|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。# F! S$ J: b4 x0 D* V5 k
* X4 [; O2 p& I0 Y1 E很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
0 I! w8 S- a3 X M6 ~
* N, \/ R3 t/ D S哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。4 m: L# j. e( W0 Q( o6 F" t4 C I
0 D9 M" ~* N; T l& V
群里丢出一个地址,进去看了下,asp的站。0 r# g0 f5 e0 N3 v3 [
3 Y( D h/ }, s' `1 E
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
9 G! W4 e6 F9 U9 r3 z* X+ J& x, M$ Q! E* _& E
' d$ z: P1 i! h( k7 X/ N; G- P" f, T1 l' i4 P: b( V
% R5 O4 i; ~$ W" }0 z; u: l
7 D: @5 z4 k& r; F" ` d. C) x$ j) f8 O开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。
5 |) i2 o& `: G1 _2 E
- s& E( S2 T+ B! J0 J& p N
+ D% z4 b3 _0 C" q4 {9 O- k% H! t: O5 F* |0 @4 s3 G8 H6 Z) F( X
看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台
% E, b& N2 t, J2 V# J% P( w2 u+ B
+ U2 `6 `1 E2 \5 V5 l- H' x! C0 @1 L8 }5 ]# a
6 N B2 y4 Y5 j! B输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb ' G6 T; N q3 f: ]+ [
0 Q$ i3 \8 f+ u) `5 B! E' q1 \+ {, P, {0 U% l% {) j! n
* K2 @' A0 f1 F, V) S查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。# F5 c6 Z. [9 F1 r1 z
4 {% j/ J0 k$ F* g c
. c1 E/ O( r2 B- y: O. B
" C2 N. k- _6 W5 H但是,能浏览所有盘。* x; `- K. P' f; y4 Y
C:磁盘信息 3 l* w, L! w' _+ ^( |5 O5 x' N; A0 c9 B
2 w$ @5 H C$ R( O4 \磁盘分区类型:NTFS
4 k+ b) R' s/ a3 s* `1 T磁盘序列号:-1265887598& l5 y, a, |! {) p3 l
磁盘共享名:3 K$ ~6 F* u0 Y7 @
磁盘总容量:10731! y B* B+ N0 B+ M: N2 ?; P
磁盘卷名:7 E0 D* s: o) U0 y
磁盘根目录:C:\ 可读,不可写。
, H5 p# i) ~3 N1 A n文件夹:C:\Config.Msi 可读,可写。3 z, b( u; ^# n- t
文件夹:C:\Documents and Settings 可读,可写。
1 j$ z) u: g1 Z w: j Z& E文件夹:C:\Program Files 可读,可写。
+ Y% `( \# n) U8 ?4 i0 i% L文件夹:C:\RECYCLER 可读,可写。7 c0 r/ m8 F% F# U' D( e
文件夹:C:\System Volume Information 可读,可写。
+ a$ w: R# `1 x0 O/ l; I$ j- Q9 W M文件夹:C:\WINDOWS 可读,可写。9 {, U% _( q9 _9 ], l8 A$ o0 M
文件夹:C:\wmpub 可读,可写。: X. s& i9 ]4 G/ Z% Y9 t
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!6 F$ c/ j3 k; D! Z
. i! o0 n: W- x9 I7 n( L0 V% m0 K**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。, Y& O; W% i) m* V9 H
: S6 Z: ~( `8 Y9 E: R2 s5 F: @1 U哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。" L( T: v+ d/ F. k
2 c; N( f1 u' |7 D/ c& b7 Y& P
# }" Z" N6 {; |/ y2 S+ s g. v. S0 d0 `
* X8 W& G( ]5 H7 z5 ~! f& S3 N
- Q3 K- o: {* d- `4 z0 Z: G) O2 e
' b: `5 _, [' V, g1 n( O) j没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。( q! v: U4 Z7 l# j
7 `9 e: Z+ ]! H" ]# z" w# a! y
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
$ i+ J* v" _/ X+ o* e4 d! f4 k( ?1 y( \1 i, h5 ~ u- J0 |
最蠢的方式,爆力破解密码。
- O9 K3 _* p) @' d8 ^) V& d
. o$ L1 \% s+ e& |1 m" b5 p( Y找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。
! x- O, m/ g" ?6 r* y* H$ {5 E1 a& {
: [+ D# {* E- p, f% W可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
* e. U/ e7 {9 c
& g6 ]' R/ P7 K3 h- s5 \7 w最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
