值转换为 明文密码才行。利用工具 破解得到真正的密码。

利用新密码登录进入后台。找到“文章管理”,这里可以发布新文章,并上传图片,我们可以利用
这个地方的验证漏洞,上传我们的 ASP 木马。当然,需要先将 ASP 木马的扩展名修改为
Jpg,上传成功后我们再找别的漏洞将扩展名改回 asp,否则无法执行

修改扩展名。

8、为了使上传的网马脚本能够运行,需要将上传上去的文件的后缀修改回.asp,因此需要在后台
查找文件或数据库备份的地方,将ASP 木马由.jpg 备份为.asp,并记下网页的相对路径将木马上传。

这里需要将这个位置记录下来,后面需要利用备份系统将扩展名修改回去并记录新的地址。

访问网马页面,查看木马源码,找到认证口令,利用口令登陆网马。访问木马地址。

但是这个木马是有密码的,因此需要浏览木马文件,找到木马的密码。

10、打开功能模块“FSO 文件管理器”,找到 web 所在目录。使用密码访问木马页面,并浏览 C 盘。

访问网站的目录页面,寻找线索。
11、找到 conn_*.asp 文件,这里文件中通常都存有 SQL server 的登录用户名和口令,得到
sql server 口令

发现原来 SQL 服务器的旧连接文档,打开文档发现 SQL 服务器的密码。

12、运行本地的 sql server 客户端,利用得到的口令登陆目标 sql server。利用 SQL 客
户端登录 SQL 服务器。

验证可以登录和执行正常查询。接下来将利用 SQL 语句手动的添加账户和打开远程桌面。
13\运行 sql 命令,在目标主机中添加账户,并加入管理员组,具体步
骤如下:
a) 在 SSMS 界面上点“新建查询”,输入命令激活组件 xp_cmdshell
b) EXEC sp_configure ‘show advanced options’, 1--
c) RECONFIGURE WITH OVERRID --
d) EXEC sp_configure ‘xp_cmdshell’,1 --
e) RECONFIGURE WITH OVERRIDE –
f) EXEC sp_configure ‘show advanced options’, 0 –
g) 执行上述命令
h) 继续输入命令,添加一个管理员账号:
i) exec master..xp_cmdshell ‘net user newone$ 123 /add’
j) exec master..xp_cmdshell ‘net localgroup administrators
newone$ /add’
k) 开启目标服务器的远程桌面连接:
l) exec master.dbo.xp_regwrite ‘HKEY_LOCAL_MACHINE’,
‘SYSTEM\CurrentControlSet\Control\Terminal Server’,
‘fDenyTSConnections’,’REG_DWORD’,0;--
m) 利用新加入的账户和密码利用远程桌面登录到到目标服务器

打开远程桌面。

利用远程桌面和新添加的账户登录目标系统

14、查看服务器的共享情况,上传 SAMInside 工具

15、在目标服务器上运行 SAMInside 工具,并暴力破解出本地的管理员密码


经分析后可以看到管理员的密码,但显示为乱码,需要继续进行暴力破解。

设置暴力破解的参数

可以破解得到真是的 Administrator 密码

16、利用管理员密码登录目标服务器,清除痕迹:
a) 卸载 SAMInside
b) 删除建立的临时管理员用户及用户文件夹
c) 删除上传的文件
d) 恢复数据库配置,关闭 xp_cmdshell 组件
✓ EXEC sp_configure ‘show advanced options’, 1--
✓ RECONFIGURE WITH OVERRID --
✓ EXEC sp_configure ‘xp_cmdshell’,0 --
✓ RECONFIGURE WITH OVERRIDE –
✓ EXEC sp_configure ‘show advanced options’, 0 –
e) 删除 webshell
f) 删除 IIS 日志
g) 删除系统日志

清空回收站。
17、结束练习。
服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00