【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]搞一个站遇到难题了.请求技术指导 [打印本页]

作者: jjcd 时间: 2008-7-21 00:09 标题: [讨论]搞一个站遇到难题了.请求技术指导

[讨论]搞一个站遇到难题了.请求技术指导
议题作者：b0r3d
信息来源邪恶八进制
目标是www.XXXX.com //
一个在线交易的系统，这个系统有明显的注入点儿，ID:nike186 pass:326628280.
密码是一个QQ，通过这个密码到了几个这个公司的招聘信息，只是找不到后台，用跑出来的密码登录 FTP也没成功，在了结网上也没有找到可用的信息，不知道你见过这个系统没有，估计这个不是开源的系统。这个服务器上有600多个站，还有好多站都是用的这个系统，依然是有明显注入点儿。

www.1000trade.com
username内容:1000trade
password内容:ac69665a0f2f06ae
username内容:admin
password内容:d7dbbb00f97ba6ce
www.nike888.com
username内容:1000trade
password内容:ac69665a0f2f06ae
username内容:admin
password内容:d7dbbb00f97ba6ce
www.nikeidq.com
username内容:114
password内容:d7dbbb00f97ba6ce
username内容:admin
password内容:d7dbbb00f97ba6ce
www.nikeshoes1688.com
username内容:admin
password内容:d7dbbb00f97ba6ce
username内容:jordan-upupup
password内容:d7dbbb00f97ba6ce
很无奈，继续找其他的站，今天找到了个默认的数据库，然后拿了一个shell.（看webshell可以短信通知我）

FTP用的ms，3389，4899端口开着，通过注册表读取终端端口确实是3389，不能连接，猜想是设置了IP策略，
4899同样不能连接，想利用radmin提权，注册表也读取不了内容。
c:/php可访问
大概过程就这样，由于我的技术跟经验都有限，到现在已经没有什么斗志了。
希望大家能抽空看下，给我指几条路子，真的非常感谢了。

作者: jinyuwei 时间: 2008-7-21 00:09

有MYSQL数据库吗?win系统下面可以用mysql提权,system权限,支持PHP,你就传个PHP后门,直接system权限

作者: 风影 时间: 2008-7-21 00:09

首先感谢追寻帮我发这个帖子，有看webshell的可以短信通知我.
to楼上,mysql目录没有找到.
下面是我搜集的信息.
1，目标系统

OS Name:                Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS Version:             5.2.3790 Service Pack 2 Build 3790
2，运行的服务没办法查看,net start运行后无回显,其他命令都正常.

3,扩展映射asp,php,aspx

4,端口

  TCP 0.0.0.0:21          0.0.0.0:0             LISTENING    1624
  TCP 0.0.0.0:25          0.0.0.0:0             LISTENING    1624
  TCP 0.0.0.0:80          0.0.0.0:0             LISTENING    4
  TCP 0.0.0.0:135          0.0.0.0:0             LISTENING    792
  TCP 0.0.0.0:445          0.0.0.0:0             LISTENING    4
  TCP 0.0.0.0:1002          0.0.0.0:0             LISTENING    1836
  TCP 0.0.0.0:1041          0.0.0.0:0             LISTENING    1624
  TCP 0.0.0.0:1043          0.0.0.0:0             LISTENING    548
  TCP 0.0.0.0:1089          0.0.0.0:0             LISTENING    1624
  TCP 0.0.0.0:1093          0.0.0.0:0             LISTENING    1624
  TCP 0.0.0.0:1248          0.0.0.0:0             LISTENING    1696
  TCP 0.0.0.0:2499          0.0.0.0:0             LISTENING    920
  TCP 0.0.0.0:2967          0.0.0.0:0             LISTENING    2036
  TCP 0.0.0.0:3389          0.0.0.0:0             LISTENING    2904
  TCP 0.0.0.0:4899          0.0.0.0:0             LISTENING    1892
  TCP 0.0.0.0:8693          0.0.0.0:0             LISTENING    4
  TCP 0.0.0.0:13722       0.0.0.0:0             LISTENING    1752
  TCP 0.0.0.0:13724       0.0.0.0:0             LISTENING    1660
  TCP 0.0.0.0:13782       0.0.0.0:0             LISTENING    1660
  TCP 0.0.0.0:13783       0.0.0.0:0             LISTENING    1660
  TCP 127.0.0.1:1042       0.0.0.0:0             LISTENING    1752
  TCP 127.0.0.1:1187       0.0.0.0:0             LISTENING    3332
UDP 0.0.0.0:161          *:*                                  2008
  UDP 0.0.0.0:445          *:*                                  4
  UDP 0.0.0.0:500          *:*                                  548
  UDP 0.0.0.0:1025          *:*                                  864
  UDP 0.0.0.0:1026          *:*                                  864
  UDP 0.0.0.0:1040          *:*                                  2008
  UDP 0.0.0.0:1716          *:*                                  864
  UDP 0.0.0.0:3456          *:*                                  1624
  UDP 0.0.0.0:4500          *:*                                  548
  UDP 127.0.0.1:123       *:*                                  880
  UDP 127.0.0.1:1027       *:*                                  548
  UDP 127.0.0.1:1175       *:*                                  488
  UDP 127.0.0.1:3456       *:*                                  1624
  UDP 208.109.xxx.171:123 *:*                                  880
  UDP 208.109.xxx.171:137 *:*                                  4
  UDP 208.109.xxx.171:138 *:*                                  4
5,当前进程

