Board logo

标题: [原创文章] 对某华侨大学的一次渗透。 [打印本页]
作者: BKK    时间: 2009-4-16 14:46     标题: 对某华侨大学的一次渗透。

先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。8 ]1 U0 Z0 S, l! k
% C* W' Y4 \5 @; I
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
, F" y& K8 k. L2 C) y
0 l/ L) N0 m/ e6 Y% y% {哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。7 I( K/ A/ {& U7 W' e( u' `
& v* `% v$ E' e2 p) I5 r( \7 @/ d- k
群里丢出一个地址,进去看了下,asp的站。1 h% W+ i; j. p9 z
5 f1 v! [& t9 [; Y/ O' o. p& X
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。  很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX  inurl:asp?  发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页   还有很多,都试了,都做了防注入。。' s: R* Y: G! E0 m  m0 D3 E5 U; y6 @
8 K& n2 @' w7 w4 ?1 |: ~
& \! m9 w. n1 o/ }, x. ?
[attach]1224[/attach]
3 _8 k- p: |% \8 A4 E/ \& p& ]( I' ?
; R  ]& p" W; m) I
/ c6 D( S# {6 [: w3 C% n开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。+ l: q: B; y5 |$ v* T' u: k! i

8 l  V* u2 P1 |* g: B& Y5 k! i[attach]1225[/attach]& [3 V' D( R0 X3 ^1 l! n
/ S7 D0 K6 P1 ~4 Y; D+ o' ]
看到没?/ewebeditor/UploadFile/20094294623829.doc   嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然  ewebeditor/Admin_Login.asp 进入了登入后台
% Q1 V  q1 }" B/ o7 I$ E" K6 i+ \0 v! x; ]% \% I% A
4 F) ~1 _( M5 u
[attach]1226[/attach]  w1 _  f( T+ K4 ^; p: X
输入admin   admin  提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor  我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
0 Q" m% O' z9 z3 Q+ ^) ~/ Z) v  ~
5 ^8 Z; Y# T' X* p  _7 {. ][attach]1227[/attach]
4 |5 u/ k. N6 ~. V2 Q% m( a5 j- \- t4 t, s
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
' N) d4 I* P& f, p/ c6 h. l* H2 q8 N' _0 G$ ?2 q
[attach]1228[/attach]# B  R: a! l: }* c& {- h
4 c1 ~$ b1 Z' J) ]& I  E$ T
但是,能浏览所有盘。
, i! k9 T" q8 O7 _" GC:磁盘信息 / w4 e; E  n& w7 A- S/ [: O9 D# a

5 D3 G4 Q# w; j8 F9 C, V磁盘分区类型:NTFS6 E8 e! U  R( v- U; t( R. a, I4 R
磁盘序列号:-1265887598! p6 M$ }1 W( `( K3 p
磁盘共享名:
2 b* @% @/ M) `/ q! L) l2 h磁盘总容量:107314 o$ j( L6 t) n$ k4 V9 [/ o
磁盘卷名:2 j1 O# g3 B0 n* ~4 i. G
磁盘根目录:C:\ 可读,不可写。
4 [: H& B9 O8 B$ ^文件夹:C:\Config.Msi 可读,可写。6 Q/ }4 A5 N! P
文件夹:C:\Documents and Settings 可读,可写。# O/ |' T0 D' O6 [& z& j7 K4 o
文件夹:C:\Program Files 可读,可写。
' E5 b1 B5 m3 |9 t* x文件夹:C:\RECYCLER 可读,可写。
, o7 q6 r3 W" L( P2 w7 w文件夹:C:\System Volume Information 可读,可写。
$ V+ X1 h4 ?1 [文件夹:C:\WINDOWS 可读,可写。0 M- c0 W  c6 w
文件夹:C:\wmpub 可读,可写。# s9 K' D/ w* {! e% p2 b. H' M
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
" B% x& }: c, B' a7 u% V& d) }6 c
4 N. e' U" k: V1 q) ~: n# k/ o**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。
% N- D1 ~; J4 \4 d3 g/ x: r
* n* w9 [* O1 p  E/ V( N# Z哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。1 W  P) Z# k8 T% B' m4 _9 E

