[原创文章] 【原创】入侵"中国侵权网",直捣黄龙 黄龙, 侵权, 中国, quot, 直捣

hyrz

# ?; k8 U  [# [' H7 k9 W
. V5 t) |  c2 W5 Q3 n% d转载请注明作者，上次发的原创被人给改了。汗~断肠不认人了，现在那篇文章好多都被收录了。7 e5 d1 z, c# E4 ~+ O' W$ o
===================================================================$ f& X6 g* @# }) S" u  k6 u
在这里说点儿题外话:: k9 D$ S  E. g/ N; k$ I

7 g5 w, m6 ~7 D9 Z$ }作者:HYrz4 c" ^) B) Y' k( U: h
出自地址: http://www.3ast.com.cn/viewthread.php?tid=14949&fromuid=128896 B/ H3 O* G: g) R
. T  v* p. x0 `& ]' B$ F5 E3 b
5 F/ T* x: C, {6 I/ D
        今天本来心情就很差，都是MM惹的祸~哎~在她网站留了个后门，告诉她oday后，还没过2天她就问我是不是网站漏洞补没补，我说补了，过了一会儿她又说我是怎么进来的。碍于面子,只好给她说出了后门的事。。。然后我告诉她你想删就删吧，果然还真删了~呼.废话又多了,开始吧。。。
+ |, w! {, A$ v, n9 R+ E+ t/ G
: M; S3 a# D8 k! M" L  n0 p 5 |. a7 A8 r. P- O6 Q
$ X1 L- L0 R6 I  m+ b

6 M- f. T, F( X- z5 f, Y9 p9 c% J9 c' r. H4 p' ?0 @4 a3 X

' b( p7 D5 @2 i8 C  s) X% A6 y1 [% t3 y% Z
开头:
' `# H0 x- g0 O; q0 N& b6 C; n& a& P# d5 |
       看着郁闷，只好找找事情解解气。哈哈~我一般都喜欢检测人家的站点，小菜啊！每次都是那么的失败。经常有人会这样说:"不懂爱玩，玩也不懂",听起这句话个人也蛮有意见的，嘎嘎~好了废话太多了。4 X: |4 K1 y& ?8 {
3 E: W. o% l# U, [- H  v3 e# a& d% N5 o
     在手工检测的时候碰到了一些注入点，但是利用不怎么大，不是猜不到表就是一大堆的ACCESS，挺麻烦的。在检测到“中国侵权网”的时候，本来我是忽略的，以为这个站太死了，进了后台尝试了一些常用密码也不行。手工完后面几个站的时候，用着好奇心去再次去看看那个站点！拿这啊D轮流的扫网站存在的目录，哈哈~这次果然不出所料，直接把数据库给扫到了(这是一种巧合，在其它站点的时候就没有这么后运气了。能看的就往下看)，用迅雷测试了下可以下载。用明小子打开ACCESS数据库文件，找到了登陆密码。由于密码是MD5加密的，只有去www.xmd5.com解密，密码设置的很简单，放到框里直接给输出来了~哈哈，这次离拿webshell虽然还有很长的距离，但是有希望啊！拿着密码直接找到后台登陆，因为有2个口令，试第一个口令时提示密码错误~怎么搞得啊？数据库密码都不正确。。。试第二个密码成功进入后台，嘎嘎~4 A3 c5 W% j& N
) X4 ?2 k2 c2 T
2 {, ]/ Y! A/ \2 G9 d9 @

- T6 m0 R: B! q
, p7 Q3 }7 q$ d  g# M% `( W' c, q/ g) i
, H3 T# {5 [! m# ~" V
" }8 q, O3 l' ]9 ]0 E& u) X, f
获取Webshell历程/ K. I3 I% K. U. m8 \( i, G* C
2 T- h- _  ~. o# \8 p" D  `- Y

3 I& G0 y) h% G& y& O  d: f
+ f& i3 y  j) j2 y- i6 O3 t        后台相当简陋，不过有上传的地方也就有可能。这次是MDB格式的数据库，如果是asp后缀的就可以一句话了。打开“信息”，看到了熟悉的Ewebeditor编辑器，能不能直接获取webshell呢？打开本页源码，找到ewebeditor路径，再加入后台地址，提示无法找到此页。唔~~怎么办。。。再在地址栏eweb路径后面加上/db/ewebeditor.asp,提示无法找到，再次输入ewebeditor.mdb,可爱的下载出现了，但是也没太大用处，用明小子看了下样式表有没有人添加过asp上传类型，但都是保持默认的，没办法了吗？继续，看了下eweb后台密码，md5加密无法解出,碰到了强大的密码了，此社工思路放弃。" `$ {6 h& ^" Y7 G3 h  j/ B
( `# Y5 h/ E  d3 L* N
         当在后台转来转去的时候我再次把目标放在上传上，不过据我了解这种上传好像不存在漏洞。。。只要有一丝希望，绝对不放弃！+ g' E2 R+ q0 n. h$ x5 I- T