Image Name                   PID Session Name       Session# Mem Usage
========================= ======== ================ =========== ============
System Idle Process             0                         0       28 K
System                         4                         0       328 K
smss.exe                      412                         0       452 K
csrss.exe                   460                         0    6,796 K
winlogon.exe                488                         0    12,580 K
services.exe                536                         0    36,492 K
lsass.exe                   548                         0    17,320 K
svchost.exe                   724                         0    3,328 K
svchost.exe                   792                         0    4,640 K
svchost.exe                   864                         0    7,112 K
svchost.exe                   880                         0    6,032 K
svchost.exe                   920                         0    50,032 K
ccSetMgr.exe                976                         0    4,132 K
ccEvtMgr.exe                1004                         0    3,984 K
SPBBCSvc.exe                1144                         0    3,792 K
spoolsv.exe                1308                         0    5,244 K
msdtc.exe                   1332                         0    4,448 K
DefWatch.exe                1480                         0    5,208 K
svchost.exe                1508                         0    2,452 K
inetinfo.exe                1624                         0    63,204 K
bpinetd.exe                1660                         0    3,892 K
pNSClient.exe                1696                         0    12,888 K
bpjava-msvc.exe             1752                         0    3,664 K
watchdog.exe                1808                         0    1,476 K
ProcessMonitorService.exe    1828                         0    3,420 K
python.exe                   1836                         0    21,140 K
svchost.exe                1880                         0    2,240 K
r_server.exe                1892                         0    4,796 K
SavRoam.exe                1916                         0    5,172 K
snmp.exe                   2008                         0    5,708 K
Rtvscan.exe                2036                         0    69,736 K
svchost.exe                2352                         0    19,804 K
svchost.exe                2904                         0    5,148 K
svchost.exe                2984                         0    4,284 K
alg.exe                      3332                         0    3,212 K
wmiprvse.exe                3440                         0    5,844 K
logon.scr                   5884                         0    1,928 K
wmiprvse.exe                15632                         0    10,728 K
cisvc.exe                   22976                         0    4,964 K
cidaemon.exe                18640                         0       488 K
cidaemon.exe                9352                         0    2,036 K
w3wp.exe                   30936                         0    43,468 K
w3wp.exe                   2948                         0    39,028 K
w3wp.exe                   23608                         0    35,104 K
cmd.exe                   32564                         0    4,372 K
w3wp.exe                   3856                         0 136,156 K
w3wp.exe                   26008                         0    98,036 K
w3wp.exe                   15408                         0    35,432 K
w3wp.exe                   23720                         0 106,640 K
w3wp.exe                   19584                         0    77,408 K
w3wp.exe                   6020                         0    41,752 K
w3wp.exe                   12252                         0    12,296 K
w3wp.exe                   6852                         0    13,756 K
w3wp.exe                   12028                         0 166,096 K
w3wp.exe                   23772                         0    51,756 K
w3wp.exe                   28468                         0    78,304 K
w3wp.exe                   11524                         0    89,280 K
w3wp.exe                   32308                         0    74,144 K
w3wp.exe                   8740                         0    9,280 K
w3wp.exe                   6920                         0    38,684 K
w3wp.exe                   12832                         0    14,672 K
w3wp.exe                   6896                         0    58,876 K
w3wp.exe                   29808                         0 230,904 K
w3wp.exe                   20932                         0    34,044 K
w3wp.exe                   28836                         0 128,808 K
w3wp.exe                   27636                         0    71,420 K
w3wp.exe                   14332                         0    32,072 K
w3wp.exe                   4700                         0    56,852 K
w3wp.exe                   12156                         0    40,004 K
w3wp.exe                   21636                         0 105,448 K
w3wp.exe                   4928                         0    26,636 K
w3wp.exe                   18000                         0    10,244 K
w3wp.exe                   6780                         0    53,516 K
w3wp.exe                   30764                         0 199,392 K
w3wp.exe                      612                         0    73,648 K
w3wp.exe                   2020                         0    50,384 K
w3wp.exe                   5148                         0 292,428 K
w3wp.exe                   6648                         0    23,736 K
w3wp.exe                   6076                         0    90,388 K
w3wp.exe                   31128                         0    10,904 K
w3wp.exe                   26780                         0    41,088 K
w3wp.exe                   25864                         0    13,488 K
w3wp.exe                   23452                         0    46,068 K
w3wp.exe                   21380                         0    55,420 K
w3wp.exe                   31996                         0    19,628 K
w3wp.exe                   1672                         0    9,132 K
w3wp.exe                   27712                         0    10,408 K
w3wp.exe                   11164                         0    48,024 K
bpbkar32.exe                292                         0    22,656 K
w3wp.exe                   10700                         0    10,376 K
vssvc.exe                   8452                         0    6,924 K
svchost.exe                5896                         0    3,872 K
cidaemon.exe                31904                         0       928 K
w3wp.exe                   2452                         0    10,932 K
w3wp.exe                   11664                         0    13,368 K
w3wp.exe                   18228                         0    8,964 K
w3wp.exe                   4880                         0    16,164 K
w3wp.exe                   5080                         0    8,912 K
w3wp.exe                   6416                         0    13,872 K
cmd.exe                   12408                         0    1,780 K
tasklist.exe                32276                         0    4,136 K
6,set结果

