文章首发于奇安信攻防社区
https://forum.butian.net/share/1000
0x00 前言
近日在网上愉快的冲着浪,误打误撞的点开了某链接直接跳转到某游戏私服的网站,刚想关掉背景音乐吸引住了我,别说还蛮好听的,用听歌识曲识别是许美静唱的《边界1999》一代人的回忆啊,既然你的背景音乐那么动听那就别怪我不客气了。
0x01 信息收集
为了更大的利用收集时间直接把网站URL丢到了AWVS漏扫工具,不一会扫出了两个高危漏洞,IIS短文件漏洞和存在备份文件下载,其中IIS短文件漏洞过于鸡肋这里我们就选择了忽略它,相反备份文件的可利用性会更大些。
0x02 找寻漏洞
将备份文件下载至本地,运气很好是个整站的备份文件,当我们得到了网站整站文件时最需要特别注意的是confing目录和data目录等这类型的目录文件,因为其中的配置文件可能记录着网站的明文或加密的账号密码,data呢则是数据库等其他类型数据的备份文件保留目录,这就多了几个的利用点。
进入到config目录AspCms_Config.asp为网站的配置文件目录,从文件名上我们也可以得到该网站是用aspcms搭建的,打开文件得到其配置的数据库账号密码但似乎只是个虚设其1433端口并未开放,config_qp.php文件看着是个大马文件难道有前人来过?但去直接访问的时候文件已经不存在了。
接着进入到data目录下发现了mdb的数据库备份文件,时间看着挺新利用工具打开管理员的账号密码表,经过解密是个弱口令但并未能成功登录后台。
0x03 Getshell
前面在翻备份文件中配置文件的时候发现了大马文件,很有可能有人来过也很有可能在其他目录存在别的后门,利用这个思路点使用D盾对整站进行扫描,扫描出了两个后门文件和一个扫马的工具文件,已知那个大马文件已经被删除了但配置文件中存有后门的代码,可能是刚刚看的不仔细没发现返回去看果然在配置文件中被插入一句话后门,但遗憾的是也连接不成功,从这三个文件的修改时间来看是在同一天同一时段的,从时间的先后顺序看这里盲猜一波很有可能是管理员自己上传的后门测试扫马工具用的。
接着访问根目录下的shell.asp扫马文件,发现其可以编辑文件的代码并保存又可以指定文件去修改,这不就妥妥的可以getshell了吗。
这里要特别注意的是像网站的配置文件与全局文件等最好不要去做任何的改动,因为这里在编辑代码的时候显示的是乱码一旦保存了也是保存当前显示的乱码字符很容易的就把网站给搞蹦了,前面我们已经得到了整站的配置文件那我们就找相对于网站无关的文件进行修改成一句话后门文件。
0x04 权限提升
拿到webshell后发现当前的权限是个很低的IIS的权限,这时候我们就献祭出CS团队多人py工具了。
将权限上到CS后,shell systeminfo查看当前机器所打的补丁可以看到打了74个补丁之多,但肯定也总会有漏的,将补丁信息复制出来到提权对比网进行对比就可以根据漏打的补丁进行相应的提权操作。
之后就是利用CS的第三方插件进行权限提升,一键操作猛如虎直接干到了system权限。
最高权限再手直接利用内置的mimikatz抓取到了明文密码xxxxxx8,有了远程桌面的登录密码下面就是找远程连接的端口了,netstat -ano看本地开放的监听端口得到远程端口63389。
下面就是趁夜深人静管理员不在线的时候悄悄的登录,上去的时候发现是个站群服务器,上面都是各式各样的私服站点并未能看到能够透露管理人员的任何信息。
0x05 揪出幕后运维人员
因在上面的服务器上并未能收集到比较有用的信息,回到最开始网站的页面在翻看网页源代码时发现了另一个站点,该站点的作用是提供私服游戏登录器的下载。
经过站长工具的多地ping测试发现并没有cdn防护得到真实IP地址:119.xx.xx.xx.xx,再利用nmap对其进行端口扫描得到疑似远端桌面端口33502。
之后以一套密码打天下的原理,套用之前抓取到的网站服务器的明文密码进行尝试登录并成功的登录到了该服务器上。
发现该服务器管理着近百台的私服服务器,其CPU处理器i7-4770K不像是服务器的架构更有可能的是个人电脑,而且存在的服务有花生壳和金万维的内网穿透服务,更加的说明了其在家中私自搭建违法私服游戏和维护赚取牟利。
在金万维软件的个人中心,得到其的登录账号、手机号、QQ号,并通过社工库对手机号与QQ号进行泄露查询得到其详细住址和宽带所在地一致,与其在泄露的计算机班群中真实姓名刘某某,该姓名与私服网站和管理服务器密码缩写相对应。
此外在其服务器上还发现其搭建有第三方支付平台,在该平台的页脚处的客服QQ与邮箱和金万维穿透服务个人中心中的QQ吻合,且该网站也做了个人备案,备案名字与社工库查询出的名字刘某某一致。
0x06 总结
此次渗透测试较为简单,遇到的服务器均属于裸奔状态没有任何的防护与杀毒软件,攻击流程也只是常规的手段而已,也只能说自己还是太菜了百分之八十都是靠运气,当然运气也是来自细心的发现,望各位师傅在项目上的时候也要做细到女朋友都嫌弃的地步才可以多发现洞洞,其实最后的服务器处于内网环境中也做了简单的横向探测但并未发现可以利用的价值,相关的证据固定也均截图保留必要时可提交至相关部门。
声明:本文以贴近实战的角度去分享技术,文中所提到的攻击思路和手段与相关工具仅用于学习和分享,若利用相同手段与工具从事违法犯罪活动与本文作者无关。