|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。: K" K, {# W4 r5 t
v; v' e: a9 t
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
) E9 k. @) y# a) B+ I' ^( R8 y2 d
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。4 e' O% E6 u- d; }( V3 R: E3 f
; g, C) b9 W3 `) q3 q2 x9 Y9 c
群里丢出一个地址,进去看了下,asp的站。
@! f* \1 o. i+ R: P8 ^! r
( i2 v0 [0 r6 w# y, x% A& u; s很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。% X6 _5 @8 \/ M8 }2 w
0 C. r; R' m6 S5 J% J
5 C$ w, N1 \' o$ c5 {. o
4 n, b& r1 S7 R5 }$ Y9 p, [ 0 G+ y, {- O( G: j
) U, Z% y4 v! t. ?! {3 n开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。& C: A7 M; ~! e4 `
2 I1 V+ d2 W6 P# k6 {' Y. s" d& A l' u* w* l1 s9 m
1 N% @" r8 i2 d: |( X
看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台3 k" s/ F* |% t
6 }4 C$ A" }6 \: f8 z! v
: U9 N2 D8 K: W7 F( S4 B
5 T. n, l c3 W3 |输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
: x$ i& X+ f+ v' ?7 M* x1 U: F' Y4 q7 u9 G$ _
+ s0 \+ W, r( T
' X. k/ R# E; G i- y
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。' V$ J) ^# |! m7 U1 m
2 F$ L0 L6 \. p C: U: J' P% P
: R' E' u) P- c: X& A# E
6 J8 H0 o9 |/ B# n6 k但是,能浏览所有盘。* i. s* {1 ~$ i/ k! _
C:磁盘信息
, F; d8 `! C v& U2 ]
; _+ g* e' t) o4 Q, C磁盘分区类型:NTFS
~: M5 C! c4 n5 r v% C磁盘序列号:-1265887598: Q* ^5 H _" Q% c& D& u+ z% ]
磁盘共享名:) d! s% a j+ }9 `4 R6 b
磁盘总容量:10731/ O5 M; ]& r+ ^4 B) n4 z
磁盘卷名:/ Y% b2 z( `6 }# W
磁盘根目录:C:\ 可读,不可写。5 n5 _% e4 q0 Y6 ^+ d L; d2 ]
文件夹:C:\Config.Msi 可读,可写。" C" J u8 Z" V
文件夹:C:\Documents and Settings 可读,可写。
. P$ U, {- m7 v% y4 L( p0 B+ ?$ n文件夹:C:\Program Files 可读,可写。5 L' w3 J1 `/ e$ [7 @
文件夹:C:\RECYCLER 可读,可写。0 B4 }/ L; _0 }) ~
文件夹:C:\System Volume Information 可读,可写。! C. |' g+ |5 e
文件夹:C:\WINDOWS 可读,可写。0 J4 F; l9 @ ~
文件夹:C:\wmpub 可读,可写。
7 i U/ ^8 ]/ ?' Q9 K, c% w注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!& N$ |: A2 y J- w: w5 t- ?
/ g8 W7 R, m+ l k/ {) e5 t, }**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。5 P$ A& P" K9 ^- P
4 r. n) D8 ~4 H4 M; Y) l哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
( J7 a9 S) U: D( S3 O1 L: ]7 [& x. e, U9 W
; B- n- E" |1 J! m% A8 X
5 B5 Y b: n4 @# |8 x0 i) [& Y2 E+ p5 ~0 {/ F! s
: u) R5 Y) m F+ d/ K( f
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
: y6 J" f# l* b- z
* N- ^. c" \& H& }& y$ l% ]perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢? b" P( U! J7 j; G9 L
* M, o- k! J7 J最蠢的方式,爆力破解密码。
( @& T9 a- o8 A Y" o0 D5 I3 }& \9 _: k% ~& k$ x7 i
找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。9 h! C8 M& l! J9 ^
! c" x5 T9 `( D# R3 p
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
/ N! q# [7 @! ~/ l% D+ y5 @
6 D5 N7 I s- [' m9 v6 D最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
0 ?2 y" N4 X1 Y* L% E( q) _) V0 ~, c7 ~" F y6 ?. V' V
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?1 M* Q, L& t/ B" r' F
4 g$ f3 p& \7 A, _( A8 i找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。$ T) o8 G& P- {4 `4 H) G. i. C
) u+ G" a: A: s6 L
& S! r( b* d) o$ c$ M) E( k8 @4 K4 N+ u
$ y, W7 a7 a# s5 A9 Y4 R% P% w/ d
) D3 \$ U0 M/ u' m5 F+ z* m- \5 L( q
s8 Y V' @5 ]% r. ?' W, I6 c% j/ O; K, ]0 X' X" x: A0 c$ C2 h
5 y4 D* L& u' G ], L: R9 H/ W
: k1 }, ^ \. W/ t4 D# \! C
赶紧的,FTP提权。先进下FTP,试下效果。5 q* {$ n) w) m6 i: _4 N0 b
8 ~$ G4 o2 l; j" {+ m* w; I/ ]+ cftp> quote site exec net user hackbkk 123456 /add( H) R( q4 G0 d5 u& u0 q4 F