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APP_POOL_ID=HostingAppPool21_ASPNET2
ClusterLog=C:\WINDOWS\Cluster\cluster.log
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=P3SWH129
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Path=C:\Program Files\VERITAS\NetBackup\bin\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 11, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0f0b
ProgramFiles=C:\Program Files
PROMPT=$P$G
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=d:\temp
TMP=d:\temp
USERPROFILE=C:\Documents and Settings\Default User
windir=C:\WINDOWS
7,当前安装程序

C:\Program Files\ 无权限
这个是开始菜单下的程序列表
accessories
administrative tools
microsoft asp.net 2.0 ajax extensions
Microsoft SOAP Toolkit Version 3
startup
symantec client security
veritas netbackup
winzip
desktop.ini

作者: vincentyip 时间: 2008-7-21 00:09

r_server.exe                1892                         0    4,796 K
radmin
找到目录之后下载它目录里的全部内容应该有3个注册表文件
之后利用这个http://www.hackerchina.cn/?action=show&id=72
来进行 radmin的密码破解
Radmin 是一款很不错的服务器管理<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u8F6F_u4EF6";ads.ShowGgAds(this,"_u8F6F_u4EF6",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BWfC9cd7LRurxLJ74sALLlKDUBNjf-Su0-cKFBMCNtwHAixEQAxgDIJmu8QkoFDgBUK7xoIQCYJ2Z34HYBZgBjooBmAG8pAagAZSPzv4DqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xgAIBqQKPxBgicK6BPqgDAQ&num=3&adurl=http://www.linjin.net/cuxiao/crm/&client=ca-pub-5384462698219144");GgKwClickStat("软件","www.linjin.net/","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u8F6F_u4EF6"">软件
无论是远程桌面控制还是文件传输
速度都很快很方便
这样也形成了很多<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u670D_u52A1";ads.ShowGgAds(this,"_u670D_u52A1",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BLkJDcd7LRurxLJ74sALLlKDUBKu4jSfXpc7ZA8CNtwHAmgwQBBgEIJmu8QkoFDgBUNmEoHlgnZnfgdgFqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xqQKPxBgicK6BPsgC9_rTAqgDAQ&num=4&adurl=http://smartkeyword.allyes.com/main/adfclick%3Fdb%3Dsmartkeyword%26bid%3D1,180,1%26cid%3D1,0,0%26kv%3Dkvid%7C466579%26show%3Dignore%26url%3Dhttp://inspur.allyes.com/sv/0708 ... ub-5384462698219144");GgKwClickStat("服务","www.inspur.com","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u670D_u52A1"">服务器都装了 