[原创文章] 入侵中国DJ俱乐部 中国, 俱乐部

上帝的爱

前言：这篇文章不是我的。朋友让我帮他发表的！
. S7 x2 B  N/ c2 B, Y
1 o1 V9 \$ y# Y0 b6 D" q* g入侵中国DJ俱乐部
' O, x( v5 m. Z; X
7 P+ |' a5 z: I6 G" d% K- P作者:网络小子 : v8 B0 [0 u! r: H

& m, ^% D$ K; f+ C' t- R6 e$ T" u4 z- }
/ J* ^1 P; R6 z( u7 |! \' i
! u( N" D6 Q, Q

( D0 ]' L( E! T大家好，我是网络小子。很高兴又跟大家见面了。前一个月都在山上干苦力。让我体会到了真正的生活。一晃又是一个月。已经很久没跟大家见面了。上网的时候遇见了以前帮助过我的有一位大哥。他准备开一个DJ站因为没有好的程序。让我帮他找一个。给了我一个样本。经过我仔细勘察。发现“www.yy450.cn”这个站的程序不错。网站的名字叫“中国DJ俱乐部”因此我准备拿这个程序。把网站搜集起来放在了QQ签名里面。
: ~& R* b- Y  ]; E9 ?) l* _# {; w$ F9 ~6 \" B+ Q
第二天来到网吧，我的一朋友 寂寞孤云 告诉我他认识这个站的站长。那好不用麻烦了。于是给他说我看上了这套程序，让他帮我问站长琐要一下。可是很不乐观。站长要钱。不送人只卖。说这程序是他自己改的。想法功亏一篑。看来我只能靠自己了、大概的看了一下网站 图.1 2 [4 D8 m2 w& |% A) I6 B5 g( m

) E6 T. W# ~( z) T! K2 c- Q8 F& [6 F  ]9 |# ]) V
象这样的站点根本不可能存在注射，看了一些他首页的图片连接都是很有规律。没有什么可利用的，加上后台也没找到。后来寂寞孤云告诉我，站长也是一个玩黑的。不好搞。看来站长也不简单。寂寞孤云又告诉我你可以社工试试。几率或许会比较大。一说社工首先的搜集站长的资料，如“QQ”“生日”“常用的密码”ID 等等等等。。。。。搜集了一会资料没有得到什么可利用的。 图.2
8 M/ S2 j2 W5 w" G& g! Z: K9 ^8 j; f8 _" t) v: _# K

8 C! Q6 r( F& m6 N4 g( m拿到了QQ、邮箱帐号、常用的用户名、生日、但是没拿到他常用的密码。第一时间想到的就是社工他的FTP，经过我的用户生日各种互换。还是不对。后来想到了社工他的邮箱。去126上登陆。都用便了还是不对 。用密码找回功能。输入找回帐号后提示输入生日。他的生日不就是1990-5-21吗，也就是1990521不对19900521也不对。难道这是阴历跟阳历的差距。。。要想得到他的正确生日就必须接近他。第一、站长是玩黑的。不可能这么笨。第二、我也没哪个时间。我决定还是另寻他法吧。
+ D1 o1 E, f+ l! v
8 p1 d8 d" {/ c8 t9 m他这样的站不会是独立的服务器吧！于是我选择了旁注。说到旁注。我在这里给大家推荐一个网站。（http://www.yougetsignal.com/tools/web-sites-on-web-server）这个旁注站点不错。在这里我也给大家说说旁注的一点小经验吧。有些人都知道用不同的旁注查询网站可以查询到不同的效果。但是菜鸟门知道不？用一个旁注查询查询某个服务器上的玉米用IP查询和用玉米查询可以得到不同的效果。而在把查询出来的玉米在查询也可以查询到不同的站点。我查询出来的站点如下 图.3 . Y: i  z( I, n8 h
0 Q5 [# n7 h0 w, T