% y/ C& Y& ]9 J2 F( _" t[attach]1229[/attach]( x1 X* J- Y$ m. F4 g

) h; S7 E. r2 ?6 N& U, m3 B+ c. A$ k& S$ C1 e
: J* A! o: j, ?# g3 m+ Q- V1 e
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。" ~: E7 K8 I, l+ N* a& |
: k, |$ N% H: K* c+ a
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
+ R. N, Z: H( o  j0 R' ?( E1 ~! S7 U: c7 Z
最蠢的方式,爆力破解密码。
: A* P" m& P9 X$ _' Y0 c: \8 `& ?* i" Z. X; c7 k5 ^# i* C
找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。2 O: Q/ C% Z8 [% N2 k

" v7 h0 y1 S  f可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
: t; R& K4 r! P, |5 C
/ c4 c6 Z" @1 a' n7 s, ?: x$ u最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
. I: z# l4 b- }6 W" g
9 V  p9 s6 t2 t哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
( e! i+ y+ ]5 p. O/ \( T3 p3 c/ {' M( D2 Y$ X
找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
8 G, h$ ^) S5 `' n1 \9 X, Q* X' K' M* F3 H5 X% s1 \
% v2 [7 I8 n7 G* I: s/ Z  ^: k
[attach]1230[/attach]
; _" F) L' B0 Q) F& Y9 r7 M% @# ?, }: f. n6 T
[attach]1231[/attach]
0 a# I+ `  r) E, R1 Z% ^
7 A- {4 H5 g# m# M' H+ r. d0 U# m) w/ }% k! z" b+ y" G
+ M( t! M+ D+ ^' Q- p9 K% [
3 X' J2 v8 C' k- X  d
赶紧的,FTP提权。先进下FTP,试下效果。
& }* E' Y% P, O( O, A  Q# @, m( J$ Y& O
ftp> quote site exec net user hackbkk 123456 /add. ^7 ?* z5 g9 a! I
421 No-transfer-time exceeded. Closing control connection.
, c) W. B& y2 C/ Z  FConnection closed by remote host.: c1 Q" O) R6 u. d
ftp>
5 c8 }) C% h. {$ p  G; I& i9 m$ c3 r0 ^+ c: _
对喔。。咱们没东西,把 cmd.exe    net.exe    ftp.exe  全都上传到C:\wmpub\下.6 u. ]1 v: R! h0 t$ N4 z7 w" ~

: @" \9 t# J8 h, S! i7 ]可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!) C- \+ g0 f! k2 E" d4 c7 Y0 r, O

' T- A. k, A9 X9 a5 f于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
8 b/ V& ~$ W2 i) `1 t9 _7 B
/ q' f& @( z4 F$ t: a8 |" }, V. U; r) d1 n- Z4 P$ J2 c
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!* W: Q+ a" i" g2 O# {# \
这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!' e& h/ i* H$ ?3 }* J
估计是组件被关闭了! 6 w) C: F) x) E! k
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
' Q+ p9 w) d# s4 C: `. @' a; t$ ^# g# R

/ Q; n5 I9 X$ j6 K5 O/ l2 f0 q" @2 ^9 [6 x3 B
2 |# `+ O, g8 |% u& Y7 P- x" h
于是开始找开启语句,对mssql的玩的少,不是太熟悉!
: l3 o( ~" o- n7 p# a8 ~后来二少给我了语句,便去继续日之!
+ a, Y- O8 }4 u5 nEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;   
" _! Q7 A( X: ]( @: b1为开启,0则为关闭!7 a1 e( U6 M0 j
然后执行
3 @$ N1 n* O5 R3 HEXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'' x+ A/ q' G) V
即可!! w6 ?& a9 J% Y5 ^4 w
回过头去看看,发现用户已经成功添加上了!+ t! \; d/ a1 W1 u

