[原创文章] 对某华侨大学的一次渗透。 华侨大学

BKK

先说下，这是在拿了服务器之后写的文章，也许有些步骤忘了，当时没想到自己会写这个文章出来。希望大家别介意啊，我文笔不好。呵呵。3 I+ G: f6 G7 D  Z
0 l, |8 \# q, V  T
很早就在暗组就看过吐奶头的小孩写的文章，后来才发现他竟然还是上帝之爱，看见他和静流，zake等黑界有名人士组成了一个团队，于是想加入，可惜需要3篇有深度的文章。经历了很久，一直百度随便搜索找目标，可是这样找的目标拿不下来就不耐烦了，拿下来了觉得太简单，所以一直叫人给指定一些目标，让我有针对性。
) Q" f" U6 F1 c6 R" x+ M) {% f
& }! {& ~2 {7 K0 Y哎。找了很多目标，不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话，说不定还能算上一篇呢，却偏偏给个那么大的权限，大爷的。实在受不了，写篇文章当锻炼文笔了。
$ D( i/ [; K% w  a4 D+ ~
0 M: v3 M% o0 Q4 s  S群里丢出一个地址，进去看了下，asp的站。+ C9 [! ~, g5 J
  A" `+ ~; Y/ w4 K" _! g8 ^" r/ k" {
很熟悉的，点开个连接，id=?的。结果显示，非法的参数ID 。  很显然，做了防注入，有点不甘心，看下他的格式有多少。开始找的是news_id ，到google去site: XX  inurl:asp?  发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页   还有很多，都试了，都做了防注入。。
$ i% v' N" }$ V& i- v
9 \0 k  ]2 m4 F: a& k0 g4 r/ X: ?. a' v( K3 y6 P2 Q1 A( m

& d0 |9 S7 |5 H' w+ D6 G2 H
' V$ m% N# V+ R! C* O1 p+ z
- X  ]7 l% y& O9 V) P, R开始找后台，希望是弱口令，结果，管理员根本不是吃菜的，别说弱口令了，后台都没有。在整个站扫了一下，看下图片地址，很普通。转来转去，转到一个地方，下载doc的。) \5 o% K2 b6 ~# b1 @. F

8 U6 T. |  z& y6 N* G9 G# l' B+ I8 f  u" X" z5 k" G
/ I  P/ \5 U/ W" a, p2 c7 V1 @" m$ c$ V
看到没？/ewebeditor/UploadFile/20094294623829.doc   嘿嘿，有ewebeditor ，我尝试在IP后面直接加ewebeditor，显示错误，最可能的原因：可能需要您登入，我就知道，这个路径很可能就是在web根目录下，继续看默认登入的。果然  ewebeditor/Admin_Login.asp 进入了登入后台8 x# J' W+ l. d' v+ H. C; o2 v
$ q1 `( k9 a& R  u7 A

. |0 s6 Q1 V+ J: v' p6 R
% }0 L0 W- E6 i: w: ]& Y输入admin   admin  提示，密码错误。没办法，回到原站，想看看这个站是什么整站程序，到网上down一套源码来研究研究。。结果，这个程序没找着，应该是自己写的或者不出名的。后来我一拍脑袋，小傻瓜哄哄的，down源码第一步是干嘛？下载数据库啊。 这个站的程序不知道是什么，但是 ewebeditor  我还是认识啊，开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb $ f  K% D1 [: W5 i, ?
  _. a/ f  q3 C

* u# G& h$ N7 @9 ?2 h% x) _! R; ?8 h7 V
查密码，登eweb后台，改类型，传shell，一气呵成。运气不错！（这里技术含量太低，直接略过）进了webshell ，由于看上帝之爱的文章看多了，也想传2个shell ，传个asp，传个php ，结果他的IIS不解析php，没办法，进了webshell，一看。/ o  |& c, X* \5 a; ]

% F* @' }, }  A" o  ^  r" K! ~1 i( \2 I, x8 |* Z+ V; p
* M" O: }+ j5 L" H
但是，能浏览所有盘。" b9 h& U( ^$ c8 {7 m( b; x
C:磁盘信息
1 P+ r: y* `; n9 i0 i% ]. k* |* y4 Y* T4 Y8 A
磁盘分区类型：NTFS4 W# \: v5 q5 S) u" h
磁盘序列号：-1265887598/ G- w; l- A' K  M) O0 t4 j
磁盘共享名：. j# p% h6 w. r6 m3 ~; Y. s) ?
磁盘总容量：10731
* M, k' i6 W" y$ ?磁盘卷名：+ Q" b9 d7 |) [- I
磁盘根目录:C:\ 可读,不可写。
9 T! b1 K  N9 s. G文件夹：C:\Config.Msi 可读,可写。
+ O9 X9 Z/ L" h文件夹：C:\Documents and Settings 可读,可写。
2 z( w6 Y. q1 W* \7 V文件夹：C:\Program Files 可读,可写。
& ^* j) u' ?, R0 j/ F0 }文件夹：C:\RECYCLER 可读,可写。- v$ @0 l+ q( X& U. X3 d
文件夹：C:\System Volume Information 可读,可写。
( C6 Q# {5 }( x) y* k/ m文件夹：C:\WINDOWS 可读,可写。  ~3 Y+ F4 M; h
文件夹：C:\wmpub 可读,可写。
- W2 a8 h# d) x5 F6 L% A. d! }3 K- }注意：不要多次刷新本页面，否则在只写文件夹会留下大量垃圾文件!
1 {! f+ y2 a  ]+ L, l2 ]- Z% ^
& B' p$ e) H+ d. E**。。。权限那么大？？ 晕了。。C盘都可读可写啊。或许因为我太菜，这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧，权限大是好事。, m3 r; W# l0 `' f