421 No-transfer-time exceeded. Closing control connection.
4 r6 @( r/ ^# O! X$ q: zConnection closed by remote host.
% U" M0 {5 v- v) |" s7 q+ N5 y0 Xftp>
$ X& ~) S: z+ e+ m( [: R4 A7 |
- `' Y5 q+ o% R( [( l8 t% v对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
; A+ I* z! r; s& ~2 g' z; K: s3 y$ E
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!
1 y' t2 I' W; s8 m- h+ S. Z( J) s8 }# j5 |' v( X: l3 M7 \
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
* @1 Z$ u& e+ z! a
$ L" n$ o* X% P' |; o! h4 E- @, @( O; S
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
2 k* [( X5 J1 A$ C这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
4 f( M% v+ f! O7 c: Y估计是组件被关闭了!
6 @8 _1 Z6 b/ ]7 l/ t3 n X4 n转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264* M1 g( }6 \' P3 b9 G1 m
+ X9 t3 \& h# K& M6 t6 K " }& P$ A3 N3 ~5 g. H
7 X$ _6 R; V; a4 c9 W5 `
5 D" o d& q' ?! k
于是开始找开启语句,对mssql的玩的少,不是太熟悉! ]. _: V2 b6 c% D& R: H
后来二少给我了语句,便去继续日之!3 r& L! u0 z0 Y3 j1 @5 ]& i
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; ' X, `3 Y5 o; [* w. M, {0 \
1为开启,0则为关闭!4 H& H1 x" g& \$ I" n) W, \
然后执行
5 ^! E. \5 n8 C1 P1 _: x. kEXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
/ Z+ f: n t: ?# q3 _3 A0 h即可!/ i$ b- {. K0 R0 r; J
回过头去看看,发现用户已经成功添加上了!/ p$ { \6 E& j* M% Q# F7 ?
/ I8 w0 J `, X3 q5 Q
% f& k: R; q6 S; o# \) Z9 R) T我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。1 r1 d/ v/ Q& D8 h, S, U
# f& T( ?* F* U; I% j0 l
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
) l3 k$ F3 U5 v0 x7 m
9 n& ~5 O0 Z e! b后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
1 q3 G* X0 [: j1 m$ u( n0 c7 l n: m9 B" L9 U% S# w5 x, V9 c
难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!& Q3 O) q* _) T6 H- s
4 D; q( X$ W3 u0 D! E. ^可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
. c9 u' p* E$ i( V+ x
4 k8 U0 c6 f) ]6 t) K" `) c+ m后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
9 o+ X. c$ N+ q( v) K) b% W
" S2 c) r) {, K4 q( s5 s/ L跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!0 W! F* L. ?' {: j
! r. x9 X. c3 O1 j) \0 q1 U r6 ?+ t& e
oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
. \) Y* E; J/ M4 P6 a5 O8 P7 u
) E |! m( b1 B, X) n" y6 L7 ]' i, U最后拿下服务器。1 G$ o0 ?' v `9 Q
8 R5 ]3 N9 ~& {# [% Y; P" n
4 z7 d- a$ B0 d# b5 E0 z" D. M( n8 s$ w2 M
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。+ _" a6 o1 Q- h
, U& [" u! ~9 C9 H
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 