[原创文章] 对某华侨大学的一次渗透。 华侨大学

BKK

先说下，这是在拿了服务器之后写的文章，也许有些步骤忘了，当时没想到自己会写这个文章出来。希望大家别介意啊，我文笔不好。呵呵。
5 }, d8 q6 H4 V" D& P: b1 ~3 k4 g
, I* W( F% o* N  A. _很早就在暗组就看过吐奶头的小孩写的文章，后来才发现他竟然还是上帝之爱，看见他和静流，zake等黑界有名人士组成了一个团队，于是想加入，可惜需要3篇有深度的文章。经历了很久，一直百度随便搜索找目标，可是这样找的目标拿不下来就不耐烦了，拿下来了觉得太简单，所以一直叫人给指定一些目标，让我有针对性。# I" y7 l5 b% D
3 ~3 \0 A2 N4 n: R# ?
哎。找了很多目标，不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话，说不定还能算上一篇呢，却偏偏给个那么大的权限，大爷的。实在受不了，写篇文章当锻炼文笔了。
4 k6 N  V+ R. }( a# r% P
- k5 p* p* h" P7 P! {群里丢出一个地址，进去看了下，asp的站。' W9 P% j" l/ o% x8 c% u1 \- F! f
" s8 ?# Z: T! H; h8 D1 q  t- ^' J
很熟悉的，点开个连接，id=?的。结果显示，非法的参数ID 。  很显然，做了防注入，有点不甘心，看下他的格式有多少。开始找的是news_id ，到google去site: XX  inurl:asp?  发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页   还有很多，都试了，都做了防注入。。
# O8 g1 ~# ?) p* L* I+ g! }" l* g& D  D& F# Q4 \- W
! {2 J) G! `5 @

3 p6 L) f2 c/ q% z  N$ @1 N
5 |- ~1 v: v' r; K
9 |  h# Q% e( w$ c% M) r1 C开始找后台，希望是弱口令，结果，管理员根本不是吃菜的，别说弱口令了，后台都没有。在整个站扫了一下，看下图片地址，很普通。转来转去，转到一个地方，下载doc的。, c" J8 K! A; H! k

$ d/ j2 F! F1 \4 |' h4 i7 t1 r4 z' V: m* a7 x. D: C

5 l* g5 }* Q2 u看到没？/ewebeditor/UploadFile/20094294623829.doc   嘿嘿，有ewebeditor ，我尝试在IP后面直接加ewebeditor，显示错误，最可能的原因：可能需要您登入，我就知道，这个路径很可能就是在web根目录下，继续看默认登入的。果然  ewebeditor/Admin_Login.asp 进入了登入后台
: j2 L1 F/ B) A' b7 B6 I: i( g/ v$ L* g5 F( I* _' O, @) Q

0 E! f3 l/ g3 H( F7 M
6 O  X. N+ w0 ~' t7 V) |( S8 f输入admin   admin  提示，密码错误。没办法，回到原站，想看看这个站是什么整站程序，到网上down一套源码来研究研究。。结果，这个程序没找着，应该是自己写的或者不出名的。后来我一拍脑袋，小傻瓜哄哄的，down源码第一步是干嘛？下载数据库啊。 这个站的程序不知道是什么，但是 ewebeditor  我还是认识啊，开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb * l8 d0 K2 g/ J: N- {

1 _6 @" L; x' j* F- P" g! _/ g' d/ z2 _9 p( n4 q  u" R7 _+ }5 u; Z

7 h6 E9 m4 q/ O7 R0 x查密码，登eweb后台，改类型，传shell，一气呵成。运气不错！（这里技术含量太低，直接略过）进了webshell ，由于看上帝之爱的文章看多了，也想传2个shell ，传个asp，传个php ，结果他的IIS不解析php，没办法，进了webshell，一看。) R) X  s; X% x# A- Z% H
+ ]& R5 A/ P4 d# F* |5 u7 ~# ~
2 t( l+ x% h6 J# o

$ E$ v2 v+ d+ |" T9 R" ~' v7 W但是，能浏览所有盘。! _: E' ?2 H' G) U; ^: ^% B
C:磁盘信息
& g4 n9 P, H" V$ }+ O* O8 M
4 T2 }8 C5 y2 A磁盘分区类型：NTFS0 Y1 Y3 t5 v' n" g  J
磁盘序列号：-1265887598
1 Y/ O1 k. |; C! N) e. n0 x' F磁盘共享名：5 q1 h0 |/ W5 Y/ P
磁盘总容量：10731
! v3 ^9 w7 L6 x5 S2 I) a磁盘卷名：6 _' z2 u6 I" m1 e# b
磁盘根目录:C:\ 可读,不可写。
5 V( s# [7 j7 m) \' k6 w3 Y文件夹：C:\Config.Msi 可读,可写。9 O) \9 O  \, l) p9 W
文件夹：C:\Documents and Settings 可读,可写。$ V9 u9 H, F/ m6 {# S$ U& c6 V
文件夹：C:\Program Files 可读,可写。) h) s+ o7 c  N: R
文件夹：C:\RECYCLER 可读,可写。# E5 }& [, q, _) H+ Q4 O5 c
文件夹：C:\System Volume Information 可读,可写。" W& g& A3 t# Q; M" }. B, m
文件夹：C:\WINDOWS 可读,可写。( j0 H2 T0 s, k0 L
文件夹：C:\wmpub 可读,可写。; s$ I: s9 g9 K3 l$ [
注意：不要多次刷新本页面，否则在只写文件夹会留下大量垃圾文件!
# O% F6 X0 L0 A; L% }' A* _0 M* F9 l  F- _8 f" D. Z
**。。。权限那么大？？ 晕了。。C盘都可读可写啊。或许因为我太菜，这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧，权限大是好事。2 i4 g3 A1 P8 v  n  C

