|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。
! V5 T w: N k `, n4 h6 ?& b( u7 I8 I b) O) {' E$ H! @
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。/ E1 W$ W1 U3 ^+ ]/ d" o+ }% u9 d
8 ^3 c" Z" o1 A9 O7 T4 E
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
( o$ d/ b! N+ W( y3 C. Q' o- h, y, S5 U! J! R
群里丢出一个地址,进去看了下,asp的站。
- {& R$ h, Q: f: |; ~# ]" C" `/ ~0 ~! @1 H: J0 n
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。) H2 ]$ J5 B4 e" r% s
6 l: r1 q+ d5 w, l# q4 n
L- ?8 Q [+ f
N* ]3 [* w, M
! s o' i% M& l. m8 O) K0 p$ y+ t
$ [/ I J! M, t& Y8 P( F开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。2 c5 R& W" L- q t+ [3 I+ J9 X4 q
0 c* {6 Q7 K) c: c2 V, U; D) g* a$ H& p m. s" W
* A7 T+ c7 E8 u% P! ]
看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台. [8 h# h4 `% z
3 a$ @3 G, I( S$ w# l; B# v
' A% e! `$ d% @1 S7 u
, r) |( K) d6 w. E6 \* B; V输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb # r6 g. G2 {5 D+ I& U3 J8 e* m$ E8 U
9 @6 [* A& [7 x6 f9 V/ N+ |' C/ m% X, n! E4 {
' ?5 [/ ]* y9 \+ h+ A. v
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
5 @% }" {+ [8 I& Z* i7 x, Q3 O9 }4 S U# g* N& A$ c$ j
9 g% ~1 Z' V4 ]( a; X* R% k
9 y% L! R2 Q5 k- i& i# O" @3 w$ ~
但是,能浏览所有盘。: [3 \! m1 I" P7 ]1 J2 C& S: W
C:磁盘信息
* T0 Q+ O) _% J! Z, O( K
! E5 a2 I: V" Y! I( }磁盘分区类型:NTFS
+ [8 d$ Z- f: P: E; `7 S磁盘序列号:-1265887598/ h! M1 f1 U4 ?. z4 r7 @1 r8 U& a) n6 I
磁盘共享名:
! a J2 G$ T% T5 \2 B磁盘总容量:10731
6 b! |) H6 `- f' J( r磁盘卷名:
5 j3 O: g* C6 m/ h磁盘根目录:C:\ 可读,不可写。& g# i- {4 w1 h9 K
文件夹:C:\Config.Msi 可读,可写。
% d! U8 b, D! k: `( O文件夹:C:\Documents and Settings 可读,可写。7 h) K* a1 O" c
文件夹:C:\Program Files 可读,可写。4 k& q5 _# n( `+ T7 V/ T
文件夹:C:\RECYCLER 可读,可写。
/ i* R/ s" V' Y, T. l% U. d文件夹:C:\System Volume Information 可读,可写。
& z* m; f5 h I- N( S' p; l3 k$ c. [文件夹:C:\WINDOWS 可读,可写。
5 Z2 l+ f. _( |% a文件夹:C:\wmpub 可读,可写。
3 R4 l7 [( i6 S$ {% Z9 [' O2 S注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
2 H! V. p- u4 ?4 b" H, V, Z
# E, [2 i% S' A/ m0 _**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。
" T# I; p" f, v8 P* Y7 @% C! e4 g% P K0 Z6 N6 \! s3 k
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。. ` t0 u1 l; Z- I& |3 M, E
. a9 ]; I6 D& o4 }6 M3 R, t, y8 v3 R8 I1 T9 n+ j W4 {5 e
5 ~) ~- v- M3 O F! }8 U" T& ]2 i" [2 n: }! |8 ]
5 n3 C. E V5 m% F没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
6 L8 g) T H$ U% [2 w. @/ {8 w7 R
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?' S+ \. p1 L2 \, g1 y' E
- A( R" O) |: E4 a/ W5 o最蠢的方式,爆力破解密码。
. I! @9 T; I, f$ ^. J7 Q& w" Z# d- {/ @$ h
找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。$ Q* z j* i% o
( [9 D. m# a5 N- t
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
. [, B9 q1 i% a! a/ z
6 x' J2 J' H9 w$ B6 R8 g, m最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。# u6 ^; ~' p- U- L2 J$ S: r% X2 q
# |8 H! ~" O" D2 c' _2 n; p# z e
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?- O0 l# e2 q$ J. B9 `
/ j- m, F) n0 R" e$ R1 D找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
, A1 X( |( D! q) n
% }0 b) v; z. l1 D
6 V3 ^% M& _- U0 Z
' @$ {/ `! v: m
) I( ~8 ]% B y% a
( E- }. X7 [! v0 a" z4 ~: W' g$ s0 Y2 r) Z, u6 O! D
% P3 c/ M5 ]. d0 d- P2 Z* h( t/ E
$ N0 z* `; Y" I2 `; Q* D( l3 ^5 _. b, ~: [
赶紧的,FTP提权。先进下FTP,试下效果。
7 \2 e5 k0 d/ ~+ q
5 k- P3 `! y7 D9 A4 D) W% Yftp> quote site exec net user hackbkk 123456 /add
/ c$ S: n. B: Q- I; y) Z% K2 l421 No-transfer-time exceeded. Closing control connection.
