快速对虚拟主机进行渗透提权-黑客博客

假期无聊，随便乱逛，来到了一个新加坡站点，网站很普通，估计是asp+Access的站点，随手点开一个页面，用“-0”、“-1”简单测试发现存在注入。立马将网址丢到啊D中，不一会儿，啊D就成功猜解出后台用户名密码。

密码被md5加密，在cmd5网上查得原文，登录后台，有种似曾相识的感觉，估计是国内的程序员开发的。后台有上传和数据库备份功能，马上上传图片木马，利用数据库备份顺利得到webshell。

利用菜刀连接，发现权限控制的并不严格，绝大多数目录能浏览。WEB站点目录统一放在“C:\Home\”下。看着如此多的文件夹，心里不禁乐了，看来这个虚拟主机上的网站还不是一般的多。

既然服务器是虚拟主机，那应该是支持aspx与php的了，测试发现绝大多数站点目录下支持aspx和php，但有的php站点目录并不支持aspx，看来管理员对目录的脚本执行类型进行了简单的区分。

分别在不同的目录中上传好aspxspy和phpspy，在aspxspy中能成功执行命令。输入“ipconfig/all”，发现有两块网卡，其中内网IP为10.10.174.200，而外网IP为*.*.*.200，估计内外网IP的末尾是一一对应的。IIS Ipy也能成功执行，域名和对应的文件夹路径。

W04ETNU`3JUQ4RK8GE3KG_U.jpg

继续执行命令“netstat -an”与“net start”查看了一下端口连接与服务开启情况，发现3389开放，服务器连接10.10.174:25的3306端口，并未发现有1433的连接，剩下的就是一长串的80连接了。

执行“systeminfo”查看下系统情况，系统是用的win的web版本，而非常见的企业版，管理员估计设置的自动更新，服务器满补丁运行，但还是抱着奢望尝试了巴西烤肉等提权exp，均失败。

远程连接其3389，5下shift看有没有后门，也并没有发现Hacker留下的踪迹。ftp服务是用微软自带的IIS搭建，服务器为每个站点都建立了唯一的用户，用net user可以查看到N多用户，都隶属于ftpusers组。翻遍了全盘，也没发现有mysql和MSSQL等数据库遗留或备份的痕迹。从前面执行的“netstat -an”结果中，此WEB服务器连接了10.10.174.25的3306端口，估计10.10.174.25被专门用做数据库服务器了。

来看看是否能利用下这个数据库服务器，在其中一个php站点的数据库连接中。

hostname是mysql而不是常见的localhost，在aspx马中执行命令“ping mysql”，其ip为10.10.174.25。既然WEB服务器弄不下，也就只好先看看这个数据库服务器。将上述信息填入phpspy中，连接成功，这时愣了，没想到这用户竟然能查看到mysql数据库。

马上选择mysql数据库，执行“select host，user,password，select_priv from mysql.user;”，执行结果所有用户全部显示出来了。将select-priv为Y的用户整理出来，拿去彩虹表破解之，三分钟不到，结果就出来了，用的纯字母。用root连接数据库服务器成功，利用mysql的load_file()读了下文件，没想到此服务器竟然是用的freebsd。这下就无奈了，要是windows就好啦，而linux下的权限区分的很分明，这个mysql的root用户只能读写普通文件了。读

了下“/etc/passwd”，一大溜的用户。

在aspxspy上对这台mysql服务器的端口开放情况进行了扫描，看是否提供web服务而开启了80、8080等端口。结果再度令人失望，只开放3306和65000端口。没有开放WEB服务，看来对这台数据库服务器的提权是无望了。想到web服务器内外网IP——对应的关系，猜测其外网lP估计为*.*.*.25，telnet其65000端口。

判断是正确的，这个65000是用来远程管理的，利用先前用load_file收集到的用户信息，尝试了几个弱口令均失败，将mysql的root密码作为密码也提示“Login incorrect”。

数据库服务器无法进展又只好回到WEB服务器上来，磁盘上文件都被翻了个遍也没有再找到什么敏感的信息。试试社工吧，继续利用“/etc/passwd”中的用户名和破解出mysql的root密码，N个组合后，突然RP爆发，管理员administrator所用的密码就是mysql的root密码。

登录成功后，发现内网中有相当数量的服务器，上传s扫描器，对内网中开放3389的主机进行了扫描，利用密码通用和MSSQL的sa弱口令又拿下了几台。

由于语言的关系，就没有再对这个内网进行深入下去，这个曲折的检测就告一段落了，在成功登录这台WEB服务器时，自己也是有一些欣喜与忐忑的，很有一种绝处逢生的感觉。各种提权exp无效，不提供mssql、mysql等数据库服务，ftp又是用的IIS自带，心里想着要放弃时，却利用管理员在对mysql用户权限分配上的一个小小疏忽，破解出了root的密码，成功获得了系统权限。很是感慨，社会工程，不失为一种高于技术的高深科学。大家们好好去发挥吧。