9 x6 J2 ^7 h. x* X( U  @哎。。看到conn.asp 查到数据库密码，还是MSSQL的数据库呢。。哈哈，连接成功，但是执行命令却。。- o. P( l* ?  l, h3 e2 u9 K6 t
+ T* y( E/ z1 o5 K2 ?3 Y8 |6 ]

/ W  c* w( G: v( s, S6 ?3 g: c
1 y* l# m3 ^! n+ H, \  X
) o* @% v( Y6 n. N6 {2 @
$ f& e, }4 ?( Z: o; O2 V# m4 r没办法，继续找，我的SU啊，你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。" f' z' p% f5 f
8 j1 y1 j& h' ^. [, T3 T
perl 没有。其他的也都试了，一个字，艰巨！ 怎么办呢？
+ O6 D+ M1 B+ M& o# E. n  x0 w) t% \- I$ V6 W) a2 W9 i1 C0 }
最蠢的方式，爆力破解密码。
* B0 Z; F8 E0 I  V  q# w" o0 A
/ c$ k3 O9 a$ v8 M' s" i8 f( {找到了备份的SAM文件，一看最后更新时间，老天，2007年2月。。都过了2年了，不改密码是白痴啊。暴力破解都不用了。试图放弃。
  J, v% e; J. ^1 F. b1 D4 ?) D: R& A+ D5 e* S% l: Y3 |
可是后来还是不想放弃，以为自己没找仔细，开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ，呵呵，我也想啊，可是有用吗？）
2 f! A$ b4 I7 g4 w# b4 M6 d' G+ Q3 h& `+ m9 h
最后，还是没找到，却找到一个非常奇怪的文件夹。在windows中，竟然有两个config文件，仔细一看，原来一个是conf1g 一个是 config ，为什么管理员会搞那么奇怪的东西呢？怀着好奇的心理我进去看了看。
: c2 P1 R: ]- f3 N* U1 A
" J* U  f+ V) O% a8 z- z: }0 S哇。。CAIN ，这是what ？？ hacker ？？ 管理员自己怎么可能会用cain ？更值得我注意的是，里面还有个ji的文件夹。这个文件夹中，存在 ms08067.exe ，我XX他个OO的。这是what ？抓鸡工具？难道有黑客光临过/？
7 A$ [) j7 `4 f' S, ]+ C3 p( p5 Z) |# A/ G+ `0 X! I
找到抓鸡配制的，晕，竟然木马和抓鸡，FTP，用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码，我登了下FTP，竟然有效。
7 T5 F- x! u  M6 {
* j4 P( M2 e# A3 F
, B  a/ U' ]0 q) Q5 E# I3 d/ E
. u: s! h9 |4 d  {9 o" J0 S5 T9 E0 x* j' l& X

) c' f; c+ _3 |2 _0 R- t9 R" _7 a4 P0 @' o. h
7 q' g, o$ J, ^- W: G7 s
/ r4 c; d( e& w$ Z" Q$ h. ?

/ m1 Q) D7 P, |( l* ~) ^8 s. H 赶紧的，FTP提权。先进下FTP，试下效果。" D1 L8 l+ d6 |' F. X: L

3 `8 l- j0 E, K3 v0 s6 Iftp> quote site exec net user hackbkk 123456 /add
0 B4 {) G; V0 F5 c" z* a, l8 z421 No-transfer-time exceeded. Closing control connection.
* ]3 S9 i! Q1 R1 \2 fConnection closed by remote host." i1 P4 R9 A) g; `$ O
ftp>
. E6 s2 T( W* }8 u: t+ {8 T5 Z, Q
5 s/ Z/ P( M! k- B对喔。。咱们没东西，把 cmd.exe    net.exe    ftp.exe  全都上传到C:\wmpub\下.
% U# T& ~1 e# C! u8 B; ?- T$ r
& m0 T: O# Y9 c) h可是，还是显示非法，妈的，我知道了，FTP权限太小了。那怎么办呢。。有个黑客已经进过了，难度好象很大啊！
% t) h' ~% ~' M$ v+ C" G' X0 s" X
$ ~. {) L7 q& }) S于是，我再次关注了吐奶头的小孩（上帝之爱）发在暗组的对某商城的一次渗透，发现他文章中写着：: V0 I# T+ C% j- S7 G( Z& c: I
# |) x; Y# e3 t