5 Q" J9 q7 }  Q5 g/ l7 \5 |
! n: _4 v- H/ G" m) W0 O我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码  123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
" b, \  N, y/ c* c- [  I
+ E! [6 t6 k* Q$ n  v8 h0 H我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。' K/ x. Q2 K) Q- H1 C' ?
7 g# T! v& E+ ?  ^0 S3 p7 V
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
% K. p- I5 t) ?1 Q; B6 z; H9 k8 i, C! {* q$ R+ ?# |. S
难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!
3 V* w2 B- D/ Z7 G7 g- S
3 B0 T  x$ y2 z( ]1 i, t可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。) s; ?( o6 z6 F) O7 n

2 d1 n% D. A2 S4 E  w$ e. l, J后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。' W0 p  P( P9 r% V
# E$ ?) T4 Z0 B# h. X/ q% o: c
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!
* ^; U( t' Y& H* ?
+ B4 L  [, v6 ]' l/ d$ Voh , shit !!  到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
8 [+ u6 @2 r% ]& r, ~
+ L! _# L* M/ T6 _2 t最后拿下服务器。$ L6 \) A% f: r3 m4 F9 L. j% p# M
: z# ?7 J' c7 b5 R: s4 X; G3 }' O
[attach]1232[/attach]2 Q, f# Q: X7 Z+ C7 O
. B+ X8 X1 O5 Y2 y: P
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。8 l7 W% {! Z+ J) p, Q1 q8 K5 H: G

3 _# T2 v: ?0 A7 R" e+ k呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~
作者: ShawnHBK    时间: 2009-4-22 22:39

我  到是有个办法, 你挂个黑页,黑页上写明:BKK为了你们本站做了友情检测,请尽快修复漏洞,另外追踪我IP没用,因此这个IP我是用代理的!
作者: plantseth    时间: 2009-6-5 11:12

太厉害了 可是我没看懂
作者: saitojie    时间: 2009-6-10 17:10

本帖最后由 saitojie 于 2009-6-10 17:12 编辑
2 G9 {+ H. V% }' X
4 v; z( G: i/ I5 d: t# a, p- N
, v1 M+ F4 l5 T4 u8 K: q于是开始找开启语句,对mssql的玩的少,不是太熟悉!
8 F: M0 \0 q& W' \7 E1 n: X后来二少给我了语句,便去继续日之8 I3 Y% X1 e: r$ R' _
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
% V5 B: j2 B$ f* D/ J' G: n4 k1为开启,0则为关闭!7 ]. o, m3 W1 {7 J6 ^6 y6 [" ?- A: K
然后执行0 }% O- {7 y  M. R
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'" Z' z; o' T" p( B- _- q3 y
即可
4 K  n0 x; Z; ?/ b  ]' B回过头去看看,发现用户已经成功添加上了!( r4 }/ i0 I2 d

0 [8 B$ ^5 K4 `7 [9 X6 E" U我就不明白BKK了,这个地方,你都已经加上用户了,为什么不直接加入到管理组里面,连接服务器的3389呢,为什么还要去下他的SAM,还用LC5去爆力破解呢!~~~~不明白!~~~; M+ V. |& b. m. Z  c6 o1 g3 S- R) `
EXEC [master].[dbo].[xp_cmdshell] 'net localgroup administrators username /add',难道是因为他的3389做了登陆用户的限制?
作者: jk101000    时间: 2009-8-11 14:06

顶!!!!!!
作者: jk101000    时间: 2009-8-15 10:21

看看啦!!!!!
作者: wudi110    时间: 2011-1-29 18:35

后悔上学时没好好学习天天向上了
作者: 在意z    时间: 2012-5-16 00:02

谢谢楼主分享技术



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2