本人所在的是重庆某某软件学校,学校一共4台内部服务器,
IP结构:10.0.0.2、10.0.0.4、10.0.0.5、10.0.0.103
去年的时候由于10.0.0.103的sa为弱口令123456,被俺日下,后来通知校方处理了(确实处理了),
俺现在这外面连接不到内网,所以木有截图,谅解下,
分析下结构:
不知道俺发什么神经,刚好也开着sql,就在连接那输了个10.0.0.3(去年SA密码为123456的主机),用户名sa,密码123456,直接就登陆了,之后简单修复个sql错误拿下这台,就在上面cain嗅C段,等了几分钟,发现10.0.0.4有3389数据,其他的就没了,于是挂着不管了(在上课),下课的时候看看,NND,服务器死了,亲,8核,那么大内存,这么轻易就死了,好吧,
蛋疼的ping了下10.0.0.5,竟然能ping通了,好吧,访问http://seay.sinaapp.com:8888,正是俺们的目标OA,忘了说这服务器上几个OA都是学校某老师写的,嘿嘿,漏洞是肯定会有的,在登陆那看了下没注入,咱没账号,也登陆不了,搬出自己写的工具包,把御剑打开,开扫,NND,扫不动…wwwsan也扫不动,好吧,不扫了,看到登陆输入框旁边有个链接,好像是电话服务什么什么OA系统,名字记不全了。点过去,还是一个登陆界面,不过俺输了个’or’='or’点登陆好吧,报错了,亲,’引号后面不完整,各种尝试啊,就在要放弃的时候,一个’or]=’登陆成功了,但是毛都木有,啥也点不了,啥都木有,像俺们学校的都喜欢用sa用户,估计这些OA也是sa权限,研究了下这个登陆注入,发现只有用户名和密码都用’or]=’ 这个才能登陆,说明密码是明文保存的哦,好吧,一般登陆有注入的SQL语句都是这么写的[select * from seay where name =’ ‘ and pwd = ‘ ‘ ],大概结构就这样,好吧,构造下 我们要的sql语句,这样select * from seay where name=]or]=] and pwd=]or]=];exec sp_password NULL,’1′,’sa’ 可以看到俺们只要在用户名那填’or]=’ 密码那填’or]=];exec sp_password NULL,’1′,’sa’ 点登陆,只要是sa权限就可以将sa密码修改为1,事实上俺没猜错,的确是sa权限,之后还是老经典,sa连接上sql直接在服务器上加了个系统账户,成功拿下服务器,整个过程两节课下课,好吧,又是sa的错,之前说过, www.2cto.com 俺们这学校出去的都喜欢用sa(除了俺)。
还有两台10.0.0.4和10.0.0.2就没看了,估计也不难吧,学校一共三个技术维护老师,两个是修电脑的…就是说还有一个搞网络咯,四台服务器,拿下两台,还有一个能嗅到3389数据,拿下的直接抓administrator明文密码,另外两台估计用这密码也能登陆吧。
对内部网络的评价:sa无敌,你喜欢用,俺更喜欢你用,最好密码全用123456。
学校老大级的人物写的 系统 ,还有登陆注入,亲,你伤的起么?去年就叫你们装个ARP防火墙,还不装…好吧。另外还有外网学校官网(也是老师写的)一个弱智的upload,没验证上传类型(后来俺给他把那页面直接删了)木用的页面。
说道底,俺们学校老师都不错(好多20多岁的漂亮妹纸老师哇),对人也好,从老家跑过了4000多里路,一个人来这边一年了,学到的东西很多,你愿意问他们也愿意教你,反正来这儿吧,无怨无悔…就是学费有点贵,一个学期一万六啊,一个星期只有5个半天(两天半)的课,算下一节课6、7毛一分钟,亲啊,俺交不起学费啊…亲校长,免俺学费好么,呜呜
查看更多关于以学校OA考勤系统服务器为目标的一次渗透检测的详细内容...