[【通过】] 记校园网渗透DHCP

[复制链接]
Shimx 发表于 2015-8-17 21:12:51 | 显示全部楼层 |阅读模式

正式成员|主题 |帖子 |积分 75

  几个星期前,舍友说电信上网账号又没钱了,要充钱,每个月70多元,让我这农村来的孩子怎么活。于是想试试看看能不能免费上网呢。学校用的是电信翼起来宽带,每次要上网的话都要进行拨号。如下。

QQ图片20150817203319.png

先分析一下这里的环境,电脑的ip是自动获取的,每次上网前要进行拨号,而且不能开wifi共享网络,否则会封网180分钟。电信太不人道了,就像我买的电,还管我用几个灯泡么?为什么要限制我共享?
思路:既然ip是自动分配到的,就说明可能有一台dhcp服务器,也就是说哪怕我没有进行电信拨号,本机和dhcp之间是互通的,因为是内网。那如果那台dhcp服务器可以上网的话,我在dhcp服务器上搭建个VPN。那我不就是可以连那台dhcp服务器上网了么?哈哈。
思路是这样,现在开始搞吧。首先看看dhcp的ip。用ipconfig /all。发现dhcp是10.0.100.2.
接下来用nmap扫扫,看开了什么服务。

QQ图片20150817203344.png

发现开了3389,80端口。略心中一喜。先远程桌面连连看。

QQ图片20150817203357.png

是2003的服务器。实在不行的话还是可以尝试3389爆破的。试了简单的administrator 123456等之类的弱口令都不行。
接下来看看,web服务,因为开了80端口。一看是个深信服的DC数据中心。

QQ图片20150817203408.bmp

试一试弱口令,admin admin,哇靠,人品爆发,进去了。
然后进去一看,当即被泼了冷水。因为里面没有上传点。

QQ图片20150817203424.jpg

于是搜索一下漏洞。乌云里有很多。

QQ图片20150817203436.png

然后发现最有用的是这个。

QQ图片20150817203446.png

试了一下,有这个页面。感觉成功率大大提高了。

QQ图片20150817203457.png

接下来就是找物理路径,导出一句话了,物理路径要怎么找呢?

我翻遍了整个后台都没有找到。去乌云看看,可能是版本不同,那个下载任意文件这里并不存在。他们说的找物理路径方法我都试了一次,像什么加点报错,找数据库报错,因为是内网,也就不能百度谷歌报错页面了。然后还把数据库里面的内容看了个遍,也木有发现站点的物理路径。那时候就是卡在这里了。试过导出个添加用户的vbs文件到启动项里,无奈无写入权限。
苦苦思考了很久。不知如何继续了。



然后我就在想,既然管理员的登陆账号密码都是弱口令,那他的安装目录应该也不会很复杂吧,比起放弃,我还可以先猜猜。然后我就收集了乌云里那些大牛找到的一些网站的安装路径。
QQ图片20150817203509.png


我发现它的目录结构大概是这样的
C:\Program Files\Sangfor\DataCenter\dcweb\

其实我要试的话也挺简单的,比如先试导出一句话到C:\Program Files\Sangfor\ 下,如果存在这个目录是不会报错的,结果报错了,说明不存在。
然后 D:\Program Files\Sangfor\ 也报错了。
......
接着试了四五次吧。在导出到 C: \DataCenter\ 的时候成功了!再导出到C: \DataCenter\dcweb\test.php 同样成功了!!


QQ图片20150817203520.png


然后访问导出的一句话马。yes!!菜刀连接。


QQ图片20150817203530.png

QQ图片20150817203540.jpg


看看权限。

QQ图片20150817203550.jpg


哈哈,不用提权了,直接添加管理员账号密码。
现在先试试这台服务器可不可以以上网。

QQ图片20150817203602.png

可以的!!好了远程过去看看。

QQ图片20150817203611.png

然后添加VPN远程访问的功能。

QQ图片20150817203622.png

添加路由远程访问功能成功后,本地新建连接个VPN的连接。

QQ图片20150817203631.jpg

然后用新建的用户密码登陆,连接。
如图,成功连接

QQ图片20150817203644.png

试试上网吧!

QQ图片20150817203655.png

再来测测网速

QQ图片20150817203708.png

哈哈,再也不用担心被限速了。
ok!本文完。
十分期待您的回复。
早就听闻过90sec的英姿,然后加入这里却有点小插曲,非常感谢管理05的耐心和热情,最后希望90sec论坛能越来越好。

===================================
猜解路径那里,是个小亮点,而且作者比较细心,故通过。

评分

参与人数 1酒票 +5 收起 理由
管理05 + 5 欢迎加入90

查看全部评分

pandas 发表于 2015-8-17 21:18:31 | 显示全部楼层

正式成员|主题 |帖子 |积分 177

这网速……楼主爽了……
文章可以,思路比较清晰。
不过,运气真TM有时候很重要
 楼主 Shimx 发表于 2015-8-17 21:19:52 | 显示全部楼层

