|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。0 `* |6 D4 O0 Z$ A5 S, U+ E) j
7 R' d# ]) ~2 \2 d
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。) ^- |4 N$ Z6 r4 k8 m' I1 G
; |2 \1 J2 r1 V6 B, S哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。9 ]; @! a% ~. k( |4 M
& ^# Q3 U. _7 T5 |" W群里丢出一个地址,进去看了下,asp的站。
; L: D% H( [* S0 w
' V- ^: p; {) w! m5 R% W& m5 h5 X& c很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
- R, k2 Z6 m6 O& X$ G- J
}+ R: {) Y4 \4 ~0 v+ o/ j1 ]( N
6 d. b4 l' u8 u8 m- h' h8 Q0 B& b6 k- f
# s4 a$ ]* v8 }7 \" z5 c, ?0 j9 r/ m' y9 D2 Q' b
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。% v% |% B, q1 A9 ]* A e
s4 l$ W8 k( K. G) S
1 C5 c4 |3 Y+ s2 l! q; n5 u) p' K0 b
* o% W9 ^2 a6 R看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台3 K8 r- K- O! ~" ?1 N% u
8 z7 ~! Y8 r3 Z5 @; M
# n. [! N; C0 z, U- C& o: F- L7 Y p/ y6 K- N7 A
输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
; z$ h0 Z0 o$ ~' e( ] I4 i& R) ~4 ~ ^2 j
5 l0 q6 e- W9 i6 U$ O; m
/ o G9 k. V' |- M查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
3 @8 B3 U0 c0 U9 L% e) Z! i8 ?) q4 T* d, C! `0 y
: }" x2 ]6 S# K* T, j- M, k% |' W: `
: A8 l. I' P0 X! X8 a但是,能浏览所有盘。" L# k' `5 v$ c4 ]: N* K/ F) K
C:磁盘信息 6 {0 q$ k; z7 h* U
3 @ \ @* K; A7 n3 \磁盘分区类型:NTFS
9 R! J: [2 T3 Q磁盘序列号:-1265887598
; p# U+ U& n; L C- F0 s2 f( U磁盘共享名:
9 g3 h4 @0 Y8 ~* F2 U6 g3 P3 S磁盘总容量:10731
) K# B' m4 x/ b6 r* U r8 u磁盘卷名:8 [* n0 j- _" y9 R" s/ v
磁盘根目录:C:\ 可读,不可写。
! _( [& G% L' M2 I+ C文件夹:C:\Config.Msi 可读,可写。) ]7 Q6 _( T, | F+ e' r5 ^
文件夹:C:\Documents and Settings 可读,可写。2 @/ d, A# P% t( F8 c
文件夹:C:\Program Files 可读,可写。2 K+ B" h, _/ A
文件夹:C:\RECYCLER 可读,可写。: |( u: Q5 b$ R& K6 s c
文件夹:C:\System Volume Information 可读,可写。$ E1 }, w4 b* z6 a
文件夹:C:\WINDOWS 可读,可写。" n* v2 M$ ~! R$ P- r4 y0 d+ U
文件夹:C:\wmpub 可读,可写。' S' i1 ~, |: n3 R! A
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!' o& |4 C8 N$ k
4 }* ?% z8 O& a2 J
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。( \- X6 Q) @: @ E
$ ~: k2 T% r6 @! w
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
4 r. ~) _7 P" H+ b" e8 {2 w& R" B# B1 B9 F% r- I+ ^
( r: S3 F1 U( g
+ T1 q5 u, A5 a, Q2 q+ J
5 K4 q, O5 d6 K9 z X
* Z% H+ [6 ] W' Y没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。1 z3 T; b, @0 S0 }+ a6 S9 X* K! Z
: a5 }& t! q, T& b! e& k: Z. F! pperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
8 U) I; Y( p6 \* v' N( ]6 E/ Z* {( f; s3 e
最蠢的方式,爆力破解密码。$ M) p6 Q$ q+ w
$ O* x: [' K* H2 v, W找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。
1 `5 B. M* U0 A/ t' l) ]7 p/ U' H
% r# }7 I: _# c1 U) m9 j可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)/ I* K& H" }0 a) t5 e+ L
- I( z- J9 Y6 ^' f5 Q最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。4 f! C0 W8 Y3 i Z& Z, q/ O
0 A/ E }& \* u# e
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?, p7 B* A4 Q, @1 T- E4 U
. T$ E- l0 h0 @7 c; G B, l1 l找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
- b+ V# |$ s( t7 r# R p/ y; _2 O4 p7 F8 Z# I Z7 p0 l( s" `8 x
1 u' @6 q$ g/ u) Q
: j! t* c- Z- R
b; g7 p0 ?; \7 F9 L! I- g3 W% s
" X- g* F- a4 ~0 r7 a, D+ K0 C& ]4 s( ?* T5 j
$ i4 L8 f- M; k
" j& l: Q1 s7 \3 }* |& x! G1 F. l+ ^! B' w" Y+ Z" [
赶紧的,FTP提权。先进下FTP,试下效果。1 a# `* H/ i A3 W$ L) S# S4 d ~: P
" X: K+ K/ j: W% D* _' Eftp> quote site exec net user hackbkk 123456 /add: ~6 b8 N6 u0 S6 E" { W