radmin这样的<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u7BA1_u7406_u8F6F_u4EF6";ads.ShowGgAds(this,"_u7BA1_u7406_u8F6F_u4EF6",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BWfC9cd7LRurxLJ74sALLlKDUBNjf-Su0-cKFBMCNtwHAixEQAxgDIJmu8QkoFDgBUK7xoIQCYJ2Z34HYBZgBjooBmAG8pAagAZSPzv4DqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xgAIBqQKPxBgicK6BPqgDAQ&num=3&adurl=http://www.linjin.net/cuxiao/crm/&client=ca-pub-5384462698219144");GgKwClickStat("管理软件","www.linjin.net/","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u7BA1_u7406_u8F6F_u4EF6"">管理软件
现在你说 4899默认端口没密码的服务器你上哪找?
大家都知道radmin的密码都是32位md5加密后
存放在注册表里的
具体的表键值为 HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\

那在攻陷一台web服务器时大家怎么能进一步提权?
如果你说暴力破解 radmin 密码呵呵那也行
只不过你要有足够的时间跟精力
我想很少人花上几星期几月甚至几年去破解那个密码

呵呵本人最近在朋友哪得到一资料
就是如何不需要破解 Radmin的密码就可以进入服务武器
这就叫密码欺骗具体是哪位牛人发现我也不认识呵呵
只是我用这个思路搞定了好多台服务器哈哈
想知道如何实现吗? 往下看吧
前提条件:
一个webshell    最好有读取注册表的权限
如果不能读取radmin注册表至少wscript.shell组件没删这样我们可以调用cmd
导出radmin的表值
radmin的注册表值也就是经过加密的MD5 hash值是32位哦
比如 radmin的注册表里密码是这样存放的
port 端口
Parameter REG_BINARY    1f 19 8c dd ** ** ** ** ** **有16组每组两个合起来就是32位了

工具 :
radmin 控制端
OllyDBG反汇编

首先先用OllyDBG打开 radmin控制端(客户端)
然后执行 ctrl+f  JMP EAX
然后按一下F4 再按F8
然后再右键-查找-所有常量
输入 10325476 (很好记的反过来就是76543210)
在弹出的窗口中选择第一行 F2下断
然后F9 运行
这时你就用radmin连接你要入侵的服务器
这时会弹出叫你输入密码的提示框不用管随便输入密码
等你输入完后 OD也就激活了<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u65AD_u70B9";ads.ShowGgAds(this,"_u65AD_u70B9",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BGKzicd7LRurxLJ74sALLlKDUBKOi8SnXq67hAsCNtwGA8QQQBxgHIJmu8QkoFDgBUIPwgJUDYJ2Z34HYBZgBnYcBmAHohwGYAaqkBpgByKQGqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xqQKPxBgicK6BPsgCo6WVA6gDAQ&num=7&adurl=http://www.ok100.com.cn&client=ca-pub-5384462698219144");GgKwClickStat("断点","www.ok100.com.cn","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u65AD_u70B9"">断点
这时你要先运行下Ctrl+F9 再往上几行选中红色的那块就是刚才下断的地方
再次按F2 一下取消断点然后再按 F8 这时鼠标往下走找到
ADD ES,18 这里按一下F4
这时你在左下角的 hex 那里随便找个地方点一下
然后运行Ctrl+G 在弹出的栏里输入 [esp] 注意带大括号的
然后就注意把第一行复制替换成刚才我们得到的radmin密码的hash值
后按F9 运行看看哈哈是不是搞定拉
这个方法局限性很小一般的webshell都能查看radmin的注册表
或者利用wscript.shell 导出radmin的密码就可以进行欺骗了
比起你暴力破解不知道要省多少倍......

