|
 
- 帖子
- 253
- 积分
- 742
- 威望
- 1111
- 金钱
- 841
- 在线时间
- 30 小时
|
本帖最后由 hyrz 于 2011-8-6 01:14 编辑
' e `- c, r- p7 d* S
5 Z s, h k8 c+ _$ S4 j* {转载请注明作者,上次发的原创被人给改了。汗~断肠不认人了,现在那篇文章好多都被收录了。4 E" {5 u6 h% t& T. @# h8 J4 W1 d
=================================================================== ^! A3 Q# y$ ?" W ~
在这里说点儿题外话:, W" F5 Z1 M$ _5 l# g3 E0 h2 K
6 e& T4 t. }/ Y0 S' r8 c作者:HYrz2 q9 `0 B9 B' } S. D
出自地址: http://www.3ast.com.cn/viewthread.php?tid=14949&fromuid=12889
1 X4 `! ~) v$ V( U2 `
7 H8 P' o# I1 p$ O K+ G7 W: O0 e$ g! T
今天本来心情就很差,都是MM惹的祸~哎~在她网站留了个后门,告诉她oday后,还没过2天她就问我是不是网站漏洞补没补,我说补了,过了一会儿她又说我是怎么进来的。碍于面子,只好给她说出了后门的事。。。然后我告诉她你想删就删吧,果然还真删了~呼.废话又多了,开始吧。。。3 }. z& H4 e4 w+ |6 |6 P! c
7 u4 G0 G: ?% q, B y c( J6 D u: U0 i$ j
' T$ B. f1 h# y2 X1 A1 |) }
/ X3 T5 \" u5 ?# S$ P$ S# U5 O
7 |3 [" q) e3 k& _+ c
0 |: c, Z7 n4 p" U
) k! X6 x7 j' n0 L+ |开头:1 Y# I/ P6 {8 q7 F N f
m) t( o/ E: ^4 U* q7 g; o3 v
看着郁闷,只好找找事情解解气。哈哈~我一般都喜欢检测人家的站点,小菜啊!每次都是那么的失败。经常有人会这样说:"不懂爱玩,玩也不懂",听起这句话个人也蛮有意见的,嘎嘎~好了废话太多了。
9 a6 G5 ]. n8 z4 ~; c
. F+ C& ?9 D3 ?# [' m1 b3 i/ d 在手工检测的时候碰到了一些注入点,但是利用不怎么大,不是猜不到表就是一大堆的ACCESS,挺麻烦的。在检测到“中国侵权网”的时候,本来我是忽略的,以为这个站太死了,进了后台尝试了一些常用密码也不行。手工完后面几个站的时候,用着好奇心去再次去看看那个站点!拿这啊D轮流的扫网站存在的目录,哈哈~这次果然不出所料,直接把数据库给扫到了(这是一种巧合,在其它站点的时候就没有这么后运气了。能看的就往下看),用迅雷测试了下可以下载。用明小子打开ACCESS数据库文件,找到了登陆密码。由于密码是MD5加密的,只有去www.xmd5.com解密,密码设置的很简单,放到框里直接给输出来了~哈哈,这次离拿webshell虽然还有很长的距离,但是有希望啊!拿着密码直接找到后台登陆,因为有2个口令,试第一个口令时提示密码错误~怎么搞得啊?数据库密码都不正确。。。试第二个密码成功进入后台,嘎嘎~' w2 `4 h' n7 W \
