|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。
( @4 s b+ y3 G$ V0 r2 v! _4 _
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。6 _4 G4 |* I$ v* Q/ c+ Z: R
9 H( t# h* K, `6 s哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
6 S0 v; s" h4 F; F8 X% \
, L' [7 K2 Y8 H- P3 q7 T I群里丢出一个地址,进去看了下,asp的站。
6 w% ^/ _' M& P4 Z0 m. h& \. O- e; c' R# G& T
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
+ I- M& D/ J; y* m, M* X. ?" ^% G2 H8 a, o
* R& ?8 y+ z7 D1 }; w/ A0 u* w* Y7 U
, k& e$ K5 a( g6 C9 `6 f# m. ?
4 V! G- `; h0 a" p( g C4 m8 ]& v8 z e
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。* ^# `; ^1 C6 Q: i9 c9 ~4 B
" V7 |# J7 j" g, O8 ?, z; D
2 ~2 a" C x+ n3 g% q& V
6 {" e% v/ J t8 X" }- d* y看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台 e& u9 \$ s3 D5 T/ S
~0 n6 k, _7 x5 B" R
9 v. F9 l8 d" _5 A/ ^4 e3 C! }3 X$ n8 C! I0 q7 x7 g
输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
$ [* S+ h+ _4 |" L' h, S
& J/ K3 g4 Y7 {. w7 W' \( M4 E9 V4 [+ Z
3 s4 ]. }0 ~/ E( z
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
& d" m+ A) L: n% {: ^" x; Z1 v$ k
, t% H; H2 u3 `0 E5 q. |% g
* j* D. U* ]# I! V$ O h5 v
9 y# x& D. F; O4 } f) l* ^但是,能浏览所有盘。
- ~$ W' k+ l9 e( f( q5 DC:磁盘信息 : C/ N, Y8 P8 j4 i+ U
# c* E8 r) J2 Z6 m3 h( }
磁盘分区类型:NTFS
; s8 }' H R3 M, I5 k% D6 \磁盘序列号:-1265887598" c3 F9 g) @# h( A: P
磁盘共享名:( L& o: C- u: E, ~) J9 f
磁盘总容量:10731
/ {% I1 k1 Z+ u, c' M磁盘卷名:$ Z+ [& N0 p3 m8 ^3 O$ C/ w
磁盘根目录:C:\ 可读,不可写。
5 h! N/ j: m3 O) s' p3 {文件夹:C:\Config.Msi 可读,可写。/ H- K" b* Q& v/ D5 \0 c
文件夹:C:\Documents and Settings 可读,可写。
N. Q: T/ a& {" \- C# a文件夹:C:\Program Files 可读,可写。* p% a. K& |" n: L: _
文件夹:C:\RECYCLER 可读,可写。1 i% W' y* D, C1 C, m% V6 R( K
文件夹:C:\System Volume Information 可读,可写。
* y- d4 e# [8 }4 H文件夹:C:\WINDOWS 可读,可写。3 u1 M; ~! G% w
文件夹:C:\wmpub 可读,可写。
! N& n2 _- P' y1 K注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
! i, O" H2 y- f6 P' u0 N. U. K i% ?# {. ?0 n4 b( g8 e
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。# g* H$ k: ?+ U7 M' c
! g% D/ ?2 [' b: `# Y
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
* q( R! z. B3 C/ P C
# x$ \! o# U; S, a {8 x! b* r2 [( ]6 u# y u+ I; t2 o2 t5 H: o; S
9 x9 ]( Q8 f! k6 ~: }. W! Q+ d4 _
- ^( ^/ n. s: u% ~& V* C
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。; K! D; p& P' U/ s0 k
4 d% m. m2 M5 |% N. Sperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
( e+ X# ?. d* }8 M) Q" Q* i& r
( k% `* P' n* e3 q4 g9 }最蠢的方式,爆力破解密码。 N* N. @$ W& y! p
+ H. m6 w; l- y% }) H8 R$ k6 c h找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。
: E! A' b7 E) C) O: _* n8 }8 L; \* G( P5 t4 C
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
7 I; | m* T5 x; b
3 h& c0 T' r$ g* v最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。7 }: H1 o% Z5 {/ @. E3 L" T
" t' e; [9 L3 j m+ |: W$ a
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?! W1 k3 C0 e$ Y, f
. d1 g9 e3 z( m8 ^找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。. s' k" j# _, Z' }3 F. z
; u0 [* ?0 U4 w K
, w$ S; O& p+ a: T. u& b; S3 Y- a! T7 a# M) z5 J8 [7 M# v6 k
3 |' b, ~2 Z+ C/ X0 X7 b: B
; t7 P+ u, P. L. Z0 c4 m4 D/ Q9 V: w5 ^: E, W
% r/ D7 C8 `$ v7 }1 [
+ o8 [. L7 `! m k0 c, p. `) S: _+ ~8 \+ }* Q% I+ y$ U" N7 n8 k* D7 y% h
赶紧的,FTP提权。先进下FTP,试下效果。
& \* ?, {+ | a+ K) B8 |9 A0 T4 b0 p: a# O8 r
ftp> quote site exec net user hackbkk 123456 /add
8 }6 W) y% p- M' \" p* c- p4 V0 G1 H421 No-transfer-time exceeded. Closing control connection.
