[原创文章] 【原创】入侵"中国侵权网",直捣黄龙 黄龙, 侵权, 中国, quot, 直捣

hyrz

" y8 m' G% D) Y' E) Q1 C! [
! Q6 c, @- h# z& m5 U- W4 Q
转载请注明作者，上次发的原创被人给改了。汗~断肠不认人了，现在那篇文章好多都被收录了。! l) v' v( N0 E8 C
===================================================================
7 K5 A* V! D& J) D) Z在这里说点儿题外话:! B! @, i2 P, @# g1 Q
  o2 p8 b" g+ v3 B; U4 S3 v
作者:HYrz
( _, k/ X) e5 c( E' ~* l出自地址: http://www.3ast.com.cn/viewthread.php?tid=14949&fromuid=12889
9 g: }# B" D, \" C& T+ w- \* p
; D4 P  `6 [  p& J7 O0 p) A
* y! i7 d, O9 r( Y$ ?        今天本来心情就很差，都是MM惹的祸~哎~在她网站留了个后门，告诉她oday后，还没过2天她就问我是不是网站漏洞补没补，我说补了，过了一会儿她又说我是怎么进来的。碍于面子,只好给她说出了后门的事。。。然后我告诉她你想删就删吧，果然还真删了~呼.废话又多了,开始吧。。。
/ t# n3 u  z) E! I" K2 c- c: a; K$ Y8 s& T

! O  W, Z8 w0 V% e" B" R% i* Q5 F

( m9 L' L5 h* D' R0 l. G4 C4 F" h+ Q% b& _

  f6 l$ J1 K% i) r8 l8 ~- S' ]% m# G5 `9 q, t
开头:
7 P( o! f8 p& I4 L" @) \9 G- ]1 h: z+ J! M
       看着郁闷，只好找找事情解解气。哈哈~我一般都喜欢检测人家的站点，小菜啊！每次都是那么的失败。经常有人会这样说:"不懂爱玩，玩也不懂",听起这句话个人也蛮有意见的，嘎嘎~好了废话太多了。
) q9 S  S) h. S# [4 O; j  V/ ~$ N* W; p5 H
     在手工检测的时候碰到了一些注入点，但是利用不怎么大，不是猜不到表就是一大堆的ACCESS，挺麻烦的。在检测到“中国侵权网”的时候，本来我是忽略的，以为这个站太死了，进了后台尝试了一些常用密码也不行。手工完后面几个站的时候，用着好奇心去再次去看看那个站点！拿这啊D轮流的扫网站存在的目录，哈哈~这次果然不出所料，直接把数据库给扫到了(这是一种巧合，在其它站点的时候就没有这么后运气了。能看的就往下看)，用迅雷测试了下可以下载。用明小子打开ACCESS数据库文件，找到了登陆密码。由于密码是MD5加密的，只有去www.xmd5.com解密，密码设置的很简单，放到框里直接给输出来了~哈哈，这次离拿webshell虽然还有很长的距离，但是有希望啊！拿着密码直接找到后台登陆，因为有2个口令，试第一个口令时提示密码错误~怎么搞得啊？数据库密码都不正确。。。试第二个密码成功进入后台，嘎嘎~- V9 W, U2 v) Z
- l" p- b3 m; a0 z: c( ?

# r; {9 r9 G$ z  K9 x8 N
, r9 l$ [% u- f+ ~/ V
3 J( t1 f2 @3 S4 J" {$ ~
+ f* D" d; u1 h7 |" S0 d6 n7 X7 b
& F7 \9 v  n$ C# q) Y% c
3 c9 A1 n  u/ m( |! u: M获取Webshell历程+ {) K, ~- R- J3 e) P3 W
% E4 N  F6 R% H: D- e% J* z' F# h
; c/ o- l& }5 E# j5 ^, K! U) ^
: ^5 G' U3 D2 F, p4 ]7 u8 a
        后台相当简陋，不过有上传的地方也就有可能。这次是MDB格式的数据库，如果是asp后缀的就可以一句话了。打开“信息”，看到了熟悉的Ewebeditor编辑器，能不能直接获取webshell呢？打开本页源码，找到ewebeditor路径，再加入后台地址，提示无法找到此页。唔~~怎么办。。。再在地址栏eweb路径后面加上/db/ewebeditor.asp,提示无法找到，再次输入ewebeditor.mdb,可爱的下载出现了，但是也没太大用处，用明小子看了下样式表有没有人添加过asp上传类型，但都是保持默认的，没办法了吗？继续，看了下eweb后台密码，md5加密无法解出,碰到了强大的密码了，此社工思路放弃。5 _  H* |5 E* C* V' a0 {' [
! s  l$ p+ j  g3 s( ~( d
         当在后台转来转去的时候我再次把目标放在上传上，不过据我了解这种上传好像不存在漏洞。。。只要有一丝希望，绝对不放弃！
7 m6 M# v) X- Q5 \" j
" |& f0 O. W$ L" Q5 V' e % m- ^5 Y5 I) p& }+ {
; l6 }( F* p7 `. _1 ^
( t4 e. e* Y' {7 C1 N/ H' b