3 m) ~# e9 r* }6 }
. @2 f* v- p9 S( D" ]2 Y' Z/ u# n( n& `. F& U/ v! i

. T" B- s; ?- P8 `4 c% z* n+ h# g  _# P$ ]. v

) q+ }' [. N. X4 z& `0 K3 g$ X5 f$ c4 t. t( [* d

, y6 h9 x* X& I2 z  v1 G
* ^6 F* R$ l7 M7 S+ G! `4 m我打开抓包工具WSockExpert抓到相应的Cookies，用明小子上传~(因为我是事后才写这篇文章的，具体抓包我还是没有截图,我已经补了~只好用文字来详细说下),添相应的Cookies上传提示上传成功，但还是gif格式的，难道又耍我一次？今天已经被耍了诶，个人的习惯----只要一些事情认为可能失败了，总会还在这个问题上徘徊。。。当我把上传漏洞调为“动感购物商城”上传漏洞，再按上传奇迹发生了~哈哈，具体的漏洞原理大家可以去看看，毕竟本人的学习asp不久，我也不敢说什么。只要大家能灵活运用思路就行了。上传成功得到站点webshell，开始还不相信呢~因为太突然了，大脑没反应过来~看来我还真得研究研究这个洞洞的原理。。。人品爆出~哈哈  a( v$ F' [) P6 X

8 r% A2 l/ J1 V7 H4 U5 U
% Q. e% P+ f- {0 P0 U& W% N) I) K6 S( m
提权之路:
7 A5 E& }& W5 I; F. l; j3 m5 r. Y( F9 v. Z: e. B
        写到这里我的手都痛了，唔~我很脆弱了，我要锻炼锻炼。。。今天都摸键盘数时了。。。既然提到了webshell，那提权的野心当然有。反查了下IP显示只有一个站，看来希望再次提升！依我小小的经验，一般站点越小的服务器提权也较容易，不要模仿啊~想提权细心是不能少的。现在既然进来了就得修补漏洞了。。。数据库，防注入加强。。。样样齐备，就剩个上传漏洞，写到这里我还没想过呢~嘿嘿！不过既然数据库也改了，防注入也强了，俺也不是站长咯，我还是就补到这，说实在的动感商城的和动力的有什么地方不同都不知道。没有研究。。。继续吧，我有个习惯，只要自己想提权的服务器我都要用webshell扫描下存在的端口，有人说webshell扫描不好，但是我不这么认为，有的端口你用扫描工具是扫描不到的，往往只能扫个80之类的。9 }0 ]) v; y  L$ L2 q& J

8 |8 Z4 e5 \/ Q, h- O扫描到的端口如下:
+ H. I' U4 Q" J( G2 X5 B( V0 v& W# M7 `' ~- ]
127.0.0.1:21.........开放 //这个希望很小
  D5 ^! c: d" f# G1 y: _+ u127.0.0.1:23.........关闭
; G$ B0 R! p- l- s9 k0 B3 P127.0.0.1:53.........关闭
7 W& i4 g# k& H0 E% p1 m127.0.0.1:1433.........开放 //可以尝试查找mssql数据库密码，但此服务器只有一个站，用的是access。此方法暂时放下。
( w& N8 s, ~' R1 ?  g2 M. |127.0.0.1:3306.........关闭7 }6 @! \6 `  C, B
127.0.0.1:3389.........开放//登陆终端，为提权敞开便利之门4 d; l9 z9 L  x0 R- ~
127.0.0.1:4899.........关闭0 }% m( c- v$ w
127.0.0.1:5631.........开放 //此端口注意了，提权成功99成啊( D  g6 i) O) Y3 ~
127.0.0.1:5632.........关闭& H0 Q# j5 E! d; U0 ^: }+ B
127.0.0.1:5800.........关闭2 e+ O3 C9 r4 F
127.0.0.1:5900.........开放 //mysql提权更不用说了,放弃。3 ]* l. Y. {% c  _/ o2 R
127.0.0.1:43958.........关闭$ @, a9 T1 g) ~
  V+ ~6 ]8 S: `( p