3 l! a( e( {/ E/ M) C6 \Connection closed by remote host.
1 b1 U; o/ K z0 x" F$ G. Wftp>. R) F0 l6 N, E \; q+ _/ _1 R
. e% \: g; _3 {
对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下. [+ M; D1 n* h$ [
% ^' o0 X+ _1 G; j0 ?! a P! l2 I
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!2 m& K5 |1 d# k2 t$ Y7 r
4 c m5 S/ E7 {4 e' N+ P, G. {于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
; Y, a4 {+ Q# s2 H1 `& i6 ?* Y* s0 N" F/ [' |9 v. P
2 ?4 y+ k2 b0 R! Q又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!0 s5 o0 N/ v2 c1 [; C' z$ _, S
这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!( ~ G8 ^. y, z/ { c1 l
估计是组件被关闭了!
2 \6 v$ c1 h. F0 m9 d1 L4 z4 J转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
' U5 {, ]( s0 U: {( {! x5 \. ^
8 H4 D: Q3 v6 Y9 h \/ T# c
4 y) F ~; ^! W9 x9 h# D* m7 f' H) N; g0 ~6 L8 p. J% N ?
" c: Y. Q) y' }4 h, G
于是开始找开启语句,对mssql的玩的少,不是太熟悉!
: \" \5 X- d8 R6 |$ _后来二少给我了语句,便去继续日之!0 i! x2 `% A P& p
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
8 F! g8 o; v$ Z F% U1为开启,0则为关闭!5 _$ _$ ^& e, {' c, `# t& b
然后执行: d' L7 T" Q/ R1 P! N
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
4 U. B/ L% Z# C) b! t: q即可!, y* ?2 M' j: C
回过头去看看,发现用户已经成功添加上了!+ t1 @# g4 z D8 X+ h
7 U. z' ^7 c6 ]# G0 F. n1 R. U
4 Z2 }- R5 P- Z/ o% { K4 H
我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。5 ` U* ?1 ?6 b# O) y+ p6 j4 R8 K
% H; L( s7 x0 A% P我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
@( Z5 }, B* I0 S1 B, A# M& B; b; W9 L0 ?2 G1 J
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。8 \6 ? V$ l$ |5 ^# m9 h
" R* Q& j9 V5 J9 R/ u* P9 M难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!
# o8 @3 Z. M9 r
B* x" Z! W/ M8 P% |可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
" ?# v' q. f- y. R% K: G$ E7 Z# Z1 f" I6 p* M0 Q
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
+ h. R* W! C' L
0 |1 n) m: i; P, ]9 v) u% A跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!
0 e8 w+ w3 }0 W! T F. l S
$ H) `% i8 F3 H2 y; k7 a1 `oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
% i2 h/ s1 Z8 L9 y: c' w5 u0 D- p# ]" f4 _) J0 o& h
最后拿下服务器。3 d8 i: E8 I+ {, k( _4 Q, T
* x1 J- |1 ~6 ]4 d6 [6 ]: E
9 E8 K7 I O. t! ]( e3 [2 u
/ V6 t) h$ J0 B另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。5 Q- l i4 e9 c0 U& t) ~7 s
: u4 e+ e5 D- p) u R
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 
