|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。& W9 q4 Z6 i/ W( J# j5 x# b
/ t+ O* \( R3 z; ?: k很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
! g) E# Q: t W# u6 q5 p0 u* f' |+ U* b- S
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。8 j8 y' x' z' `
) w: W* e8 F1 v' `5 u5 m群里丢出一个地址,进去看了下,asp的站。
* d g' V* y; j9 C. p1 c& ?3 ^
7 Z+ M( }' I( W很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
# z+ V7 J: Q. l6 O' b
1 T+ t0 g1 t5 j* R; t' N& X5 l5 `' E' n/ X$ ?
1 ]. K* X: }1 J0 R
; a) p6 [ @ T8 S1 d4 x
3 c& X9 M# X: w4 V开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。
f M) c1 d) [; F7 E' ~$ D+ l& J' u! V6 L
8 u" B3 u! p3 {$ ~7 Z% U x
) E# v6 Y, V# S; o! I- a o
看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台: a" |: F/ y! F- J/ [
b: ~. ^! }' u+ }; w8 F7 M, c* C6 [
$ @, Y: t; H4 `9 ^9 ?% q输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
0 B9 R( h3 |9 ~) \) T8 C& N* J( A+ b1 k0 V9 e1 |1 M
# M' N: n4 d. x# T i, G- N% |. G- Y( k# g
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
0 s7 U' y; G2 |2 e* @- B
5 l9 ^, M2 H+ q5 v$ n% A( Z8 m$ X5 D3 w# {. b$ S$ T
& _% a- r. d/ p) z但是,能浏览所有盘。- ]/ a8 U; z' s& F/ O1 Y
C:磁盘信息 $ R4 e5 g, E: i& ^' H0 _7 I
) {5 L; ]* a a- R( N V磁盘分区类型:NTFS
* H, s3 V( o" n0 @1 H磁盘序列号:-1265887598 Q$ `: e( ^2 I+ |
磁盘共享名:
9 S _# `. \5 c磁盘总容量:107310 C% w) Z8 Q$ d
磁盘卷名:
! N6 L# d6 U& B/ F2 J磁盘根目录:C:\ 可读,不可写。/ |+ J+ }; O* E. @5 T! B
文件夹:C:\Config.Msi 可读,可写。
7 j% j/ W1 ]& H1 f( x6 \9 M文件夹:C:\Documents and Settings 可读,可写。
0 g4 m+ c8 L7 x0 w8 k) m文件夹:C:\Program Files 可读,可写。! F: N; A j+ w
文件夹:C:\RECYCLER 可读,可写。: ]' c2 U* I2 F' A, b
文件夹:C:\System Volume Information 可读,可写。
' O( K& h$ L* {. T% d2 j+ ^文件夹:C:\WINDOWS 可读,可写。2 d; ^! l" g8 k, M( h; p7 [
文件夹:C:\wmpub 可读,可写。( }( m2 c3 F" c5 _4 y' F* d4 u, Y
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!6 g: @0 T$ Q4 k4 l) h
8 m: h" H- t. @. Y" {2 m
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。& A U( D- c' u' Z# t4 I* s
: y8 k4 G9 ?" i5 N& t* U
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
- q5 \ A3 u6 P% V# G! |
8 K* J4 s& ?0 j6 O: |8 W# V4 M% W( E% J# W3 Q" s
/ g$ Q" r2 _4 A: |2 G! |; V$ d0 q$ c, R4 ]2 j. e
. |3 m' J |) E- ^4 w7 s& ]1 N8 v没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
1 w" G5 T! \9 O/ T* @4 Q: m/ T- `9 d' x* Q
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?, r% {9 X: J( a% m5 E) c. `
6 F% k" s& ?8 {- u最蠢的方式,爆力破解密码。! f* M2 ?4 C& G/ k8 x8 t
- ]( n, }+ {- B4 j
找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。
+ b7 e7 U* l; Z) k, f5 D2 g% j, {/ g/ a; |. d
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)% P+ F2 S0 q$ D+ ^
1 f9 O7 |* ^0 m* y+ G
最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
/ k: n1 J) q; h$ d2 S! S% t* s6 }! O9 O/ X" t& l% z; Q b2 ?1 N
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
3 H ~1 K) g f, P+ N5 }: s' o+ ]+ O. X# ?6 `
找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
1 Z% ^* U: ?' F3 v8 J9 s# x' `2 ~
% ]: S* L1 m/ n& ?6 p. O8 A4 ?. j. ]5 g( |
( p- X2 W- V; E4 g, W
% X) z0 W. p: q$ \' O+ @; P2 k4 [2 ^5 ?: o9 ^8 O
2 ?$ w2 p+ k/ s( p
+ h- a; V) w3 N6 R3 c* l0 q& p0 b7 j2 j! ?
