起初
学校进行了一次大改,把所有电脑和投影仪都接入了内网,并且将电脑改成网络启动。其实我已经垂涎内网很久了。正好玩玩学校的内网
初探交换机:无果
现在我掌握的信息可以说是几乎没有:学校的网络很大,这点可以确定。电脑的IP是172.32.88.XX,也就是说学校的网段应该是172.16.0.0-172.32.255.255。学校还有个WiFi,不过有MAC地址过滤,IP段则是172.32.16.0-172.32.18.255。其他的东西几乎一无所知
尝试用浏览器打开172.32.88.1,成功看到了希望中的交换机登录界面。很显然,学校的是H3C的交换机。尝试了admin、123456、admin888之类的密码,很可惜没有登录上去。不过这很正常。毕竟主交换机那么容易就被登录上的话,才真的奇怪了
内网扫描:惊人发现
算了,还是调出局域网扫描器,看看这个局域网里面到底还有些什么东西
用MyLanViewer一点一点扫描了172开头的私有IP段,还真让我发现了一些东西。一个172.32.27.XX的网页,扫描器显示Web名称是“Projector Lan Control”。看来是个网络控制什么的。用浏览器打开一看,果然是投影仪的Web控制页面
还有172.32.27.1XX,竟然是网络电源开关的控制器。这里说个题外话,在我印象中学校的交换机貌似都是华三的,但是172.32.27.225竟然是台TP-LINK的交换机,真心不知道是什么情况
有个172.32.23.XX,里面有很多东西。不过比较奇怪。有的打开提示要安装个什么控件,结果IE又不给安装。还有个“联想万全慧眼”,百度了一下,说是什么控制系统。不过试了试常见的密码都没有进去,于是暂时也就扔一边吧
接下来我突发奇想:学校那么多电脑,怎么可能才这点IP呢?难不成我处于“内网中的内网”?于是调出扫描器,果断的扫描了一下10.XX.XX.XX,还别说,真看到了好一些网站,几乎全是本地ZF的。我顿时明白过来:学校一定接入了本地的城域网
大华硬盘录像机:只是浪费时间
现在好像所有的路都被阻断了。于是我打开扫描出的http://172.32.27.2(只是因为看上去比较特殊),点了下“管理员登录”,习惯性的输入'or''='
,没想到还真进去了?不过左边的菜单死活加载不出来,那也就是说没有任何用处了。我试了试提交一个单引号,没有出现期望中的Apache Tomcat 500错误。看来注入是行不通了。试着扫描了一下端口,发现真的是MySQL。这下好像又给了我一条路
不过主服务器怎么看都像无法利用的样子。我突然想到,IE提示无法安装的是一个叫“webrec.cab”的东西。遂百度了一下,发现这货竟然是“大华硬盘录像机”的东西。于是在wooyun里继续搜索大华,还真让我找到了一篇文章:记一次失败的渗透从4年前的老文章到监控录像机最终直捅某敏感部门内网
降低IE安全级别,成功安装上了控件。输入admin登录,发现这货其实挺没用的:根本就对我继续入侵没什么帮助。不过wooyun的那篇文章提醒了我:“用户管理”里面还有几个不知道密码的用户,是不是用Telnet上去看看呢?果断Telnet了一下。尝试执行yum、apt都提示不存在,看来这个系统真的超精简,真的仅仅是个busybox-based的系统。继续翻里面的文件
翻了N久,终于找到配置文件。本来还想着配置文件里面应该有密码。密码或许还和主服务器的一样呢!等我打开一看就傻眼了:密码全是默认密码。这TM是在逗我吗?
看来在这个“大华”的身上浪费了很多时间,依然没有什么有用的发现
大华DSS:峰回路转
无聊的继续乱逛,无意间发现监控Web网页有个“下载插件”的按钮,地址竟然是/admin/download.do?f=Plugin.exe
。难不成这里可以用来下载东西?于是我把Plugin.exe
改成../WEB-INF/web.xml
,还真下载到了web.xml
翻看了一下web.xml,貌似没找到有用的东西。突然想到一件事:从URL上来看,整个网站是jsp的,那么会不会有前段时间爆出的Struts漏洞呢?果断到wooyun知识库找到了相关文章,然后把代码一运行——尼玛!整站404/500了,原来是DoS攻击!好吧,看来只有等管理员重启了。不过,在错误信息中,无意间发现tomcat版本是5.5.26
过了一段时间,终于又能打开网站了。这次学乖了,才不会看都不看就提交。还是继续利用那个任意文件下载漏洞吧!试了试C:/Windows/explorer.exe
、/Windows/explorer.exe
这样的路径,很遗憾什么都没有下载到。看了半天struts-config.xml,把classes里的东西下载下来一看,才发现download.do实际执行的代码,是将f参数拼接到admin目录后
看来不能用他直接读什么关键的东西了。逛了一圈没找到有什么可利用的。习惯性打开了http://172.32.27.2/admin
,想象中的后台页面没有出现,倒是出现了一个奇怪的页面。百度之下,发现是一个数据库类。于是下载到了数据库配置,得到MySQL密码
连接上MySQL,然后找到用户表,才发现密码原来就是12345。怪不得我猜了半天123456不对……登录进入监控系统的后台,翻了翻,貌似除了个“更新”的东西,没有地方可以上传文件。唉,看来这条路还是没什么用
突然想到MySQL貌似可以outfile,不知道有没有利用价值。不过现在我都还不知道安装目录……百度了下tomcat、struts什么的,倒霉什么可以直接被利用的漏洞。不过看到Tomcat有个后台,倒是给我提了个醒:那里好像可以上传文件。于是输入http://172.32.27.2/manager/html
,弹出了登录框。输入“传说中”的admin/admin,结果登录失败。于是又利用之前的漏洞,下载到struts的用户配置,然后用tomcat/tomcat登录。哎?怎么报403了?密码没错啊?百度之下,才知道Tomcat没有打开Web控制的功能。试了试“传说中的”几个Tomcat漏洞,一无所获