WooYun.org

000x1，今天星期天朋友给我发了一个站，让我试试。。于是我就简单搞了一下
目标是www.hrbnu.edu.cn，大学一般都是有内网的。
我简单收集了一些信息，一般然后我喜欢用GOOGLE搜索注入点
http://jy.hrbnu.edu.cn这个二级域名有注入。是个帝国cms的站，管理员关闭的PHP错误，所以没找到路径，写不了shell，找到了PHPMYADMIN,于是就试试写UDF提权，随然没成功，但是把操作也记录下；
一，现看下版本，5.1以下可以将UDF写在c:\windows\system\目录下面

第二步，创建一个表。
第三步，插入HEX值的UDF.DLL
第四步。写入UDF到c:windows\system32目录
第五步。就是创建cmshell函数执行命令，但是没成功。为什么成功，我也不知道

000X2 （shell）
因为时间有限，所以就没有继续试其他方法了，所以我直接利用强大的谷歌找到了一个后台，然后通过爆破弱口令进去了，

然后我开始找上传点，
有了上传好办事啊，

过滤了文件名，试试BURP截断上传shell
截断上传成功，成功获取WEBSHELL一个。。

000x3
接下来，就是通过WEBSHELL获取系统权限
通过已经获得一句话webshell链接上菜刀，通过在菜刀里面寻找发现TOMCAT文件夹，看来支持JSP，

然后果断上传JSP大马，获取SYSTEM权限

000x4进入内网
不管怎么样，先把管理员读出来，上传gethash.读密码
通过解密知道管理员密码为hrbu_jwc03

因为是内网，所以需要做代理，或者转发才能进去。。。
用htran开代理没行，后来发现有防火墙，限制了出来端口，80没限制。于是就用lcx走转80出来。
《纠结一晚上》
成功进去

进到了图形化界面好操作啊，上工具扫描下弱口令啊

这么多弱口令，其实都是同一台机器，都不知道管理员配一台机子配那么多IP干嘛，明显傻帽。。。

通过sa弱口令连接目标主机加用户
登上看看
一台机器配这么多ip...也不知道服务器管理员怎么想的。。。。

然后继续，我用工具扫了这个段的大概环境
然后再发现又找到一台机器存在Fck漏洞
用exp 直接上传
成功拿到shell，读取这台机器管理员密码。。
。。。。。。。。。。。。因为很多地方没记录。所以省略很多步。。。。。看张图就行

搞了四台window机器。还有这台LIUNX好像是DNS服务器。。
思考and总结：虽然搞定了五台机器，但是没啥意思。。
1． 内网溢出,通过对内网的扫描情况，判断win2003的机器，利用ms08067进行运程溢出。
2． 内网web，通过内网的扫描，用sockscap上的ie来打开内网开放的web，在内网采用web注入或上传的方式来获取webshell提权。
3． 内网弱口令试探，利用经典的ipc,或是3389，和已掌握的密码信息来尝试猜解内网nt的密码，当然这需要耐心，也是非常有用的。
4． 猜解sql弱口令，在sockscap控制台中用sql连接器连接内网开放1433或是3306的机器，猜解弱口令。
5． 内网嗅探，不得已的办法，不推荐。
6． 内网主动会话劫持，篇幅长，难度高《暂时没研究》
下面图片是我对邮件服务器，OA服务器，文件服务器的踩点信息。。

我已经踩点好了，有时间在搞吧，好多地方没记录，这次写的比较乱，凑合看。。，睡觉累了。。
修补建议：1.你的防火墙没有完全配置好。允许web端口出来。
2.补丁要打
3.管理员太不负责任，经常不管理服务器。
4.内网太脆弱。我只是简单搞搞

注：友情检测，没有任何破坏。。。需要继续检测也可以。。。