7 j8 u3 _& L/ P& }% [ ?- |" WConnection closed by remote host.
8 Q L) B2 s" i* r W" i+ ?7 Cftp>" w6 F$ l# C2 T6 y Q$ C' r
H" q/ r4 [/ [' i$ C5 C! K对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.4 p+ d# c/ M* y% k9 |- A& C8 U3 j
9 K _, G+ ` p v* K可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!
+ A8 r* H' o1 W7 a, h0 D/ X% }! O, ^2 A! A( @( v Q5 y
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着: U( O( h e( g; w5 }' u
6 k2 n8 e3 d7 I }; r3 G. S+ y. _( h1 ?: l0 O9 F
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
8 l: p' ~5 v* ?+ Z+ v1 ]这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
8 F1 t" @7 ], O6 A- o0 I* a% n0 _# b$ [估计是组件被关闭了!
1 R- E6 }6 |" c( n- v$ Z转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=382646 w& L( H' X7 q0 y" b* o
M' a8 c8 C% R! \- I: ~8 N; H
1 ?* [6 F Q5 |8 n2 q" L! | g) O& ]* o/ J1 `
, d8 f; x1 B* e$ h; O* {( m1 o于是开始找开启语句,对mssql的玩的少,不是太熟悉!* ]/ u. Z) l3 c' f6 [9 c
后来二少给我了语句,便去继续日之!( Q! `2 W. y9 f' D5 b+ }
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 0 P. [6 _0 K0 U4 D! j! _
1为开启,0则为关闭!1 l- C+ f4 A+ q
然后执行
. y( O7 ?; t: H! V6 mEXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
& O$ O- s9 U$ e5 s8 i即可!2 M. g; y) W% D1 }* B; W' t
回过头去看看,发现用户已经成功添加上了!. G! W. n u" Y. S# u4 b, t
' X9 c! ?2 F! y T3 D/ @* P. S7 V) [" B1 Y
我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。' H9 `2 q+ N! Q% ?) J4 N
6 [2 A; \0 a! D4 H
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
5 z. x6 A0 y0 ]3 R7 G9 n0 w+ i8 l5 [9 a H! T9 u( }0 u8 x; q
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
! u1 [6 w* C+ f j" M4 I; @& h% b2 Q& p
难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!
2 h! `- A' B2 {" `' \4 t
* L0 i3 v, d( {5 M# A, ?6 c0 ~6 n# x" o可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。6 t h4 p2 S- h3 |. t3 F
! Q# _, m' V" s+ }# q' a0 Q后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。! P* I1 `7 i. V3 E8 b. B
7 r0 k8 c1 G' _4 p- W
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!
9 S7 ]" Y6 D, B9 Y! r& G* L
6 d$ V1 N$ G6 A$ }. zoh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
c! u) W6 t9 t7 B, u D( U
7 ~1 O6 f/ r0 S8 _6 o* e最后拿下服务器。0 S) W' f' q* T' t
2 K% Q' g' o2 W
& V" c9 `: m. [1 u( n( ]3 K2 d: B8 M5 D0 b9 H# t2 I" I) T2 U6 G
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
# [; A1 x l. S& m, {
% p8 V* O: Q! d; A- V( r' q n5 i1 w6 E" T呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 