令我觉得惊讶的就是OD除了能破解软件以外，还能有这方面用途谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男在线时间191 小时注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP

消失再消失

荣誉会员

作者: shirley 时间: 2008-7-21 00:09

呵呵这个方法是上次和fhod 一起搞冰兰时候发现的希望对楼主有帮助 ..谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男在线时间191 小时注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP 少女暴富的隐秘（图）

b0r3d

晶莹剔透§烈日灼然

作者: PLAN2000 时间: 2008-7-21 00:09

消失啊
radmin提权用过了
没有权限读取密码啊。

windows目录下也没有找到my.ini
帖子34 精华0 积分97 阅读权限40 在线时间17 小时注册时间2007-3-13 最后登录2008-7-15 查看详细资料引用报告回复 TOP 少女暴富的隐秘（图）

消失再消失

荣誉会员

作者: sam_slk 时间: 2008-7-21 00:09

其实并不是读取密码而是利用os谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男在线时间191 小时注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP 让女孩一夜变的更有女人味

坏苹果

晶莹剔透§烈日灼然

作者: 网飞鸿 时间: 2008-7-21 00:10

可以上传ASPX的马不？
默认的比ASP马权限高。。。。反其道而行之

帖子11 精华0 积分19 阅读权限40 性别男在线时间7 小时注册时间2008-3-26 最后登录2008-7-18 查看详细资料引用报告回复 TOP

jacksatan

晶莹剔透§烈日灼然

作者: XIELLP 时间: 2008-7-21 00:10

传个aspx马上去

看看能导出radmin注册表不
帖子19 精华0 积分19 阅读权限40 在线时间9 小时注册时间2008-3-29 最后登录2008-6-21 查看详细资料引用报告回复 TOP

境界三

晶莹剔透§烈日灼然

作者: 晨曦的男朋友 时间: 2008-7-21 00:10

消失我代楼主回答你因为我也有份搞这个站
楼主的意思是不能导出radmin 在注册表中的值而且你根本不能连它的4899 你这个方法怎么搞？
帖子4 精华0 积分6 阅读权限40 在线时间91 小时注册时间2007-4-4 最后登录2008-7-18 查看详细资料引用报告回复 TOP

anki

晶莹剔透§烈日灼然

作者: 车大炮 时间: 2008-7-21 00:10

我想问下,你们是用什么查看端口和进程的 ?WS组件在吗?我想应该可以读取进程和端口信息,也应该可以读取注册表吧(我是这么想的),如果真不可以那确实可以传个ASPX马看看了,不知道支不支持,又没有开MYSQL和MSSQL,但是有安装PHP,应该有装的吧,或许改了端口,看来不是那么好提的了,最后看看可以替换服务不,暂时想不出好办法.
帖子34 精华0 积分129 阅读权限40 性别男在线时间12 小时注册时间2007-1-25 最后登录2008-5-21 查看详细资料引用报告回复 TOP

大漠雪花
就是为了能有知道更多

晶莹剔透§烈日灼然

作者: jencky 时间: 2008-7-21 00:10

感觉用 asp提权应该可以吧，我个人常用的是radmin来做，不过你的这好像不可以

帖子15 精华0 积分154 阅读权限40 来自河北在线时间12 小时注册时间2007-9-24 最后登录2008-7-5 查看详细资料引用报告回复 TOP

b0r3d

晶莹剔透§烈日灼然

作者: 醉鞭名马 时间: 2008-7-21 00:10

不能连接４８９９端口不知道用lcx转发一下可以不，
至于导出注册表,由于没有合适的aspx马还没有试，
下班了，先闪，明天继续。
帖子34 精华0 积分97 阅读权限40 在线时间17 小时注册时间2007-3-13 最后登录2008-7-15 查看详细资料引用报告回复 TOP

境界三

晶莹剔透§烈日灼然

作者: 高尔夫1.8t 时间: 2008-7-21 00:10

更正一下错误楼主说不能导我测试的时候是能导的不过最重的是不能连接4899.进程和端口能用上传的cmd 执行命令查看
php支持但不能够任何执行命令 .aspx好象支持不过我上传了10几个 aspx 马都被杀了
还有的是不能查看启动的服务和安装的路径
帖子4 精华0 积分6 阅读权限40 在线时间91 小时注册时间2007-4-4 最后登录2008-7-18 查看详细资料引用报告回复 TOP