421 No-transfer-time exceeded. Closing control connection.
( K* ~/ z! u- I' \Connection closed by remote host.
9 P1 y5 i/ l2 x. U& jftp>
: I. F2 i2 G0 M9 M0 r' e! y+ B5 A' m6 d, q
对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
; R0 x: L/ f$ T; g% |& A7 O: H. g
) p* ^9 q! i6 _/ t& v可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!$ Y, ~7 b1 g' b- q! A
1 x0 |( X; F/ S3 d d于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
$ ]; z6 t9 b, K$ y' {/ u: e6 a/ P; W. m0 g h. i
. n8 k7 {5 x' ?6 I' S, x
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显! |$ a4 B- y& b) u& E3 g: e, H# k
这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!( r+ x! z% @, \' _3 s
估计是组件被关闭了!
. P$ h! [* W- L: `4 O: P- E+ E转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
5 Y, L. S7 S- X* A# Y, l; B8 m# x8 q8 v: D- d
X ~7 b3 ^( ~
W6 W6 g- e4 o$ ]
5 Y2 K2 Y2 q! _于是开始找开启语句,对mssql的玩的少,不是太熟悉!
9 Y# J3 q0 `" c3 S; p4 @后来二少给我了语句,便去继续日之!. K/ G; V( V/ z* Q6 Z0 w
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; ; _" x: `- W6 j% A4 ~$ |1 k6 k
1为开启,0则为关闭!
8 O0 J: _! j! W7 A' N) t. _1 l然后执行$ w x0 m' ]6 I- O
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'5 Y( P. m9 |4 F# A: V
即可!
: j& p/ C+ o$ @9 E+ o7 [7 G" H回过头去看看,发现用户已经成功添加上了!
7 T1 R9 c. D9 m8 F9 c$ G2 {4 T+ {/ |' b
; t1 u" z! K) o9 m# R8 D6 J我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
$ h8 y) Q& M8 h/ J9 p* T) E
7 ?3 S6 [8 N! D) m6 y' } G0 g我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。8 g" d8 u" j) T' H( o, I! x) g }
Y. c" G1 h! ~' L" a
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。0 }7 {( E- _7 H3 @: I/ V) z% P
: G4 f) W, r o( y. g P难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!
' V6 N& @& q F& z0 S2 `& B' d6 g" ]: `7 f) _- k3 |1 ^' M9 d
可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。2 P' X% c1 g* x- S" M
4 h9 S# W2 \4 \ X) y
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。* a# Q& o' l9 y( N: P( h
4 z5 x3 ^: @$ r& g1 m( L
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!' G: H; o* B3 B3 f0 c7 P! U/ U$ Z
5 C2 R( \1 P9 b1 n6 i; c) }( X7 z
oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
+ `* f4 T& j. J0 @
, N, ?& ^3 T; ~' B最后拿下服务器。5 V5 t2 l9 e, d, ^4 p2 i0 U
2 h' n9 H3 _* A$ j5 ?+ ^. \+ S# a
& n! q% J- j9 u" w
0 r0 l% C3 S# Y [+ j另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
# i2 M/ D3 H/ v# n; f# H S- j) m7 M( v, d7 t
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 