标题:
[原创文章]
友情检测某农业大学理学院!
[打印本页]
作者:
上帝的爱
时间:
2008-9-29 02:54
标题:
友情检测某农业大学理学院!
原创文章,转载注明!
2 M- z* `% d/ p' U/ d" [
大家好!我是上帝之爱(Godlove)
8 c% `2 z; @6 K' x
在这里,提前祝福大家国庆节快乐!这篇文章献给还不会NC拿站的朋友!
! E$ i% y6 R2 i! v a/ U
放假了!没有事情干,我也不回家了,很无聊!在和holy聊完天后,他睡觉了,我就觉得没有事情干了!于是就找站练练技术吧!
' R6 a% k$ Q7 p# Z) }2 B5 f
无意中,到了一个某农业大学的网站,看看,呵呵呵!还是211重点的!本人复习了一年由于贪玩也没有上成重点,心里很是羡慕啊!就看看它能不能拿下!一般重点大学的主站都不是太容易弄,人家也不是吃软饭的啊!就找一个下面的学院子站吧!20多个啊!那么多学院不相信找不出来一个!
4 R8 X: V6 S5 i+ g9 [
一个一个的试,啊D直接找不出来,就去谷歌:
www.xxx.edu.com
inurl:asp搜索之后,再用啊D,你想想这多站,我容易吗?一直找了将近半个多小时!呵呵,看来功夫没有白费
8 `' G/ R R6 v9 S' b4 A
,终于在一个理工学院找到了一个注射点,管理员的账号和密码都跑出来了,不过是16位加密的,去
www.cmd5.com
破解,它收录了但是要收费,汗!好在去
www.md5.org.cn
破解出
; H- c2 B/ S, n0 p d
来了,鄙视
www.cmd5.com
收费的大大的坏!进入后台,感觉到一个字:烂!这还是大学的网站吗?还版权所有?我晕,网上下载的自己就说版权!
) G& e7 b$ O$ a% `+ k
下面今天的重点,进入后台后,发现没有数据库,好在还有上传图片的功能!我们抓一下包试试,看抓包行不?选择一个jpg格式的小马上传成功!看了下抓到的包,知道通过明小子上传是不行的,为什么?动网上传,动力上传以及乔客上传的类型都不符合,即使是显示上传成功,也是打开无法显示!好在这时候我看到了:它上传成功后,是在”upload/"下,那这样就有可能通过NC来拿到shell。于是把POST和下面的一行的数据保存到一个文本里面,记住在upload/你命名的小马名字,asp加一个空格,(有时候还要去修改Content-Length:后面的数字,当然大部分基本上不用修改就可以的!如果不行了你试试这种方法!)。然后通过C32来修改和NC放到自己C盘目录下(也可以放到桌面,是一样的,不过我试了很多次,在虚拟机里面不行,总是显示找不到文件)。然后通过CMD来执行命令:nc
www.*****.com
80 <1.txt 这里80是端口,1.txt是保存的文本名称,为了简单,一般都是用1.txt来命名的!
. A. W% c0 t; ?: }: a7 x( \
好了,显示文件上传成功了,我们去打开下看看,这里注意了,一定要知道路径啊!不然有时候你找不到小马的地址!找到我们的小马了,接着上传大马,以前也说过通过小马上传大马的,这里不说了,我们得到webshell之后,肯定是想看看提权的拉,我执行了CMD命令,不能执行就上传了一个cmd.exe,刚刚扫了端口,开了3389,但是连接不上,这就说明是内网,我输入ipconfig之后发现原来装有虚拟机,算了!我知道我估计不是很简单的能拿下!就在网站上提示管理员的文件!闪人!
作者:
wmmy
时间:
2008-9-29 03:10
楼主的文章不错,但是有一点我有另一个看法
: C5 j+ ], I" i( _3 y8 g- @, d; g
虽然文章上的确是内网。但不应该一开始就根据开了3389却连不上 就直接判断是内网
0 u& t" \# ~" t3 V% T, o
开了3389却连接不上俱我所知就这么几种原因:1:服务器在内网。2:做了tcp/ip筛
! D( p: a; k# e I, l
选。3:做了ip安全策略。4:管理员设置的终端登陆权限只有指定的用户可以。5:防火墙
作者:
柔肠寸断
时间:
2008-10-3 23:25
简明一点来解释3389内网机器
6 U7 R' t, ^$ r) K. {, C6 T
; v. f- I7 m9 }8 x5 G8 P: Y
lcx。。
作者:
超超
时间:
2008-10-6 13:57
楼主 我爱你!!!! 这文章太好了!!!!:)
作者:
icecrusher
时间:
2009-3-28 08:15
不错不错噢 学习了
作者:
caimingbing
时间:
2009-12-10 17:15
我只想知道入侵个人电脑的,这个入侵网站太复杂了
作者:
cxy_hh
时间:
2009-12-14 21:47
你手气还是挺好的嘛,我搞过几所有点名气的大学一个点都没有!羡慕死了
作者:
521125
时间:
2010-5-8 22:46
想知道入侵个人电脑的
作者:
在意z
时间:
2012-5-16 00:14
谢谢楼主分享技术。。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