6 t5 d; F4 b/ G3 y4 I) [加目标站就8个站点。而且还有两个死站。3个DJ音乐站。还有一个桥客的CMS站点。一个IDC注册站点ASPX写的。俺不懂ASPX、一个企业站。相对来说企业站比较容易点。所以我准备拿这个企业站来开刀。http://www.bmglass.com/index_1.asp 图.4 # h% G6 t, m$ c; K
, }! `/ w6 R8 t) s0 m4 H3 J) k

6 R2 f1 D1 k# x! a) A6 b( g  Y6 h看到这个注册筐我就想起了企业站的一个致命上传漏洞。“upfilea.asp”和“upfile_other.asp”这两个漏洞有点老了。经过测试upfilea漏洞不存在但是upfile_other上传点存在。嘿嘿、喜出望外。拿出本地HTML上传进行上传。至于怎么上传的我在这里也就不多说了。在我写的前几篇文章里面有名字叫“入侵黑客吧”写了如何利用。上传了以后老是提示请登陆。我明明登陆了啊!到底怎么回是？难道是RP问题？。我清理了一下Connkies,依然出现同样的问题。到底怎么回事？于是我便查看ASP代码。发现代码被改了一些而且还少了一些。难道是有人先行一步？没办法另外找突破口吧。这套程序因该说我还是比较熟悉的。测试了默认数据库，不对，手工猜界了一会还是不对。后台是默认的。就差密码了。手工测试找到了一个注射点。于是开始注射。很成功的拿到了管理员帐号密码、但是密码是MD5加密的打开www.CMD5.com解密一下。结果又在一次让我失望了。因为密码太复杂破解不出来。难道要暴破吗？我没那个时间也没那个精力。
( Z% u% a6 L3 R$ X& w$ J9 S, C5 |3 h, y% x: w0 J/ m
可是那位大哥曾经帮助过我，我不能叫他失望。当初就已经叫他失望过一次了。同样的事情不能发生2次在我身上。一晃已经是晚上11点了。人也饿了，眼睛也花了。去饭馆叫了一个拌面在网吧边吃边思考。
6 k+ f; {! v$ h. r+ ^7 ]5 ]# F0 y
曾经某位朋友告诉我这样的程序可以cookis欺骗拿到后台。于是我饱着一丝希望。开始欺骗。一切准备就绪，就是TM的欺骗不进去。老是停留在同一个页面。我无奈了。。。换了一个玉米查询网有多查询出来一个网站。。。http://www.$$$$.com/注射了一下失败。在admin这个目录扫描出来了一个上传点，但是不能上传。找到了管理后台http://www.$$$$$4.com/admin/admin_login.asp，后台写这管理的默认帐户密码admin、admin居然进去了。 图.5
& c, o, i0 ?8 u& ?) l8 w% P$ R; a1 Y1 S) W% ^( }9 l7 R

! J1 f2 n0 `, v: W7 ?. ^( K经过查看后台出了添加文章和修改文删一些企业站添加信息的地方几乎没有什么可以利用的。后台采用了ewebeditor在线编辑器，查看了一下原代码。找到EWE编辑器的途径http://www.$$$$$.com/newsadmin/ubb/ewebeditor。但是没用。这个站只是采用了EWE的功能。并没有什么后台和上传点。。。在后台添加文章的地方找到了一个上传点居然不能上传。后来找到了一个上传点但是不能上传ASA.ASP.CER.抓包也不行。估计是有人修补了 图.6 % ~# O' |& s) c' N2 E9 w" y4 U

3 \8 g! |: s  n% N7 e* G4 F* v
在网站的服务器信息统计里面得到了一些信息。 图.7 ) a, x8 a. b$ f6 A

3 o1 r4 v0 _1 v1 ^7 t4 `# g8 w
1 v. P" o; ]# U6 Y( G" q( x得到了一些网站的基本信息，如网站的WEB途径、和用什么做的FTP帐号。g:\webhostnew\jiajunev\www\admin\Admin_Index_Main.asp ) a2 ~- W3 @5 G& z* P
- n+ ~, \& R$ g+ H6 e
http://www.$$$$$.com 1 j! x0 j' L+ V' G# P4 F