2 T0 i) K  A3 x! R哎。。看到conn.asp 查到数据库密码，还是MSSQL的数据库呢。。哈哈，连接成功，但是执行命令却。。
1 d: {0 s. R0 [, N; {1 d
4 H  u3 K, d) _# ?& b
  b) o" Z9 V& c% n. M! @
0 \. w4 }7 |; j7 K, B/ c
$ b3 A4 @" n, ]/ c$ u) {, M! D  q% s. I8 K; T
没办法，继续找，我的SU啊，你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
! u; x- V, o* ?2 x* D
- M  n8 R( q* }% {" Wperl 没有。其他的也都试了，一个字，艰巨！ 怎么办呢？
+ y7 s& P4 n" N; l. k% P" s
, L6 f( g' C# B/ N( ]最蠢的方式，爆力破解密码。" g3 a+ U2 \% k% o! A# o
" b- F) m0 i3 I# w& z; L
找到了备份的SAM文件，一看最后更新时间，老天，2007年2月。。都过了2年了，不改密码是白痴啊。暴力破解都不用了。试图放弃。
8 }& \9 u# n4 Y1 E* e/ r% s6 N( d
可是后来还是不想放弃，以为自己没找仔细，开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ，呵呵，我也想啊，可是有用吗？）$ t0 H; u4 w5 D7 `2 m# @/ ~

, r5 i- a- Z& K; N, C* \9 k最后，还是没找到，却找到一个非常奇怪的文件夹。在windows中，竟然有两个config文件，仔细一看，原来一个是conf1g 一个是 config ，为什么管理员会搞那么奇怪的东西呢？怀着好奇的心理我进去看了看。
4 i2 I& V4 H' [  b+ F, Y
4 p% `7 \( L8 _哇。。CAIN ，这是what ？？ hacker ？？ 管理员自己怎么可能会用cain ？更值得我注意的是，里面还有个ji的文件夹。这个文件夹中，存在 ms08067.exe ，我XX他个OO的。这是what ？抓鸡工具？难道有黑客光临过/？
# G( U3 W, v# D; K% ~+ R1 _
$ M7 V: C& b2 \3 I- D: m找到抓鸡配制的，晕，竟然木马和抓鸡，FTP，用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码，我登了下FTP，竟然有效。
& V4 m, P% b% E6 Q
; H! y0 {; s0 b9 S4 ?( y9 y
4 ?. z7 W$ {: G$ W
  K5 y6 h$ k! c* m8 l, U3 r( |- P9 G- v8 ]5 S1 q
" y/ M8 R) c' V; F
8 {$ ?9 x' y2 v$ j2 _

1 I8 f  K- u3 P8 \% [9 G" w2 h# B- S8 r

& Z! U/ G' W' I* _ 赶紧的，FTP提权。先进下FTP，试下效果。
( }% J/ {/ A/ x8 U/ D: S
" |1 l4 M8 Z% X6 M  }6 ]; Yftp> quote site exec net user hackbkk 123456 /add
+ L# J9 l$ V4 t$ |" X  W& W1 P421 No-transfer-time exceeded. Closing control connection.7 o2 s1 N5 h; R. |, T: Y  ]* R- k2 l
Connection closed by remote host.
/ Q2 f# a6 C$ f/ N! i, @% Lftp>' j$ `, B; f  v' j, n
8 g. f( K* _# p: G% C, Z/ `4 A
对喔。。咱们没东西，把 cmd.exe    net.exe    ftp.exe  全都上传到C:\wmpub\下.: U2 e+ @8 Y7 `. ]: N  Y' v  J

) }/ A8 H0 U& f: U9 X$ q可是，还是显示非法，妈的，我知道了，FTP权限太小了。那怎么办呢。。有个黑客已经进过了，难度好象很大啊！/ l; n8 ]4 Z0 P7 P
# b* ?8 o5 m# [$ x
于是，我再次关注了吐奶头的小孩（上帝之爱）发在暗组的对某商城的一次渗透，发现他文章中写着：. m5 @) w# P  V' n

