渗透学校内网实录.docx

渗透学校内网实录.docx

《渗透学校内网实录.docx》由会员分享，可在线阅读，更多相关《渗透学校内网实录.docx（10页珍藏版）》请在冰豆网上搜索。

渗透学校内网实录

渗透学校内网实录

00X00前言对朋友的学校进行全面的安全检测,收获颇丰,成功拿下了管理各学院的网站,交换机,以及各数据库服务器,及管理vps的服务器,遗憾的是没有搞定教务系统,在渗透学校电力管理系统的时候,用到了一个老手法---IPC,运气不错可以使用IPC连接搞定了一台x86的wi

00X00前言

对朋友的学校进行全面的安全检测,收获颇丰,成功拿下了管理各学院的网站,交换机,以及各数据库服务器,及管理vps的服务器,遗憾的是没有搞定教务系统,在渗透学校电力管理系统的时候,用到了一个老手法---IPC,运气不错可以使用IPC连接搞定了一台x86的win8服务器.

这只是本次渗透的一小部分,下面给大家分享下渗透电力系统的过程.

00X01渗透过程

网络连接的CMCC-EDU中国移动的热点,大多数学校都有这个.通过CMCC-EDU可以访问校园内部网络.

在内网用Hscan扫描的时候,扫到了一个ipc口令为空且还有匿名FTP的机器

于是,开始IPC入侵开始：

1Netuse\\xx.xx.xx.xx\IPC$“”/user：

“administration”

配置远控,开始种马.

在拿下的一台服务器上,运行远控,等待上线.

顺利上线了.

突然想到还有匿名FTP,进去看下,发现是电力管理系统

花了些时间寻找,发现了惊喜:

在文件-“其他信息.txt”中发现了

并发现了一张网络拓扑图片

目标已确定:

187、183、184、186、182这5台机子

现在已经拿下了184这台

扫描端口发现186、187、开了22端口,可以判断是linux服务器,182、183、184是Windows

于是使用PUTTY,试了下弱口令：

rootroot，root123，最后用上面发现的密码成功登陆,同样顺利拿下187。

抓184服务器管理员的hash值备用

解密Hash

1

2Administration密码为空

1密码为1

接着扫描182、183，的端口发现182没开3389也就没办法通过上面得到的密码搞定；

回头想想，184这台通过IPC搞定,182也开了139445端口,于是再次使用IPC

尝试了几次最终还是使用之前的通杀密码解决

然后：

然而等了半天182这台都没上线：

渗透进度卡住了，心里想会不会是被杀毒软件干掉了

之前的端口扫描发现182这台开了80端口.打开看下了下,网站没什么漏洞.使用445端口SMB共享,把C盘和D盘映射到自己机器上

检查之前copy过去的木马,没运行.

才想起渗透web的时候报的错表明位IIS7.0,原来是win2008,或许远控不支持win2008

找到182的web根木录,放入大马

上传IIS7.0成功提权

由于菜刀不能形成交互式shell,可以使用nc反弹一个system权限的shell到另一台服务器成功开启3389；

在182中找sa密码是发现183是182的数据库服务器.学校电力管理系统渗透完毕.清除日志.闪人.

00X03后话

关于内网渗透的文章,童鞋们也看过不少.本文最主要的还是靠运气.其实很多学校的内网都有安全隐患.

管理员偷懒.抓取内网中其中一台服务器的Hash值.运气好.就能一个密码上遍内网服务器.在拿下学校的服务器时

多花点时间在服务器里寻找文件.会发现意想不到的东西