正式成员|主题 |帖子 |积分 75

pandas 发表于 2015-8-17 21:18
这网速……楼主爽了……
文章可以,思路比较清晰。
不过,运气真TM有时候很重要

是啊,弱口令加system,
hell0lx 发表于 2015-8-17 21:38:43 | 显示全部楼层

正式成员|主题 |帖子 |积分 19

上次搞被老师发现了 准备开学在搞一次
CK-ONE 发表于 2015-8-17 22:01:46 | 显示全部楼层

正式成员|主题 |帖子 |积分 59

思路很清晰 找路径的尝试值得赞
Jumbo 发表于 2015-8-17 22:37:27 | 显示全部楼层

正式成员|主题 |帖子 |积分 228

哈哈,赞,一级一级猜目录,终于猜对了,100M 给力
Joseph 发表于 2015-8-17 22:43:48 | 显示全部楼层

90Sec Team|主题 |帖子 |积分 1754

Jumbo 发表于 2015-8-17 22:37
哈哈,赞,一级一级猜目录,终于猜对了,100M 给力

能不能换你头像了,看的我眼花,我还以为我得白内障了
Jumbo 发表于 2015-8-17 22:52:37 | 显示全部楼层

正式成员|主题 |帖子 |积分 228

Joseph 发表于 2015-8-17 22:43
能不能换你头像了,看的我眼花,我还以为我得白内障了

刚换的牛闪闪的
Joseph 发表于 2015-8-17 22:54:40 | 显示全部楼层

90Sec Team|主题 |帖子 |积分 1754

Jumbo 发表于 2015-8-17 22:52
刚换的牛闪闪的

本来就近视眼,这下可以直接不用看了
akon 发表于 2015-8-17 23:51:14 | 显示全部楼层

正式成员|主题 |帖子 |积分 58

楼主 的运气真是各种爆棚啊 点赞!
Silver 发表于 2015-8-18 01:09:42 | 显示全部楼层

禁止访问|主题 |帖子 |积分 34

默认口令可遇不可求啊
谦月Vip4pt 发表于 2015-8-18 09:26:22 | 显示全部楼层

正式成员|主题 |帖子 |积分 186

干得漂亮
depycode 发表于 2015-8-18 10:15:12 | 显示全部楼层

正式成员|主题 |帖子 |积分 121

你这个网速爽死了,卧槽。
小二黑 发表于 2015-8-18 10:43:24 | 显示全部楼层

正式成员|主题 |帖子 |积分 50

搞DHCP配VPN然后免费用网,楼主的思路很赞啊!当初我咋就没想到还有这招捏~~~
斯杰 发表于 2015-8-18 11:17:17 | 显示全部楼层

正式成员|主题 |帖子 |积分 189

学习了,技术与运气共存
netjianke 发表于 2015-8-18 11:40:39 | 显示全部楼层

正式成员|主题 |帖子 |积分 7

dhcp这个思路爽歪歪,不过vpn还是太危险
0x0day 发表于 2015-8-18 12:35:48 | 显示全部楼层

正式成员|主题 |帖子 |积分 186

本帖最后由 0x0day 于 2015-8-18 12:39 编辑

其实mysql那里权限已经很大了,直接就可以加账号。。不用后面猜路径的,你可以试试。上去之后抓密码,用administrator搭隐形VPN,参见前段时间爆的兵马俑,然后抓密码留后门,WEB那里可以自己构造一个包含或者上传点,而且他MYSQL权限够大,直接构造一个注入也可以,删除自己建的账号或者克隆一个,清理痕迹,并进行内网的持续渗透,毕竟手里只有一台机器还是不能满足我们的!万一掉了呢?听说大学普遍有集群的,万一拿来做实验呢? 另外你的安全性必须要警惕,某个小伙伴已经被逮到好几次了,你可以尝试在虚拟机更改MAC与IP以及其他敏感信息。你懂的。安全第一。。
 楼主 Shimx 发表于 2015-8-18 13:32:10 | 显示全部楼层

正式成员|主题 |帖子 |积分 75

0x0day 发表于 2015-8-18 12:35
其实mysql那里权限已经很大了,直接就可以加账号。。不用后面猜路径的,你可以试试。上去之后抓密码,用adm ...

大牛啊,你的思路好广~只是我已经离开学校了,没机会去试了,不过内网那些服务器百分之九十我都拿下了。自己还很多要向你们学习的,非常感谢你的思路和提醒,以后会多注意清理痕迹的。。。。
Blck 发表于 2015-8-18 14:43:40 | 显示全部楼层

正式成员|主题 |帖子 |积分 180

其实在搭建VPN的时候楼主可以再详细一点。
null 发表于 2015-8-18 17:21:08 | 显示全部楼层

正式成员|主题 |帖子 |积分 8

真羡慕能免费上网的
v5est0r 发表于 2015-8-18 22:29:20 | 显示全部楼层

正式成员|主题 |帖子 |积分 145

获得root之后就可以读basedir  然后select into dumpfile。。进行udf了 这是直接提权 谁说提权一定要拿到shell呢
yang5478 发表于 2015-8-19 00:25:30 | 显示全部楼层

正式成员|主题 |帖子 |积分 20

看了楼主的文章我感觉环境应该和我大学的差不多啊,可惜当时不懂这些,要不然我也可以免费上网了,呜呜呜呜呜
Database 发表于 2015-8-19 07:57:40 | 显示全部楼层

正式成员|主题 |帖子 |积分 227

楼主的耐心和细心值得学习。
不过注意‘擦屁股’!
免费上网,不错哈~
smallmemory 发表于 2015-8-19 21:25:11 | 显示全部楼层

正式成员|主题 |帖子 |积分 13

楼主思路很清晰,赞一个
莫小年 发表于 2015-8-20 14:51:28 | 显示全部楼层

正式成员|主题 |帖子 |积分 130

Joseph 发表于 2015-8-17 22:54
本来就近视眼,这下可以直接不用看了

大表哥,你不是有免费上网的神器吗。。。。。等的我花儿都谢了
快速回复 返回顶部 返回列表