. v$ T3 P% q5 l F4 V) v# @
+ E g& ~5 w. g; g, s3 G
6 E+ @, O/ e* A. r
4 N) J: }! W' n+ j8 \" J
5 O& L% R: P: L9 u) J$ r 6 ^ z% A' W: h+ F$ ?
' l: }7 X6 Q7 \7 [* C1 }, l% L4 ^* M
获取Webshell历程
( e, B+ x* A/ P, j6 H3 n+ z' P- ^7 E+ X- c8 }
: ^$ \- M8 L# J8 R, F9 R! D$ {. a8 F
后台相当简陋,不过有上传的地方也就有可能。这次是MDB格式的数据库,如果是asp后缀的就可以一句话了。打开“信息”,看到了熟悉的Ewebeditor编辑器,能不能直接获取webshell呢?打开本页源码,找到ewebeditor路径,再加入后台地址,提示无法找到此页。唔~~怎么办。。。再在地址栏eweb路径后面加上/db/ewebeditor.asp,提示无法找到,再次输入ewebeditor.mdb,可爱的下载出现了,但是也没太大用处,用明小子看了下样式表有没有人添加过asp上传类型,但都是保持默认的,没办法了吗?继续,看了下eweb后台密码,md5加密无法解出,碰到了强大的密码了,此社工思路放弃。
5 w$ M% r0 Y* n+ y& r
) g8 U- d1 i$ P( v% p# G 当在后台转来转去的时候我再次把目标放在上传上,不过据我了解这种上传好像不存在漏洞。。。只要有一丝希望,绝对不放弃!( {5 p' c7 K( V" Z u; h. _ u0 j
$ K4 m% S! }( _% Q 6 v8 e: p8 U) D) o# w$ p, o! ~/ h/ {
* z' ]% W; S2 C* t1 O4 A. A( J' @/ M
1 A/ ~/ G$ O) a. O r7 e
- ~% Q6 D- o( C F+ _ ?7 k) Q
* E, k$ X- ]5 [, X% M4 M2 q% q; Y/ x1 H1 t7 a5 X
4 H8 N0 X0 u' b6 X3 r; ~. L+ T
我打开抓包工具WSockExpert抓到相应的Cookies,用明小子上传~(因为我是事后才写这篇文章的,具体抓包我还是没有截图,我已经补了~只好用文字来详细说下),添相应的Cookies上传提示上传成功,但还是gif格式的,难道又耍我一次?今天已经被耍了诶,个人的习惯----只要一些事情认为可能失败了,总会还在这个问题上徘徊。。。当我把上传漏洞调为“动感购物商城”上传漏洞,再按上传奇迹发生了~哈哈,具体的漏洞原理大家可以去看看,毕竟本人的学习asp不久,我也不敢说什么。只要大家能灵活运用思路就行了。上传成功得到站点webshell,开始还不相信呢~因为太突然了,大脑没反应过来~看来我还真得研究研究这个洞洞的原理。。。人品爆出~哈哈
* I7 J7 t* m% {3 O, k W1 P, u' H0 E- M& s6 x) d. G
1 q/ ?7 r4 z- v6 |7 R0 z' `# V" }# d/ D# }2 L3 `$ }7 C+ I
提权之路:
4 i% k3 u# ?% a3 f, }* g3 H
: f' [1 ~/ z9 U5 E" x6 N 写到这里我的手都痛了,唔~我很脆弱了,我要锻炼锻炼。。。今天都摸键盘数时了。。。既然提到了webshell,那提权的野心当然有。反查了下IP显示只有一个站,看来希望再次提升!依我小小的经验,一般站点越小的服务器提权也较容易,不要模仿啊~想提权细心是不能少的。现在既然进来了就得修补漏洞了。。。数据库,防注入加强。。。样样齐备,就剩个上传漏洞,写到这里我还没想过呢~嘿嘿!不过既然数据库也改了,防注入也强了,俺也不是站长咯,我还是就补到这,说实在的动感商城的和动力的有什么地方不同都不知道。没有研究。。。继续吧,我有个习惯,只要自己想提权的服务器我都要用webshell扫描下存在的端口,有人说webshell扫描不好,但是我不这么认为,有的端口你用扫描工具是扫描不到的,往往只能扫个80之类的。
3 Y* T" T4 a! h3 V d- a
* L5 x+ H5 t, T- L' y' I+ [9 ^/ M扫描到的端口如下:( j' ~' n) \( \4 O
* L" j) e- C* u! b( R# }& d, f( E
127.0.0.1:21.........开放 //这个希望很小
; q4 c8 z ?, e; s127.0.0.1:23.........关闭
: t& R% y% X0 x4 l8 v R( d127.0.0.1:53.........关闭
) n5 s+ u* d3 r! b. a127.0.0.1:1433.........开放 //可以尝试查找mssql数据库密码,但此服务器只有一个站,用的是access。此方法暂时放下。
