学校内网渗透(1)

学校内网渗透(1)

2015-03-28 16:21

    起初

    学校进行了一次大改,把所有电脑和投影仪都接入了内网,并且将电脑改成网络启动。其实我已经垂涎内网很久了。正好玩玩学校的内网

    初探交换机:无果

    现在我掌握的信息可以说是几乎没有:学校的网络很大,这点可以确定。电脑的 IP 是 172.32.88.XX,也就是说学校的网段应该是 172.16.0.0-172.32.255.255。学校还有个 WiFi,不过有 MAC 地址过滤,IP 段则是 172.32.16.0-172.32.18.255。其他的东西几乎一无所知

    尝试用浏览器打开 172.32.88.1,成功看到了希望中的交换机登录界面。很显然,学校的是 H3C 的交换机。尝试了 admin、123456、admin888 之类的密码,很可惜没有登录上去。不过这很正常。毕竟主交换机那么容易就被登录上的话,才真的奇怪了

    1.png

    内网扫描:惊人发现

    算了,还是调出局域网扫描器,看看这个局域网里面到底还有些什么东西

    用 MyLanViewer 一点一点扫描了 172 开头的私有 IP 段,还真让我发现了一些东西。一个 172.32.27.XX 的网页,扫描器显示 Web 名称是 “Projector Lan Control”。看来是个网络控制什么的。用浏览器打开一看,果然是投影仪的 Web 控制页面

    4.PNG

    还有 172.32.27.1XX,竟然是网络电源开关的控制器。这里说个题外话,在我印象中学校的交换机貌似都是华三的,但是 172.32.27.225 竟然是台 TP-LINK 的交换机,真心不知道是什么情况

    5.PNG

    有个 172.32.23.XX,里面有很多东西。不过比较奇怪。有的打开提示要安装个什么控件,结果 IE 又不给安装。还有个 “联想万全慧眼”,百度了一下,说是什么控制系统。不过试了试常见的密码都没有进去,于是暂时也就扔一边吧

    2.png

    接下来我突发奇想:学校那么多电脑,怎么可能才这点 IP 呢?难不成我处于 “内网中的内网”?于是调出扫描器,果断的扫描了一下 10.XX.XX.XX,还别说,真看到了好一些网站,几乎全是本地 ZF 的。我顿时明白过来:学校一定接入了本地的城域网

    大华硬盘录像机:只是浪费时间

    现在好像所有的路都被阻断了。于是我打开扫描出的http://172.32.27.2(只是因为看上去比较特殊),点了下 “管理员登录”,习惯性的输入 `‘or”=’`,没想到还真进去了?不过左边的菜单死活加载不出来,那也就是说没有任何用处了。我试了试提交一个单引号,没有出现期望中的 Apache Tomcat 500 错误。看来注入是行不通了。试着扫描了一下端口,发现真的是 MySQL。这下好像又给了我一条路

    不过主服务器怎么看都像无法利用的样子。我突然想到,IE 提示无法安装的是一个叫 “webrec.cab” 的东西。遂百度了一下,发现这货竟然是 “大华硬盘录像机” 的东西。于是在 wooyun 里继续搜索大华,还真让我找到了一篇文章:记一次失败的渗透从 4 年前的老文章到监控录像机最终直捅某敏感部门内网

    降低 IE 安全级别,成功安装上了控件。输入 admin 登录,发现这货其实挺没用的:根本就对我继续入侵没什么帮助。不过 wooyun 的那篇文章提醒了我:“用户管理” 里面还有几个不知道密码的用户,是不是用 Telnet 上去看看呢?果断 Telnet 了一下。尝试执行 yum、apt 都提示不存在,看来这个系统真的超精简,真的仅仅是个 busybox-based 的系统。继续翻里面的文件

    6.PNG

    翻了 N 久,终于找到配置文件。本来还想着配置文件里面应该有密码。密码或许还和主服务器的一样呢!等我打开一看就傻眼了:密码全是默认密码。这 TM 是在逗我吗?

    看来在这个 “大华” 的身上浪费了很多时间,依然没有什么有用的发现

    大华 DSS:峰回路转

    无聊的继续乱逛,无意间发现监控 Web 网页有个 “下载插件” 的按钮,地址竟然是/admin/download.do?f=Plugin.exe。难不成这里可以用来下载东西?于是我把Plugin.exe改成../WEB-INF/web.xml,还真下载到了 web.xml

    7.PNG

    翻看了一下 web.xml,貌似没找到有用的东西。突然想到一件事:从 URL 上来看,整个网站是 jsp 的,那么会不会有前段时间爆出的 Struts 漏洞呢?果断到 wooyun 知识库找到了相关文章,然后把代码一运行 —— 尼玛!整站 404/500 了,原来是 DoS 攻击!好吧,看来只有等管理员重启了。不过,在错误信息中,无意间发现 tomcat 版本是 5.5.26

    过了一段时间,终于又能打开网站了。这次学乖了,才不会看都不看就提交。还是继续利用那个任意文件下载漏洞吧!试了试C:/Windows/explorer.exe/Windows/explorer.exe这样的路径,很遗憾什么都没有下载到。看了半天 struts-config.xml,把 classes 里的东西下载下来一看,才发现 download.do 实际执行的代码,是将 f 参数拼接到 admin 目录后

    看来不能用他直接读什么关键的东西了。逛了一圈没找到有什么可利用的。习惯性打开了http://172.32.27.2/admin,想象中的后台页面没有出现,倒是出现了一个奇怪的页面。百度之下,发现是一个数据库类。于是下载到了数据库配置,得到 MySQL 密码

    8.PNG

    连接上 MySQL,然后找到用户表,才发现密码原来就是 12345。怪不得我猜了半天 123456 不对…… 登录进入监控系统的后台,翻了翻,貌似除了个 “更新” 的东西,没有地方可以上传文件。唉,看来这条路还是没什么用

    9.PNG

    突然想到 MySQL 貌似可以 outfile,不知道有没有利用价值。不过现在我都还不知道安装目录…… 百度了下 tomcat、struts 什么的,倒霉什么可以直接被利用的漏洞。不过看到 Tomcat 有个后台,倒是给我提了个醒:那里好像可以上传文件。于是输入http://172.32.27.2/manager/html,弹出了登录框。输入 “传说中” 的 admin/admin,结果登录失败。于是又利用之前的漏洞,下载到 struts 的用户配置,然后用 tomcat/tomcat 登录。哎?怎么报 403 了?密码没错啊?百度之下,才知道 Tomcat 没有打开 Web 控制的功能。试了试 “传说中的” 几个 Tomcat 漏洞,一无所获

    除非特别声明,本站内容均为原创,采用 BY-NC-SA(署名-非商业用途-相同方式共享) 协议进行授权

    转载请注明转自泷涯零点,原文地址《学校内网渗透(1)