|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。
4 S# m! h! h$ c# ~7 o+ {; |
5 I0 }' N9 l1 D2 a8 R很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。9 U R: {! p( Z* H
9 W9 h. ]. C7 g$ D) ]哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
* ^6 d2 C. L3 o; G$ i- G
w! B- V. A1 s% O# l5 d' _7 [% b( \1 S群里丢出一个地址,进去看了下,asp的站。
1 }' I* S0 b' K, ?
& v5 Z5 C1 V7 }& v ^5 L很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。 ?; x0 M. b [. V
: j$ P" {) m: \' Z+ k" j) O4 n
6 [. s e' f+ g- W. C, u& _1 O; k% c& d, O$ h+ N; j" q+ M3 h
( b) i+ L) Z% l* A8 I
8 N& [6 R1 u( P6 Z% J
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。4 y1 H I0 d6 F; c" [, M
5 I& B, N; i4 J. n" K6 \! s, x
6 A6 v' ]+ L: h' v8 P" C' t, z( x! n y+ X
看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台4 a1 ]5 ?, N) f- A2 m
0 W& \0 U" B% i. a# R. Z
# t0 ?2 l6 E7 y& m
8 J) p P [6 {
输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
3 O; l4 k# P# U% W- _. D4 h7 R. Y& e) A3 m! s" h
) k) h$ w! e. b6 U# W v& b3 N
/ S; y- I6 \2 s+ _查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。( o7 C# D1 S" O1 M2 q1 j8 B4 |+ D
7 b2 B# f3 W4 A0 f7 K
) [ }0 o' r& E& q$ K5 ^# B E, k4 U
但是,能浏览所有盘。" I5 N7 t; b! X6 M
C:磁盘信息
7 B: t3 W1 I1 \! a8 R f4 U: A$ N5 G4 ~. F1 H3 m! k
磁盘分区类型:NTFS
@* ]" J) o+ [& k+ P+ D! S! y" ]磁盘序列号:-1265887598
; f1 a- K" F: B# Q! T/ }6 _) c* t磁盘共享名:+ i j' `- ^# Q- B( ?! C
磁盘总容量:10731
, W3 J1 a" O3 |# U3 u. Q磁盘卷名:3 E9 p X( B( f. {( |3 m; Y* S
磁盘根目录:C:\ 可读,不可写。
9 w( H8 ?( }* @ k- p% B: {* ?6 R文件夹:C:\Config.Msi 可读,可写。
$ D( q2 M; g# f2 B) x8 Q) F文件夹:C:\Documents and Settings 可读,可写。
4 i' W- A# V! Z6 J+ B文件夹:C:\Program Files 可读,可写。
1 d5 s7 A+ I0 }6 W9 e文件夹:C:\RECYCLER 可读,可写。
" E. C) }% V/ Q4 o2 s) s( x文件夹:C:\System Volume Information 可读,可写。( h& g2 l5 M% D
文件夹:C:\WINDOWS 可读,可写。! t% r: ~% B* B/ u1 i
文件夹:C:\wmpub 可读,可写。1 Q, }5 u6 }% [: p
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
' {4 u+ N3 V u$ d. i6 V( l* |$ }
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。; \7 i' z% T" ]1 m- C
4 z4 x. a8 h3 b2 ]* M1 I哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
) W' k! ?+ Y: \' A& \1 z
( Z7 `( u* \' o' Q! E$ g8 s
3 {& ^6 s: g6 |7 [7 t2 I* w
4 g( e* I+ s' m
& e5 m0 {5 K, n; a
) r& {, u5 \; h4 `, l2 N/ h) g$ ~3 L没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
2 y- L1 f' ^# B: p, k3 ?+ g4 ^/ K
6 j4 t0 b9 W7 E5 wperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
0 f0 ]* E! V. E/ p9 ?9 V" y( n/ C" N7 `7 Y9 \5 F
最蠢的方式,爆力破解密码。1 `# ?) m$ R8 k7 P, \9 a* C) K& p
6 P1 h/ y& o/ n+ ^8 G9 v找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。
+ x$ m$ q) p! C0 Y0 e8 {0 W& Y& G$ a. l# D3 O ?
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
* {) w' I2 ? e% t( k- ?5 i" y1 {( S% m+ L$ ?