1 C: P8 [& P) H. i8 b$ y' h+ P$ |* c
又只能放弃了！又扔上去几个aspx的马，发现无法打开，但是并米有被杀，貌似是环境问题吧？只有bin写的那个可以，但是执行命令极卡，半天都米有回显！
' m# v2 a- Q0 ]/ c/ Y( L这个时候只能从1433下手了，找找mssql的sa，用aspx的马开始翻目录，找了半天终于找到了sa！于是换另一个个连接数据库的马，开始连接，发现不行额！显示什么被阻之类的！4 O! c# y4 _. X: ]9 v# R
估计是组件被关闭了！
" {; g; |0 Q# R, `( l5 t转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
: G) Z* q( x, o; F1 k% e( e( `# {5 a; Z
) h9 Y0 q8 T7 n* V4 ?& W3 }/ P
9 f2 x" m/ ~) \2 V5 B; |2 {( F

) O, o" ]: H2 L1 A. P) b* S于是开始找开启语句，对mssql的玩的少，不是太熟悉！% W: n' j% O$ h8 ^0 C  |
后来二少给我了语句，便去继续日之！
! S; e3 s1 l/ T$ o9 REXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;   - B" D( T$ G& }) c, m
1为开启，0则为关闭！
3 Z9 ~; E$ m4 l: l7 D然后执行
! z) |$ {+ F0 F! T, H- ^EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'/ b( k/ z5 I& ~/ `! ?
即可！4 ^/ O  U9 u% t- H- L
回过头去看看，发现用户已经成功添加上了！8 Y& q8 E4 \3 G+ p, t' R
7 ]! S2 Q- ?! J' y8 N

7 |! q3 ?& {& `& n; h) N4 {' `$ @5 S我晕。。找SA ，对啊，我那找的数据库的用户都什么啊，cai 密码  123 我呸，那能有几个权限，找SA，上ASPX马。。关键是，怎么找啊。+ e( h) |8 {$ s* U6 q" X

: V6 D, \+ m- A! z/ E: a+ O我一直百度，发现都是什么进入企业管理啊，用windows认证用户改密码啊，纯属无用，我要能进服务器我提权干虾米。。
9 ?' u% ^1 P+ }( `$ l$ L( s, o) I* \# {
后来在数据库的表中，找到admin表，帐号admin，密码，MD5的32位加密的，解不出来，我又昏倒了。! \$ j( c2 a2 ?# p0 c
2 ?. B/ P, _' a2 K3 @5 T( E) n
难道，真的要用VBS加启动项吗？？这个webshell对stym32有完全控制权限喔！
8 ?8 H+ p9 \2 |( o! v* p# Y
6 @# d* c0 ^' r% Q% s- ]可是，我要怎么让服务器重起呢？？DDOS攻击？？我可不玩那种没技术含量的东西。再说我也没肉鸡啊，服务器倒是入侵了一堆。怎么办？？日C段，ARP ？算了吧。。那么麻烦。
4 \4 r, K# }$ ?/ b  S7 T0 \0 O9 K+ x# C5 {% D5 V+ N4 R
后来，还是用了最蠢的办法，把那个07年的备份SAM下载过来，用LC5跑密码，大爷的，和学生黑客联盟的冰魂在聊天，这么大个权限，竟然提不了权， 他说，可以测试下，说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站，没空帮我看这个shell ，超级鄙视。' j" X5 r! C+ R2 {
5 q/ R/ Y; F, [& f6 Z
跑啊跑，下了无数字典。。后来跑出来了，怀着中彩票的心情，进去，fuck !! 连不进，难道是内网？？不应该啊！！我知道了，这管理员改了端口，找啊找，知道他把3389改到52110了。连接他，进去了，输入密码，错误！
; q% A6 [1 X9 t$ M$ |! s& m5 X
! C3 T! [: a7 R9 m0 Zoh , shit !!  到最后实在没办法了。。可能是我太菜还找不到更好的方法吧，提权也算是我的弱项了。后来直接上的VBS 去启动项，等了1天多，竟然上线了，直接连接终端net帐号密码。: F: ^3 L6 ^' ]3 |4 D8 K  V

/ L" }: T. ~, W8 Z3 w& _最后拿下服务器。6 ]7 m7 Y4 m* A- H
& B6 H6 d, Q  W8 M8 G6 {( c
; g% D: s& a1 i6 V
" J+ N8 _+ K' @; j
另外也高兴下，3月份我就想入侵广东海洋大学了，可是该死的蜜罐系统搞得我头疼死了，经过近1个月的踩点和大范围入侵，今天刚好拿下广东海洋大学内部的一台服务器，可以ARP主站了。还发现个0DAY，但是经朋友们劝说，0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。6 x) u3 Y2 Q# K6 Q) I+ ]: T

2 t. l- m0 ^" G: |  y呵呵，入侵广东海洋大学的我做成了视频教程，等我研究出了怎么补那个漏洞我再把教程发出来好啦~