$ F& J4 |" d: r' N: d
3 _% r" R7 I' i) H2 @      按以上总结，最快的速度还是pcanywhere提权，那就选择它吧。打开pcanywhere目录，看到了敏感的文件。如下图:
0 P8 m6 p9 [3 {( Y1 z; {  d
" M# U0 D# m/ }1 D8 y" _7 e1 H/ ~1 F, u2 t1 N) L

& `4 k, O( M. v" X) g . v1 X; D# L- ^& A8 w3 \
' Q6 N2 G5 O- p/ X* U# P
" Q) _3 o: w$ r* s* q& m
$ s" u# h/ B; S7 j& ^; [( d! ~
       pcanywhere提权也就是下载cif文件下来破解相应的用户及口令，这次也不例外.下载了cif文件后打开pcanywhere密码查看的工具，但是破解出来口令是空的，连账号也是空的~气死了。。。难道上天也就是给我这个薄面？？？NND，今天非收拾你不可。带着疑问找到了渗透大牛“许诺”，哈哈~此人乃是本话题的男一号，(你们这些人啊！！---引用了高尔基的“童年”小阿廖沙 外祖父的口头禅是不是扯得太远了？？)，我把我的情况给他说了下，他说可能我下载的是原始文件或备份的文件，刚开始还不在意，在网上查了下。看到了pcanywhere提权的相关，我就从hosts目录下载到了cif文件，这次的文件再次破解果然搞出密码乐。。兴奋ing...不过刚开始看到这些密码还以为是加密的，用pcanywhere登陆后才发现本来就是这么复杂，这个管理员~TMD的这么NB，咋就在网站这方面出问题，就在这时我在脑海中咒骂他。。。, _* i& a( Q. V& x! `+ C

, _3 [" {9 s, p$ V1 U" y' O          用pcanywhere登陆到远程桌面显示要我输入密码，我汗~这不是相当于登陆3389吗。。。绕了大圈子才搞个登陆窗口让我输入密码。。。再次无语。。。这像什么话~不对！应该是这算什么事。。哎~今天太累了，靠在靠椅上，继续想想。。。: n9 M3 ?% T) j) ~7 i6 O7 S/ r

" H5 N) w  G, H, \& w          灵机一动，诶？怎么不试下pcanywhere登陆密码？我真傻~哈哈。用webshell查看到了两个管理员账号，和pcanywhere登陆账号差不多一样，也就是后面替换成adm，登陆后，最最可爱的界面出现了。。。现在提权也就结束了。大家能不能学到东西就看自己了，我只起到小小的指导作用。
* Q8 ?) f! C! o; O: {8 x
5 b4 G+ B8 n  V" t$ y3 r  d! X' P4 f7 `! A7 ~3 V& v- \- `

1 \# O. N# o$ V 3 o; U! O/ G- H8 |5 M) x# o

& m8 b1 y; n9 R( w( K: K$ e/ W$ }
) l& O8 M$ s9 j5 W2 _) h! h$ A6 t# @  M. s2 D: U! C3 t6 |' B. `! ]
下面是登陆3389截图
# \7 ]  \) h" H( X7 ?
! x- E. x3 m; }/ ]/ S2 L5 Q: X/ K) E' C2 ~: M- f
- o: U& T+ z# F6 c

+ _& ?  D" |2 Y# P# |% I! K0 p+ @0 h+ N3 {, t* h

0 d  L2 a+ [5 z' L" u3 x转载请注明

在意z

来跟楼主学习技术了。

cxy_hh

还能扫到数据库运气真是不错嘛,呵呵.我可没这种好命.

guoyaosheng0

好帖 只差
( @: H% {* M+ s( l, f2 l、、、、、、

maya66

学习了/ a8 {+ a0 V: ~) Q* U2 f+ }) X* |1 R
6 c$ D2 Q6 z3 G+ j/ {* X
顶上去了

wjjaft

呵呵   学习了。。。。

柔肠寸断

直接扫到数据库 ————》》》
2 m* V' b3 i1 C' k2 M% E4 R) ]+ \4 C明小子上传———————》》8 |% I& O2 s" H% I' i
pcAnywhere提权————》》7 d+ R+ X- B# }4 L
社工3389密码' g% w( S2 q6 N
& C1 c2 h7 J) R' h( ~+ ~# s# N
一气呵成，不错不错