: ~+ j$ q/ T; }8 R又只能放弃了！又扔上去几个aspx的马，发现无法打开，但是并米有被杀，貌似是环境问题吧？只有bin写的那个可以，但是执行命令极卡，半天都米有回显！' m# G1 T3 p& K+ o, b9 `" Q
这个时候只能从1433下手了，找找mssql的sa，用aspx的马开始翻目录，找了半天终于找到了sa！于是换另一个个连接数据库的马，开始连接，发现不行额！显示什么被阻之类的！( v7 l. j/ t( e: e% S# M# B* D2 ~) t
估计是组件被关闭了！ ) n8 a) u  V* O' S( W: s5 ?$ T
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264: w6 t6 Q# I  N1 D( E5 T* Q

, A/ A" y* S' G% X
  w/ L. k9 H% n) x, D* @4 a0 |$ L  r; ?1 _. ~

) L. L6 e# x# u6 _- \3 c* s7 [于是开始找开启语句，对mssql的玩的少，不是太熟悉！
* Q; v! U, M( A. R7 E. R后来二少给我了语句，便去继续日之！/ c7 L0 j8 z4 q3 H( I3 l
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;   : X5 s7 s5 ]1 D* v9 p# {" E
1为开启，0则为关闭！: w, Y9 N' T* \1 V( }& m
然后执行# I+ Z$ s( {8 m) a$ @  m) g
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
, t- _! w8 Z) u# X8 z% N即可！
$ @0 L# X' y6 w: z回过头去看看，发现用户已经成功添加上了！
% _% A3 o0 a1 Y. k  S0 V  Z2 R) w' i
' N! e% Y8 U# q' Q
我晕。。找SA ，对啊，我那找的数据库的用户都什么啊，cai 密码  123 我呸，那能有几个权限，找SA，上ASPX马。。关键是，怎么找啊。
  B/ d" l& P; h) V* `- @; M& `7 }8 w' O: W2 p. x
我一直百度，发现都是什么进入企业管理啊，用windows认证用户改密码啊，纯属无用，我要能进服务器我提权干虾米。。8 X% {5 ?3 W  {
; P% ]# U: N+ E/ G; M! O% r
后来在数据库的表中，找到admin表，帐号admin，密码，MD5的32位加密的，解不出来，我又昏倒了。
2 ^7 Y* x. I5 D$ G# ~
1 ?( l* f# F! s: F/ n难道，真的要用VBS加启动项吗？？这个webshell对stym32有完全控制权限喔！# b1 Q% v1 X* {: Z) m' t
3 f8 ?- m# M6 @# s
可是，我要怎么让服务器重起呢？？DDOS攻击？？我可不玩那种没技术含量的东西。再说我也没肉鸡啊，服务器倒是入侵了一堆。怎么办？？日C段，ARP ？算了吧。。那么麻烦。  Z$ j# C, ~- H
$ l1 A: D, T3 W- Y
后来，还是用了最蠢的办法，把那个07年的备份SAM下载过来，用LC5跑密码，大爷的，和学生黑客联盟的冰魂在聊天，这么大个权限，竟然提不了权， 他说，可以测试下，说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站，没空帮我看这个shell ，超级鄙视。$ e: _; [9 f3 v5 d
! E: Y$ \% P/ i" Z  K) X
跑啊跑，下了无数字典。。后来跑出来了，怀着中彩票的心情，进去，fuck !! 连不进，难道是内网？？不应该啊！！我知道了，这管理员改了端口，找啊找，知道他把3389改到52110了。连接他，进去了，输入密码，错误！0 W" `3 u: i8 y; V9 }3 q. k
7 z# P( n, i* v
oh , shit !!  到最后实在没办法了。。可能是我太菜还找不到更好的方法吧，提权也算是我的弱项了。后来直接上的VBS 去启动项，等了1天多，竟然上线了，直接连接终端net帐号密码。& D* V5 o$ d+ r
  W( g! @- p/ m9 a4 U
最后拿下服务器。
4 a. L4 j* ~1 Q  O' w
! @& }; \8 l5 `% J9 u- `' Z  ?" ?* m2 b+ ?$ y8 M1 y( C

/ [) O, B5 k, o另外也高兴下，3月份我就想入侵广东海洋大学了，可是该死的蜜罐系统搞得我头疼死了，经过近1个月的踩点和大范围入侵，今天刚好拿下广东海洋大学内部的一台服务器，可以ARP主站了。还发现个0DAY，但是经朋友们劝说，0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
2 J3 |5 w& l) s
* [0 u' i2 e1 Y, n  s. }呵呵，入侵广东海洋大学的我做成了视频教程，等我研究出了怎么补那个漏洞我再把教程发出来好啦~