: o' U5 I+ ]3 ?. d& u127.0.0.1:3306.........关闭
! t1 `& D8 |+ R# F3 t127.0.0.1:3389.........开放//登陆终端,为提权敞开便利之门. ^ z, o6 \' _6 j. n/ t
127.0.0.1:4899.........关闭
9 ?3 W1 P% \2 e4 @# o e! m: y127.0.0.1:5631.........开放 //此端口注意了,提权成功99成啊
, Z. Q4 ~! o- V6 U+ W' v" U127.0.0.1:5632.........关闭' H$ x' _2 i/ W2 H# r! K- l' k! D
127.0.0.1:5800.........关闭: {3 w: P8 d$ \4 b7 t ^1 s U# F
127.0.0.1:5900.........开放 //mysql提权更不用说了,放弃。
L Q) R! z3 Q( J( _# P! W% y127.0.0.1:43958.........关闭 F' d" [' j7 \' t
' P: L$ C1 w- `: u& l; [$ s6 d" y % h' k; _! |, U! n9 V/ y( G
4 \8 J9 }" n, o& Y9 _9 D/ l4 n' R 按以上总结,最快的速度还是pcanywhere提权,那就选择它吧。打开pcanywhere目录,看到了敏感的文件。如下图:( T2 }: S# w4 d$ `. }) e$ D
! h/ r9 J( n! i* d! K, N
$ o x0 U6 X) B# O
) T+ c8 j* ]+ U' r 5 ?. o, P: l7 ^, V) }8 n6 m
; M2 D5 ~4 w3 h y2 O& t+ |) i 4 l8 M& s! \9 f% `
: f; o% I0 l% K1 N
pcanywhere提权也就是下载cif文件下来破解相应的用户及口令,这次也不例外.下载了cif文件后打开pcanywhere密码查看的工具,但是破解出来口令是空的,连账号也是空的~气死了。。。难道上天也就是给我这个薄面???NND,今天非收拾你不可。带着疑问找到了渗透大牛“许诺”,哈哈~此人乃是本话题的男一号,(你们这些人啊!!---引用了高尔基的“童年”小阿廖沙 外祖父的口头禅是不是扯得太远了??),我把我的情况给他说了下,他说可能我下载的是原始文件或备份的文件,刚开始还不在意,在网上查了下。看到了pcanywhere提权的相关,我就从hosts目录下载到了cif文件,这次的文件再次破解果然搞出密码乐。。兴奋ing...不过刚开始看到这些密码还以为是加密的,用pcanywhere登陆后才发现本来就是这么复杂,这个管理员~TMD的这么NB,咋就在网站这方面出问题,就在这时我在脑海中咒骂他。。。
+ s2 d1 P8 P1 S# f* F; t/ g& F
8 M' E2 W8 S) X1 {# i 用pcanywhere登陆到远程桌面显示要我输入密码,我汗~这不是相当于登陆3389吗。。。绕了大圈子才搞个登陆窗口让我输入密码。。。再次无语。。。这像什么话~不对!应该是这算什么事。。哎~今天太累了,靠在靠椅上,继续想想。。。
: a2 i( c* Z1 U2 M8 Z; h; W7 M* s& v+ C& d3 r6 p1 V( m$ V6 t
灵机一动,诶?怎么不试下pcanywhere登陆密码?我真傻~哈哈。用webshell查看到了两个管理员账号,和pcanywhere登陆账号差不多一样,也就是后面替换成adm,登陆后,最最可爱的界面出现了。。。现在提权也就结束了。大家能不能学到东西就看自己了,我只起到小小的指导作用。
/ _( e" {5 Y1 Y, B: O: C: v: V& \3 d4 M* x0 L9 T: f3 N$ w
) g0 V+ p3 D: W% U7 t
6 l6 ^- v9 _" d* k
) ]8 x, f2 s+ k! r5 n6 c# U1 R
: `7 Y3 m5 ~+ i3 r. [/ z2 I % f. Q0 t* [: w
[- V" F* z) N( N- N
下面是登陆3389截图
5 O/ k J- H" X# {2 B
; V8 t) n3 c2 M I3 l: v7 N9 B
% k# G2 T: G$ \' }( P! L* ?3 |) I$ U* g9 M
: z0 o7 o! [+ }' G/ \# R' C1 ~8 {% ^; f& c2 l6 {
- i. N, N8 x. o7 Z7 H转载请注明 |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
|
发表于 2010-7-6 23:17
| 
发表于 2010-7-6 23:26
| .GIF)