+ N2 }* r! O+ ]. G1 p3 R* a# }8 ]* m9 P- R5 \
! D, Y$ U3 h5 }/ {4 b) o8 |/ x  J
4 C4 }% r6 J3 Y$ n5 Q
" @+ s1 h+ w( ?- m, H
我打开抓包工具WSockExpert抓到相应的Cookies，用明小子上传~(因为我是事后才写这篇文章的，具体抓包我还是没有截图,我已经补了~只好用文字来详细说下),添相应的Cookies上传提示上传成功，但还是gif格式的，难道又耍我一次？今天已经被耍了诶，个人的习惯----只要一些事情认为可能失败了，总会还在这个问题上徘徊。。。当我把上传漏洞调为“动感购物商城”上传漏洞，再按上传奇迹发生了~哈哈，具体的漏洞原理大家可以去看看，毕竟本人的学习asp不久，我也不敢说什么。只要大家能灵活运用思路就行了。上传成功得到站点webshell，开始还不相信呢~因为太突然了，大脑没反应过来~看来我还真得研究研究这个洞洞的原理。。。人品爆出~哈哈1 O+ m1 ^2 Z+ G; g9 d  x- M0 S# x8 c2 c

6 X& w9 A, K2 j. S. H) F1 u' J2 [4 _& @  G) K
" Z9 A, u+ X! @
提权之路:+ j1 y4 _- A$ k9 h- K

3 p. [7 h3 ^% {        写到这里我的手都痛了，唔~我很脆弱了，我要锻炼锻炼。。。今天都摸键盘数时了。。。既然提到了webshell，那提权的野心当然有。反查了下IP显示只有一个站，看来希望再次提升！依我小小的经验，一般站点越小的服务器提权也较容易，不要模仿啊~想提权细心是不能少的。现在既然进来了就得修补漏洞了。。。数据库，防注入加强。。。样样齐备，就剩个上传漏洞，写到这里我还没想过呢~嘿嘿！不过既然数据库也改了，防注入也强了，俺也不是站长咯，我还是就补到这，说实在的动感商城的和动力的有什么地方不同都不知道。没有研究。。。继续吧，我有个习惯，只要自己想提权的服务器我都要用webshell扫描下存在的端口，有人说webshell扫描不好，但是我不这么认为，有的端口你用扫描工具是扫描不到的，往往只能扫个80之类的。7 S' u' J9 _! n4 ~3 g" m5 l
! {! J! W! y0 y; j1 d6 F
扫描到的端口如下:
2 n, O1 k( l5 J% @. [3 S5 t* Q5 J3 O9 a! I
127.0.0.1:21.........开放 //这个希望很小
( x& n9 E. b3 Y& w0 }; c7 ?1 w0 \. W127.0.0.1:23.........关闭
; W# }- x$ u) J/ k( ]+ n9 N127.0.0.1:53.........关闭3 L. N6 N2 _  J
127.0.0.1:1433.........开放 //可以尝试查找mssql数据库密码，但此服务器只有一个站，用的是access。此方法暂时放下。
. v( G. @6 t0 x0 }% Q0 r* Z$ Q127.0.0.1:3306.........关闭/ p+ W* q; T7 x* u1 m4 b
127.0.0.1:3389.........开放//登陆终端，为提权敞开便利之门3 \$ y0 _" ~& d! {8 q( J8 N% t% y
127.0.0.1:4899.........关闭
+ g! y# M1 C' P' O- w7 C127.0.0.1:5631.........开放 //此端口注意了，提权成功99成啊
1 Q, ]8 W! f! ]2 c6 z& {127.0.0.1:5632.........关闭
+ t  G" A0 P3 U127.0.0.1:5800.........关闭! v  y) I5 j5 |4 v% W( F- v& C6 O
127.0.0.1:5900.........开放 //mysql提权更不用说了,放弃。! s" q8 J& t  G8 @, ]) D$ p9 P
127.0.0.1:43958.........关闭$ N( v& D/ Y0 R1 v  e3 r& P( k
4 u% l! I/ n% F3 {: p* B6 `7 d
, G2 X$ K" J/ `9 Q3 {! V

