一次對學校AVCON系統的滲透

• 2019 年 10 月 7 日
• 筆記

本文作者：是大方子（Ms08067實驗室核心成員）

起初就是想掃下學校內網的IIS伺服器，看看內網是否存在put漏洞的IIS伺服器。

出來一堆的結果就順手點了下……

發現目標存在任意文件下載，就把系統的shadow文件給下載了回來。

http://xxxxxxx/download.action?filename=

../../../../../../etc/shadow

想著直接解密登錄，但是後來發現root的密碼解不開。就先放著。

然後我又通過任意文件下載，下載管理員的bash_history。

想看看他之前進行了什麼操作。

http://xxxxxxx//download.action?filename=

../../../root/.bash_history

看到類似的配置文件的路徑，然後在網上找了下資料想看看配置文件叫啥。

成功下載了AVCON系統的配置文件。

http://xxxxxx//download.action?filename=

../../../opt/avcon/avcond/conf/avcond.xml

從它的配置文件中找到了資料庫的帳號和密碼，並且資料庫是支援外連的。

就這樣直接連接資料庫。

然後從這大量的數據中找有用的資訊。發現了2張帳號資訊的表。

sys_user表

sys_admin表

破解了sys_user其中一些帳號的密碼，登錄進去發現功能很有限，就是一些辦公的功能。

然後破解了sys_admin表的nbut用戶，登錄進去發現功能更多。

從表的結構可以看到nbut不是最高的管理員，admin和sysadmin才是最高的管理。想去破解這2個帳號的密碼發現如下情況：

。。。。。。。。。。。。

然後就拜託朋友幫忙破解下。

然後登錄admin，功能如下。

功能是多了，但是感覺也沒什麼用處。

這個時候就想，看看MYSQL的資料庫版本看能不能嘗試UDF。

看下資料庫的版本，感覺可以試試。

UDF 方式行不通。

—————————-然後感覺就沒什麼思路了，就去吃飯，邊吃飯邊整理————————

回來的時候又看了下shadow文件的內容，發現竟然還有另一個管理員avconroot！！！

起初看的太著急沒看清楚！

然後我再次拜託朋友破解下avconroot的密碼！

然後用Xshell去連接伺服器。

看來是改埠了，通過nmap找下SSH的埠，一個個嘗試，發現SSH埠改為7001。

然後使用avconroot帳號登錄get root。

總結：

1. 收集資訊的時候要仔細！！！

2. 要有一個有錢的好朋友