最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
* j$ X# |9 z. g( x+ Z; c# @$ a! \% g- F% p6 q+ c$ M
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?' \; `/ l& T$ N9 o: b
9 }3 R) Y: ]2 K5 N# ^找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。( \2 Z& Q, F' O
5 f5 i4 @- ?7 R: k2 I5 o
0 w% v9 i' i# e7 D* [5 @: c, U7 |2 k" a( G) l7 e X" w. T6 R1 U
0 K9 f: q- [, k8 U' ^5 g
' d! W M+ I$ J; u- U5 l0 X& v6 i" J( I) J- Y; M9 v- K2 f
' W m; G! J5 T' l! Y! G- U* R) y9 d& s
9 L: G# O8 I A9 h7 V) q 赶紧的,FTP提权。先进下FTP,试下效果。9 I* K( N' h7 H: a. o- ?
, ~$ b/ o- `8 S# E# R$ q. Hftp> quote site exec net user hackbkk 123456 /add* U! w. {- Z% P0 e' b) y
421 No-transfer-time exceeded. Closing control connection.
" z/ T& Q) w5 A+ gConnection closed by remote host.
' f, v$ h3 G" `2 h# |ftp>
# A7 D n0 `( n3 u& X' P6 q+ \; {% U Q, |+ D
对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下." u% H; E1 g' r2 j1 P+ N
# Z7 a ] T# ` f: [# W* _
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!
z: {, H; f" R2 z2 S9 @7 ~# ]5 ?
) O6 G2 e' v' ^于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
, N8 }+ T8 d7 y3 }# D( a% R7 o' I( R+ N& T8 O! s
% j0 R' A( a# ~9 Z
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
. p; g3 u6 v6 |8 j- e这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!+ T8 p8 E$ M, e, v9 \( C
估计是组件被关闭了! ' l, t& F' J* ^$ ?. x+ Q( x3 M
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
% I6 c8 q% @% W, s
' T; L8 M. B( J" _+ Z7 o" n & C8 r# L6 q- c ]8 K" Z* J% D
2 B) S/ c Z. }5 F* R- I
+ L9 v; W* X( l! S, k
于是开始找开启语句,对mssql的玩的少,不是太熟悉!' z/ Y) ]7 R7 k5 x! J
后来二少给我了语句,便去继续日之!- u! @6 c) T/ S& ^; O- {( R9 {
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; , X$ x3 O1 ]: T2 h( }
1为开启,0则为关闭!) S( v6 a E6 S$ Y& m* ?2 P; Y
然后执行3 S2 J) ~; h' r( o3 l8 W
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'8 z: h( N6 ]% z3 O3 c- |
即可!7 {. f& h& I9 M6 T9 _9 M; C0 y
回过头去看看,发现用户已经成功添加上了!
6 @% A% f' _% b1 s6 p3 {7 g' u
* U4 b8 O0 {- X* Q5 x" D
# Y' q( @2 U, _) g9 K0 }我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
# g8 ~/ C2 R! _5 X0 e# q. o
$ _$ u& g7 }" B& V ^我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。: d: q6 a1 t. A: c5 x8 }( a
" ^1 m& q8 K5 d' y后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。, B- u! ]; C! M% C
) b5 E% U- f2 }: c, _% C难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!
/ U+ d0 u* \1 }/ p: w0 t
7 `+ k I' i$ e- @可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。" l1 B2 b6 e/ ?2 u6 r
- k+ B+ g/ ?0 R( t* B
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
- |- m, C c/ x9 B7 }- q' c& [! T2 w% k' V( s
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!! t3 a$ Q7 S, j+ Y0 n
1 b, e5 c, M. E! t: C3 ^
oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。% Q- ^7 t! n* m6 i# ?6 Z
) @( z( P3 Q7 C最后拿下服务器。) t& f8 f( `( O/ G0 d$ e) u
$ U2 z# w3 D) c4 J
! J# m' Q& K& B3 g! o& ~6 z3 h$ \( [4 D( P8 \( O+ [, S" l: ^. R
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
( X& n+ N, B! h& S8 }2 C. J. Y4 ]" c
3 W8 {! R7 F, q' D* n! E( s呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 