5 B7 ]  m' }, h- n; t从途径里面我们可以看出来WEB途径是在g盘的webhostnew目录下。而FTP用户名是用的网站玉米。突然见我就想到了社工FTP密码，用玉米作为帐号密码一个一个试。在看过我以前文章的人就知道是什么弄的。于是我开始搜集网站玉米。搜集出来的有用的有8个。现在开始一个一个试了。 4 J( c& h+ H4 l' x

8 G, |& p/ g1 Wftp://www.$$$$.cn
* J! D3 w  g% o. i4 i) e% R* T
- S: G* W. h$ Q5 b3 U8 K8 T用户aweidy ! c' C0 m8 b; e, K6 B& \8 P% v6 V. O

0 z8 E) u6 D! R/ e: q5 \) X+ i密码aweidy →失败   T( F2 x( s! u6 l
5 G6 g5 C% A: v
在我试到最后三个玉米的时候，http://www.$$$$$.com/index_1.asp玉米成功了。直接登陆了FTP。 图.8 6 U, m% @$ I8 Z  ?; ^+ r7 @

  I0 i7 ?$ {. m+ c9 R  N+ H# G( H
9 K8 y$ |1 r7 ~. E- `& ?3 v  \9 S嘿嘿。真是踏破铁鞋无觅处，得来全不费工夫。在试到最后一个玉米的时候也成功了。。。 图.9 % D2 w3 b' y" Z$ t$ m% Q5 s* }" z8 g
! k4 f1 n$ k2 Q! ~, A" ?

$ }9 U7 ~. v$ `8 wftp://www.$$$$$.com
& |2 I0 M9 b; z. r$ q
, I) W8 F) i$ I( K2 Sjiajunev
& _- T/ u' r7 \- ~% g  i+ n3 ?; P! j1 `4 y, z1 X
jiajunev
' q8 S( N2 u$ R5 o& ~- ]7 q( _9 I+ l! Y& o+ n
4 Y7 c/ b0 U! L& c  f
7 k! |: J8 X7 ~8 x- r  ?* [
看来今天运气不错。。。。直接从FTP里面传了一儿个ASP木马。成功得到WebShell
" A+ b: q+ Q1 z* \6 X
  Q' C" ], [9 bWEB途径是g:\webhostnew\jiajunev\www ! ~! F9 {& u# Z: Y% w

5 i8 r( N5 T) T2 {& h9 x那么目标站的途径有可能就是g:\webhostnew\yy450\www
' w. R" V- k3 E$ A
% U7 |! Q/ z5 z4 v- k) D! B不对返回系统服务-用户账号里面查看了一下发现他的用户是用的heisejimo做的FTP帐号、那么对方的WEB途径就是g:\webhostnew\heisejimo\www
9 l+ C9 F8 K, M9 D
4 h' d, J- L! H+ h6 o3 m回车后发现没有权限。 图.10 " B& p" y' Q' B- z. ~
% M% ?( B8 W: U6 {: z
  V9 D3 C; M  v5 f
WebShell在默认的情况下是USERS权限、而ASP的权限也比较小。所以我准备换一个ASP.net木马但是WEB做了脚本支持设置。并不支持ASPX PHP 和 JSP也不支持 图.11 8 R; X! ?- Z, C9 I6 P* {
3 |1 M% J% D) @9 ]( B: [# I1 Z
$ r4 _# o3 h% U( }1 U/ m
本来想如果支持PHP就去c盘的windows目录下找到my.ini然后mySQL提权。可是PHP不支持mi.ini这个文件也删除了！ " N6 \# T' v( i& h% _

$ Y) j* J& H3 W* V2 v* l怎么办呢？看了一下组件支持。wscript.shell × 命令行执行组件 删除了。不能执行命令了。然后我扫描端口发现在ASP木马上默认自带的端口扫描后发现都开着。。。 图.12 4 }# F# w, p& l- i" e  F% O0 v" B