4 F6 I) c' `1 y+ L 赶紧的,FTP提权。先进下FTP,试下效果。
" w4 c0 m5 P' u. ^1 A4 t; g
8 y; `3 A5 ~+ a6 ]. i# c" Gftp> quote site exec net user hackbkk 123456 /add9 S8 ~. W% o* h! `
421 No-transfer-time exceeded. Closing control connection.
3 K4 _; E% a& H+ [ Z( ~Connection closed by remote host.0 x* R& Z# g @+ T: A
ftp>
$ m) l% Y7 @+ j: f7 c, L+ |4 F% X& i4 l2 f. o6 F
对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
+ J* G% g! F2 `8 |* y" i
) h: f# z) L$ S3 B可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!" O: A: q% u/ E R0 q
% ~, G) p% Z/ ]6 a9 S
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
% d: m( s8 s* O* p- P5 V$ n; }
8 A. t T7 B7 M) e
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
9 q: ?5 n# O0 m; p7 E/ L0 U3 a4 D这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
3 @& b/ z# M6 [- Q" y1 M& p6 Y估计是组件被关闭了!
; ]6 c0 s, v' [2 b/ s; C; K转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=382649 P Z f( v* |( c6 f; @( R
% ~7 v1 s' R. Y
9 I0 J6 g" h. I' S7 W; I9 Z3 K$ B3 C% e" a3 Q6 V2 [2 v: T
: N# | e: j( i
于是开始找开启语句,对mssql的玩的少,不是太熟悉!
/ m" U6 |8 y- d- [1 s后来二少给我了语句,便去继续日之!
" }/ N. e* C2 a" NEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; ( G, _, e% W8 a9 E- o F& o- R/ u. m
1为开启,0则为关闭!) b, q. n: f" i, `1 v+ Y9 C6 L
然后执行
+ S2 J* e1 A8 y3 W/ @: U8 F' sEXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
, d) g6 v3 T9 o% M3 f9 l8 Y) k即可!; B" T$ R3 j& X
回过头去看看,发现用户已经成功添加上了!3 Z+ s4 f, g' v3 I3 a3 D6 N
( V8 p F. w @' }
) W7 f) N7 Q) M" {( W c/ |我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
8 Y& J. g ]; r6 D" i5 O. l9 x5 X9 n- ]& }0 }: E. i
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
. p1 \+ e2 u- d
' G* g4 R. a# D% m! c8 P+ Z后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
, ^) N% f6 B: i" s2 ~# N0 B
* A8 ?2 u0 u; S2 k9 ]& C$ ~2 a! ^难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!6 C0 m( v7 w, V2 B1 _
* m6 h% }8 I; n, _; O+ S/ R可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。 X- s& X' u3 X0 e8 @) F
7 @3 H' ~9 P7 S" Y+ x6 N
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。7 X9 q) H( }& `7 B. b
8 j& v1 `5 z {) J1 G5 N9 _跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!, v! g/ g; r; i- |/ V
8 `+ T. z2 K4 d0 y+ Noh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
# _7 n2 {& @! k' i- J0 O
9 X% F' H; Q; l& }最后拿下服务器。
9 K0 v( l8 w) m8 A y$ F9 w
& w9 C! ^4 E. u" Y# @6 R1 K, C! k" U1 Q6 E, a4 @1 u
1 D6 q) D. l& A3 p另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
2 y- f, ?4 t& V' ~! ]1 ~
9 g7 P; A. i5 T! n( u& m& r呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 