( V" }9 u j- v4 V7 p, [) H7 b1 W$ E* d+ y: L! e* h! p# q M
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
; F! Q- j8 \% a/ s g: m1 Q
/ D( q8 f( N$ O. r# w. B找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
" G$ {; e, {# M" i. B: I7 m. t! r/ o& t2 A7 D
' A; x C1 P6 I1 f) T) Y% [; G O) B- i8 B! D5 \
5 d. u# L0 s" a- i2 R. @3 m
! G3 C4 k6 ^( s: B) _
/ [ q# j/ ~8 M- Q( N! N s6 w4 l, U2 Y6 [: ?4 Y: Z6 [% M
" M+ q4 Z% R( {; { s) d: h' L0 a( @- a
7 |/ h/ w% B- m: P
赶紧的,FTP提权。先进下FTP,试下效果。
( U* Y0 `0 w2 h K
. H5 M0 ]. [- x. Jftp> quote site exec net user hackbkk 123456 /add4 y3 z" E5 `& T+ A! f J$ n8 h7 J
421 No-transfer-time exceeded. Closing control connection.' ^) m7 u' ~5 |1 t0 E6 L
Connection closed by remote host., s% V6 Y+ `2 T
ftp>
9 H5 v5 Y# q2 h3 ]
" M7 v* L4 g* s S! |( O对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.4 e, o, { {# d4 I( T/ f) z
$ k2 ^# ~+ B( b: m% Y/ g4 t/ V可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!# t+ j0 ?1 m4 C* x/ b* Q O& t
- a A/ h2 C3 ^# w. H1 l
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:# B. ? c6 o G; k5 S; z
6 b6 {, j" G: o
' w' ~" t, p' L& U6 f
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
, X- Z& o c' B这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!1 l! {; h; a3 f" Q; Q
估计是组件被关闭了!
3 p3 D: A4 ?! ~, [转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
, j$ \8 a: A8 n/ R! [
2 t# N/ p4 N+ e# a3 ] ; Z) ~- i$ C0 a c* D H& |. q
; I: Y) P$ q( X, O8 |& u* J4 D3 m8 N, D0 U# d
于是开始找开启语句,对mssql的玩的少,不是太熟悉!: T, |4 W9 n# [8 t/ E
后来二少给我了语句,便去继续日之!
$ l+ f2 M9 w0 m! @- C1 vEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 4 K% T7 ]0 J0 c9 o) m
1为开启,0则为关闭!3 a6 C4 h' _) J9 ]5 ~/ q: j
然后执行
& T' j) ?7 G, y7 }EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
2 w* T+ A: `5 Z" z3 Q即可!
6 R C+ s3 U2 }6 t/ L2 t回过头去看看,发现用户已经成功添加上了!
- t, N! s0 G6 e6 S6 |9 K. y/ I5 @& d$ _' i
$ g/ @# r/ h, q: A我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
, J I. d: O1 @
# [0 m/ W M) l7 J我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
+ C9 }* g e$ [7 f+ u# J1 t" S2 _9 T* W- m
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。/ A4 Z2 }" P1 L. t7 d
$ @! G5 C( p7 {5 {9 I难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!/ _9 a- ?4 b, ^
1 I; Z# o6 A! T/ n
可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。' Z2 W6 ]0 ~+ }$ y& [" i) z
& s6 }; _( o; h
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。 b' `, ~, c0 h
& e0 e- I2 k1 H, `跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!# v4 {- S/ a) [9 ?+ P( x
; s5 o3 i/ |! D+ zoh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。) d6 }% P7 m/ Y5 L2 c4 z% o1 e
6 r' F2 V$ P/ p/ t- t
最后拿下服务器。
6 a; J- v0 O e8 O
- F! o4 K" s& D( ~6 L; F& G2 _+ C6 ~2 x1 ~1 P, o( }# z
0 r% s0 M4 t1 ?; e
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
5 A/ \' u; A6 k+ M( U9 X+ g5 z# m& t
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 