2 \7 i  H# P+ @8 i+ N3 {! n8 y+ c3 V) n  L' q

, ]5 k' J2 x1 ~4 D$ Q( h
& X6 x/ B; G! y- H+ W9 e( S1 I9 K43958开着说明有SERV-U，查看一下SU的版本。在本地的CMD下执行ftp www.jiajunev.com 发现SU是6.3的 图.14
4 {5 G/ W- v2 @) ~% d' y# }' R! S2 s( o. o
4 }. l: _1 J; W0 @4 u0 T4 I2 i# g, T
用SU自带SU提权建立了一个了个用户为xiaozi$ 密码xiaozi 然后返回“系统服务-用户账号”发现这个用户居然存在。看来SU的默认管理张号密码他都没有改。刚刚扫描3389发现3389是开着的于是用MSTSC开始连接。结果很失败。连接的时候提示错误！ 图.15 9 y& p" F; u7 H  x! @, S: w

; V' W# j( a1 S: ]% z, ^5 Z# A- B! R/ R+ U9 Q# B
难道是假的？这样的情况我以前也遇到过。经过一翻跟职业色狼研究后发现这个3389就是假的，是管理用来迷惑人的。在SU下面执行命令 “cmd /c netstat -an >1.txt”意思就是说查看服务器所开放的端口并且在C盘的跟目录下建立一个1.txt的文本文档。执行完毕后。返回C盘打开文件发现3389端口被管理改成了5233。突然间网站打不开了WEB死了等了5分钟有可以打开了先3389连接一下。连接成功输入用户密码后提示 您不具有远程管理的权限。没有权限说明用户建立成功了，但是到底是怎么回事呢？我在SU那里再次输入命令“cmd /c net user xiaozi$ >1.txt”发现xiaozi$这个用户就是在管理组。但是为什么没有权限呢？经过我跟职业色狼的再三讨论，估计是对方在3389上做了策略。管理元不能远程连接桌面。只能有远程管理桌面的人才能连接。一晃又是3.4个小时色狼已经休息了。我还徘徊在这里。。已经是晚上6点多了。。。。小小的睡了一会。。。
; y' t5 H; Q+ E6 M% Y+ g; |1 F
睡到8点多起来继续刚才的活。拿了J哥的2003\0day建立了一个用户，还是没有权限连接。郁闷坏了。真没话说了。已经是早上了Char来了，银河安全网的站长，就叫他帮我看了一下。前面的思路也跟我一样不能连接。经过跟Char的研究，他发现laoshu这个用户也是个管理元并且具有远程管理连接权限，让我把laoshu这个用户密码改掉“cmd /c net user laoshu 123456”执行后依然没有反映。密码没有改过去。但是Char改过来了。3389连接上去发现有10几个站点。并且桌面还有人抓鸡还有5台服务器3台肉鸡哦。 拿到才一会就被管理发现了 我汗~~。。。图.16 17
2 U1 U# p4 i" T  T2 M# U6 w' |" j" g7 z2 N7 a
2 G! q+ q) P3 c: B6 a7 z+ d) \8 X

- U) A0 Z7 e# ^! _4 ]% j! ~6 x因为我的目标不是这个服务器而是目标站点的程序。服务器上还有其他3个音乐站我也就一起用vbs脚本打包了。因为yy450黑色寂寞站长的语气很嚣张。所以我把所有的程序打包下来后把程序删除了。其实也没有什么恶意到时候在还给他。挂了一个页面走人了。。。 图.18
: ], e' c0 a& ^% y: R4 Y' f
) ~/ A7 b( C" C, O/ ]& g' ?! l: C- Z; Y# p
一切就都这样结束了。我帮大哥拿到了程序。花费了2天时间。消耗了不少精力、时间、但是最终拿到了目标站。也学到了不少东西。在这里就要跟大家说再见了。。。。 % Y7 T& w# r' R; K  z, |  ?9 f- r5 |

3 k* k" v/ @' ^* h4 I: [' t4 S. m8 n( ^. ~4 f
PS:文章已经打包，里面附带图片！
; `: X' `7 l; p4 c, B
8 J, ~# e3 [4 `2 D* Z1 j1 d5 k2 K[ 本帖最后由 上帝的爱 于 2008-11-14 03:42 编辑 ]