消失再消失

荣誉会员

作者: ken2 时间: 2008-7-21 00:10

我说的不是直接读取
你们应该知道在radmin的目录中安装有3个注册表的文件
仔细看下我发的文章....谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男在线时间191 小时注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP

独孤依人

荣誉会员

作者: Asker 时间: 2008-7-21 00:10

N久没出来了，为了回这个贴子，还得上下VPN。
1、SHell都有了，在SHELL嗅本机FTP密码结合下社会工程学搞到目标站权限不是难事。
2、WS组件在的话Radmin的加密密码一般情况下都是可以读出来的，至于连接不上，转出来搞或者试试代理出来搞，如果权限允许的情况在转不出来也代理不出来的情况下可以试试停IIS转端口到80，当然条件允许的情况也没有这么复杂了，另注意细节，这里不提了。
3、上不同的木马上去whoami看看自己的是哪个用户，心里也有个数
4、netstat -nab 看看开放端口都是哪些程序占用，百度谷歌EXP站点查找有没有本地溢出漏洞
5、收集密码TEST本地ipc$连接提权
6、粗略的看了下，冒失还支持CGI
7、当然提权的方法还有很多，什么替换服务，autorun,快捷方式等等，时间关系，这里就不细说

回复1楼pt007: 没有root的密码的情况MYSQL还能提权吗（本地溢出不在其内）？更何况相关信息里根本没有MYsql,进程和端口都没有看到，估计是分离了吧，当然有PHP也并不一定要有Mysql.另好像不是所有的站上传PHP马就系统权限了吧.

回复15楼消失再消失:
C:\Program Files\ 无权限
都没权限了，估计就在这里面了，还找毛三个文件。
另“其实并不是读取密码而是利用os” 你所指的OS是什么意思，不懂。
顺便THX发现这个方法的Godsun

回复14楼境界三:后门被杀就不知道做下免杀？这已经不是技术的问题了，是你对待技术的态度，当然这和我没有什么关系，就当我多管闲事吧。脚本安全小组：Www.Cnsst.Org MSN:cn557@hotmail.com 我们这帮兄弟，永远的兄弟——We are not the only ones,but we will try to be the best！——All In Script 脚本渗透自用利器开发中……
帖子298 精华12 积分3962 阅读权限100 性别男在线时间901 小时注册时间2006-4-22 最后登录2008-7-18 查看详细资料引用报告回复 TOP

pixy

荣誉会员

作者: s369 时间: 2008-7-21 00:10

为啥我拨韩国服务器都打不开这个站点呀...
我这本地上不了网,只能打电话找朋友开VPN进网站...

EE概括这么多，我想到的是查找有没有本地溢出漏洞和SHELL嗅本机FTP密码..
继续与狼共舞！

帖子395 精华10 积分4278 阅读权限100 性别男来自China 在线时间284 小时注册时间2007-1-3 最后登录2008-7-18 查看详细资料引用报告回复 TOP

消失再消失

荣誉会员

作者: biaofbi 时间: 2008-7-21 00:10

to孤独E人
我打错了是od
C:\Program Files\ 没有权限不代表其他的目录就一定锁的死
上次我也认为C:\Program Files\ 这个没权限就找不到注册表
可是在其他的目录伤心的鱼还是找到了....谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男在线时间191 小时注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP

fanjinqiao

晶莹剔透§烈日灼然

作者: dickson 时间: 2008-7-21 00:10

shell下如何嗅探FTP，哪个大侠能指教一下。网上实在找不到
帖子10 精华0 积分38 阅读权限40 在线时间91 小时注册时间2006-9-10 最后登录2008-7-20 查看详细资料引用报告回复 TOP

境界三

晶莹剔透§烈日灼然

作者: jazz 时间: 2008-7-21 00:10

to 独孤依人：首先感谢你抽空讨论.可能是我表达的不完整,让你误会了。我是从网上了10几个免杀aspx马传上去的。既然都被杀了，我很奇怪.后来简单大小写转换能传上去，执行命令既然出错。搞不懂什么意思.所以我才这样说的~不过不能从几句不完整的话来判断一个人对技术的态度的？对吧。不过谢谢你以严谨的学习态度给我的一个提醒.！！针对你的思路我提一下想法，