3 k; e* c! t' ^      按以上总结，最快的速度还是pcanywhere提权，那就选择它吧。打开pcanywhere目录，看到了敏感的文件。如下图:1 D% _- ~, m0 U5 l+ S8 v4 n3 n

* I2 Q' j7 [) W$ l1 ^( q5 D) |
0 m4 Q9 ]- }& F0 Z
3 `2 Y- y/ \" i9 K7 z2 f6 x , z" [! W; T/ n
$ J7 A# R7 R3 [, L

8 l' j! c3 D) D7 P. b1 q" ]6 J+ u% `: c5 l- s, o' k& x: [2 u
       pcanywhere提权也就是下载cif文件下来破解相应的用户及口令，这次也不例外.下载了cif文件后打开pcanywhere密码查看的工具，但是破解出来口令是空的，连账号也是空的~气死了。。。难道上天也就是给我这个薄面？？？NND，今天非收拾你不可。带着疑问找到了渗透大牛“许诺”，哈哈~此人乃是本话题的男一号，(你们这些人啊！！---引用了高尔基的“童年”小阿廖沙 外祖父的口头禅是不是扯得太远了？？)，我把我的情况给他说了下，他说可能我下载的是原始文件或备份的文件，刚开始还不在意，在网上查了下。看到了pcanywhere提权的相关，我就从hosts目录下载到了cif文件，这次的文件再次破解果然搞出密码乐。。兴奋ing...不过刚开始看到这些密码还以为是加密的，用pcanywhere登陆后才发现本来就是这么复杂，这个管理员~TMD的这么NB，咋就在网站这方面出问题，就在这时我在脑海中咒骂他。。。; W  S8 Y" X$ L6 |, d# V' l. Z
' V! `( ^/ Z$ o' Y* B4 H+ ~' p
          用pcanywhere登陆到远程桌面显示要我输入密码，我汗~这不是相当于登陆3389吗。。。绕了大圈子才搞个登陆窗口让我输入密码。。。再次无语。。。这像什么话~不对！应该是这算什么事。。哎~今天太累了，靠在靠椅上，继续想想。。。
2 e8 o" R, Z4 x( x; a! P
0 P: y4 H# [- e) z          灵机一动，诶？怎么不试下pcanywhere登陆密码？我真傻~哈哈。用webshell查看到了两个管理员账号，和pcanywhere登陆账号差不多一样，也就是后面替换成adm，登陆后，最最可爱的界面出现了。。。现在提权也就结束了。大家能不能学到东西就看自己了，我只起到小小的指导作用。0 W1 Q. O. {5 z" c* m; A
; Y% T# Q, X) C- @8 h+ g1 \

+ o0 w* G0 |$ o3 f2 l
+ v0 E2 o# D1 x% m * T# }- ^9 r9 ]

% U& m( }6 Y' k1 S ( A+ d( }$ u6 y+ \, F( X

7 c$ J- e; {+ y9 M4 W下面是登陆3389截图! S0 ]0 H$ x9 g$ B6 j

9 M; A% v; R% h& o5 g
2 c/ e* w) F. p( E: I4 i
) p' ^" E0 S) H9 l5 O3 s! c- t
4 J) {% A/ r2 [- P5 O
& J# H# v* S6 t! _# O3 M- a3 i* G$ ~
转载请注明

在意z

来跟楼主学习技术了。

cxy_hh

还能扫到数据库运气真是不错嘛,呵呵.我可没这种好命.

guoyaosheng0

好帖 只差
& o& Y' Q/ d' n7 ^、、、、、、

maya66

学习了4 e. c0 c: X- N0 E! o! f% p& }- K

% l* G/ \0 {, C, w顶上去了

wjjaft

呵呵   学习了。。。。

柔肠寸断

直接扫到数据库 ————》》》9 A2 Q, B% l: N
明小子上传———————》》
: x% O0 V  e' NpcAnywhere提权————》》
8 m! n% q) ~5 R$ z/ D" l0 v社工3389密码
0 o: b2 h3 E5 x0 t, f
% S/ ]# f- t0 r一气呵成，不错不错