渗透中国联通

渗透中国联通文章作者:Nicholas
渗透联通之旅,原来入侵过四川联通.今日再次看看.发现一个jsp页面的get连接.就忍不住的想测试http://www.sc.chinaunicom.com/local/content.jsp?localid=9先加上 ?and 1=1 ? , and 1=2 . 貌似有注入.普遍情况下,JSP相对采用SYBASE,MYSQL,ORACLE数据库.那就一个个测试吧.
当测试Dual表的时候返回正确了 And 0<>(select count(*) from dual)说明是Oracle数据库. ?现在数据库已经弄清楚了,可以使用order by来测试字段了.order by 10– 返回错误. ?接着order by 6的时候返回正确. order by 7返回错误.?说明6个字段. 现在构造查询语句. 其实跟MYSQL手工注入差不多and ?1=1 null,null,null,null,null,null from dual– 返回错误页面.然后把null加上单引号测试字符类型. 还是错误页面. ?还剩下一种常用数据类型. 那就是数字了.and 1=2 union select 1,’2′,3,’4′,5,’6′ from dual–在新闻标题和新闻内容出现了”2″ ? 已经爆出了数据库字段位置了.先看看数据库版本吧.and 1=2 union select 1,’(select banner from sys.v_$version where rownum=1)’,3,’4′,5,’6′ from dual–返回页面出现 ?Oracle9i Enterprise Edition Release 9.2.0.1.0 – 64bit Production?然后使用(select SYS_CONTEXT (‘USERENV’, ‘CURRENT_USER’) from dual)来爆数据库用户名吧用户名爆出来了CHINAUNICOM?接着通过logfile函数获取日志文件路径.(select member from v$logfile where rownum=1)出现/oracle/oradata/uniscdb/redo03.log ? 看这个路径,说明不会是WIN系统平台.是LINUX或许UNIX或许其他的玩过注入的朋友,都知道注入猜表都是 select * from [table] 那么来一个个测试.相当于盲注或许有人会说MSSQL的多句查询在显错状态下可以直接爆出表名. 但是有拓展延伸性的.接着就是ORACLE发挥自己强大之处的地方了.and 1=2 union select 1,TABLE_NAME,3,’4′,5,’6′ from USER_TABLES–出现了很多表?MOBILE_AREA SMS_DELIVER SMS_DELIVER_LOG SMS_REPORTMSG …………经过5分钟查阅,终于找到管理员表了。http://www.sc.chinaunicom.com/local/content.jsp?localid=9 and 1=2 union select 1,NAME,3,’4′,5,’6′ from UNICOM_USER–管理员账号 123 kf_jlb sa sichuan zhangyl?接着NAME换成PASSWORD爆出密码123 kf_jlb mb747576 sa?通过一些工具找到后台登陆的地方了。http://www.sc.chinaunicom.com/manage/login.do现在进去看看吧。登陆成功。 既然进去了,就尝试拿拿shell吧. ?大家一定要开VPN.否则后果很严重.通过新闻添加的NC提交,拿到一个shell.继续渗透之路首先看看系统版本吧. ?用uname命令.回显是 SUN OS 5.9WEB路径 /bea/user_projects/domains/unicom_business/因为系统版本无exploitz,估计本地溢出很渺茫在WEB上级目录发现一个OA_SYSTEM_DATASCRIP目录进去看看吧,反正也不知道该如何是好.人品真的很好,竟然让我找到一个jar数据封装包.里面写着一台IP为 172.0.25.33的MSSQL服务器SA账号密码有这个就好办了.连接上去,随便建立一个库,一个表一个字段里面随便写个值,构造一个注入点放到四川联通WEB目录下.拿起工具直接注射过去.获得一些信息.数据库版本mssql2000权限SA,用户DBO,数据库TEST,多句执行:YES,显错开启。JSP+MSSQL敢用SA,{dy}次见。太犀利了。直接用xp_cmdshell提权.竟然还真提起来了.转发3389失败了问题来了.服务器是在172.0.25.X的内网.3389又连不上正在想是不是3389给过滤了.因为netstat -an看了一下MSSQL与几台119.6.253.X的几台服务器是监听状态转发不行,干脆来点狠的.直接通过XP_CMDSHELL改了3389端口因为是2003,不需要重启.继续做了端口转发.然后我本机的htran有提示连接了.打开mstsc连接 127.0.0.1:13389?出现了可爱的Windows 2003 datacenter Server登陆界面进去以后在硬盘里面翻了一下,发现是一台专业数据服务器输入ipconfig /all看了下。吓我一跳。3个连接192.168.50.4172.0.25.3310.0.30.42这下估计有得渗透了,挂起X-SCAN先扫描192.168.50.X网段。其中192.168.50.[39,43,44,49] 存在MSSQL SA空口令.轻松拿到权限.其中192.168.50.[23,27]存在IIS写权限漏洞.直接用老兵工具拿到两个shell.192.168.50,23服务器上是联通秘书运营OA平台. COUNT目录下有个计数器.每天有一些10.0.23.X-10.0.27.X的客户端登陆这个OA平台.凭感觉断定这些是联通职员的工作客户端.以前去中国移动交话费的时候,有几次不经意的看到营业厅的客户端上是XP系统,而且都没安装杀毒软件。三款网页组合木马,先本地测试看看是否会造成客户端卡屏或者程序bug.测试完成后,在OA首页挂了代码.果然是好RP.一小时过后,慢慢的有23台肉鸡上线.看了下远程桌面,好像也没什么特别的,只是开了中国联通业务WEB在线作业平台.可能是客服部门的吧.在192.168.50.39上开着cain,放那里没管它.继续回到192.168.50.4上面做渗透. 拿起X-SCAN扫描172.0.25.X子段.扫到一台LINUX 172.0.25.68上面有个网站是默认的IP URL.index.php存在remote include file漏洞在数据库服务器安装了php环境,放了一个php马.然后再172.0.25.68上远程包含利用成功获得shell.进去后才知道是四川联通的客户信息管理系统.好xx的想法来了.也是此次渗透最关键的地方.马上得到oracle账号密码,连接上去读取管理员账号密码.结果我xx的想法被破灭了网站是C/S模式的,有独立HTTPS个人证书.也就意味着HASH也是无法xx的,因为管理用户是独立的HASH SID.返回到192.168.50.39上面,抓到一些hash和一些明文密码.试着在线xx.有几个密码xx出来了.登陆上去继续提权.渗透到这个地方告一段落.这次渗透总共获得65台服务器权限,包括2个域管理权限.内网安全一塌糊涂,特别是群集的网段需要特别注意密码安全,否则一击即中.在入侵中,需要多出运用新的思路.翻看教程没有错,但是xx照抄就是SB了.
在本次入侵检测后,我已经通知四川联通技术部门处理这些安全漏洞。植入的木马和后门已经协助四川联通技术部删除.在这里感谢sLock提供的三款网页木马。请各位看官要切记,善于利用自己的技术来帮助他人,不要非法入侵做一些损人不利己的事情。如有转载此文,请注明原创文章作者:Nicholas ?QQ:97555711. 请尊重他人劳动成果.

郑重声明:资讯 【渗透中国联通】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——