1 2003在shell下嗅探我没有搞过。所以不知道方法行不行，工具也没有.（能共享方法?）
2 没有权限转端口.
3 其他方法有试过也有没有试过的下面是我测试过的情况

(一)php aspx 既支持也不支持,怎么说呢命令执行都出错（简单命令）,还有马的功能有一大部分没有用,(如php传上去，在根目录既然一个文件都看不到,本来这个目录是有很多文件的。而且测试过几个php马，一样情况).cgi pl 马因为没有，所以先不讨论.
(二) whoami 出现一个用户然后通过net user命令查看既然没有这个用户,奇怪~~？
(三) 上传过一写小工具，nc lcx等的都没有执行权限.
(四)测试过ms0825和诺顿溢出，失败。查看一下补丁，打的很勤.
(五)几个盘的根目录没有查看权限。能跳的目录也很少. (如跳C:\Program Files\ 根本不行.)Workstation关闭了在webshll下不能查看启动的服务和对应的文件路径.
(六) access的数据库. 还有通过注册表搞到很多目录，但都不能上传..所以替换不了服务的.
帖子4 精华0 积分6 阅读权限40 在线时间91 小时注册时间2007-4-4 最后登录2008-7-18 查看详细资料引用报告回复 TOP

cr4kb0y

晶莹剔透§烈日灼然

作者: 豆粒 时间: 2008-7-21 00:10

没怎么看懂
帖子2 精华0 积分4 阅读权限40 性别男在线时间1 小时注册时间2007-9-19 最后登录2008-6-11 查看详细资料引用报告回复 TOP

独孤依人

荣誉会员

作者: jerryho 时间: 2008-7-21 00:10

引用:
原帖由境界三于 2008-5-22 21:48 发表

to 独孤依人：首先感谢你抽空讨论.可能是我表达的不完整,让你误会了。我是从网上了10几个免杀aspx马传上去的。既然都被杀了，我很奇怪.后来简单大小写转换能传上去，执行命令既然出错。搞不懂什么意思.所以我才这样说 ...
1、GUEST权限绝对是可以转发的，所以不存在权限问题
2、WHOAMI看到的账户是系统内置用户，用于IIS服务，net user是看不到的，如果不是SYSTEM就意味着没戏了
3、nc lcx等的都没有执行权限. 这是你没有找到有执行权限的目录，慢慢找肯定可以找到的。
4、SHELL上嗅探不是什么秘密，NC反弹，找个不用驱动的工具开嗅就可以了。

还有什么问题，一次给你回复完。脚本安全小组：Www.Cnsst.Org MSN:cn557@hotmail.com 我们这帮兄弟，永远的兄弟——We are not the only ones,but we will try to be the best！——All In Script 脚本渗透自用利器开发中……
帖子298 精华12 积分3962 阅读权限100 性别男在线时间901 小时注册时间2006-4-22 最后登录2008-7-18 查看详细资料引用报告回复 TOP

jacksatan

晶莹剔透§烈日灼然

作者: 杨羽 时间: 2008-7-21 00:10

引用:
原帖由独孤依人于 2008-5-22 23:55 发表

1、GUEST权限绝对是可以转发的，所以不存在权限问题
2、WHOAMI看到的账户是系统内置用户，用于IIS服务，net user是看不到的，如果不是SYSTEM就意味着没戏了
3、nc lcx等的都没有执行权限. 这是你没有找到有执行权限的目录， ...
TO:独孤依人

无驱动sniffer工具能否发一份 3Q

satan2008@vip.qq.com
帖子19 精华0 积分19 阅读权限40 在线时间9 小时注册时间2008-3-29 最后登录2008-6-21 查看详细资料引用报告回复 TOP

b0r3d

晶莹剔透§烈日灼然

作者: 德军1941 时间: 2008-7-21 00:10

实在搞不下了

nc,lcx运行后IE就就死，狂卡
传了个xspoof上去，还说No interfaces found! Make sure WinPcap is installed.
本地运行没问题的.
帖子34 精华0 积分97 阅读权限40 在线时间17 小时注册时间2007-3-13 最后登录2008-7-15 查看详细资料引用报告回复 TOP

唐不狐
很黃很暴力

晶莹剔透§烈日灼然

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)