[讨论]搞一个站遇到难题了.请求技术指导 难题, 技术, 请求, 指导, 讨论

jjcd

[讨论]搞一个站遇到难题了.请求技术指导
议题作者：b0r3d
信息来源邪恶八进制
目标是www.XXXX.com  //
一个在线交易的系统，这个系统有明显的注入点儿，ID:nike186 pass:326628280.
密码是一个QQ，通过这个密码到了几个这个公司的招聘信息，只是找不到后台，用跑出来的密码登录 FTP也没成功，在了结网上也没有找到可用的信息，不知道你见过这个系统没有，估计这个不是开源的系统。这个服务器上有600多个站，还有好多站都是用的这个系统，依然是有明显注入点儿。

www.1000trade.com
username内容:1000trade
password内容:ac69665a0f2f06ae
username内容:admin
password内容:d7dbbb00f97ba6ce
www.nike888.com
username内容:1000trade
password内容:ac69665a0f2f06ae
username内容:admin
password内容:d7dbbb00f97ba6ce
www.nikeidq.com
username内容:114
password内容:d7dbbb00f97ba6ce
username内容:admin
password内容:d7dbbb00f97ba6ce
www.nikeshoes1688.com
username内容:admin
password内容:d7dbbb00f97ba6ce
username内容:jordan-upupup
password内容:d7dbbb00f97ba6ce
很无奈，继续找其他的站，今天找到了个默认的数据库，然后拿了一个shell.（看webshell可以短信通知我）

FTP用的ms，3389，4899端口开着，通过注册表读取终端端口确实是3389，不能连接，猜想是设置了IP策略，
4899同样不能连接，想利用radmin提权，注册表也读取不了内容。
c:/php可访问
大概过程就这样，由于我的技术跟经验都有限，到现在已经没有什么斗志了。
希望大家能抽空看下，给我指几条路子，真的非常感谢了。

jinyuwei

有MYSQL数据库吗?win系统下面可以用mysql提权,system权限,支持PHP,你就传个PHP后门,直接system权限

风影

首先感谢追寻帮我发这个帖子，有看webshell的可以短信通知我.
to楼上,mysql目录没有找到.
下面是我搜集的信息.
1，目标系统

OS Name:                   Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS Version:                5.2.3790 Service Pack 2 Build 3790
2，运行的服务没办法查看,net start运行后无回显,其他命令都正常.

3,扩展映射asp,php,aspx

4,端口

  TCP    0.0.0.0:21             0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       792
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1002           0.0.0.0:0              LISTENING       1836
  TCP    0.0.0.0:1041           0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:1043           0.0.0.0:0              LISTENING       548
  TCP    0.0.0.0:1089           0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:1093           0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:1248           0.0.0.0:0              LISTENING       1696
  TCP    0.0.0.0:2499           0.0.0.0:0              LISTENING       920
  TCP    0.0.0.0:2967           0.0.0.0:0              LISTENING       2036
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       2904
  TCP    0.0.0.0:4899           0.0.0.0:0              LISTENING       1892
  TCP    0.0.0.0:8693           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:13722          0.0.0.0:0              LISTENING       1752
  TCP    0.0.0.0:13724          0.0.0.0:0              LISTENING       1660
  TCP    0.0.0.0:13782          0.0.0.0:0              LISTENING       1660
  TCP    0.0.0.0:13783          0.0.0.0:0              LISTENING       1660
  TCP    127.0.0.1:1042         0.0.0.0:0              LISTENING       1752
  TCP    127.0.0.1:1187         0.0.0.0:0              LISTENING       3332
UDP    0.0.0.0:161            *:*                                    2008
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    548
  UDP    0.0.0.0:1025           *:*                                    864
  UDP    0.0.0.0:1026           *:*                                    864
  UDP    0.0.0.0:1040           *:*                                    2008
  UDP    0.0.0.0:1716           *:*                                    864
  UDP    0.0.0.0:3456           *:*                                    1624
  UDP    0.0.0.0:4500           *:*                                    548
  UDP    127.0.0.1:123          *:*                                    880
  UDP    127.0.0.1:1027         *:*                                    548
  UDP    127.0.0.1:1175         *:*                                    488
  UDP    127.0.0.1:3456         *:*                                    1624
  UDP    208.109.xxx.171:123    *:*                                    880
  UDP    208.109.xxx.171:137    *:*                                    4
  UDP    208.109.xxx.171:138    *:*                                    4
5,当前进程

Image Name                     PID Session Name        Session#    Mem Usage
========================= ======== ================ =========== ============
System Idle Process              0                            0         28 K
System                           4                            0        328 K
smss.exe                       412                            0        452 K
csrss.exe                      460                            0      6,796 K
winlogon.exe                   488                            0     12,580 K
services.exe                   536                            0     36,492 K
lsass.exe                      548                            0     17,320 K
svchost.exe                    724                            0      3,328 K
svchost.exe                    792                            0      4,640 K
svchost.exe                    864                            0      7,112 K
svchost.exe                    880                            0      6,032 K
svchost.exe                    920                            0     50,032 K
ccSetMgr.exe                   976                            0      4,132 K
ccEvtMgr.exe                  1004                            0      3,984 K
SPBBCSvc.exe                  1144                            0      3,792 K
spoolsv.exe                   1308                            0      5,244 K
msdtc.exe                     1332                            0      4,448 K
DefWatch.exe                  1480                            0      5,208 K
svchost.exe                   1508                            0      2,452 K
inetinfo.exe                  1624                            0     63,204 K
bpinetd.exe                   1660                            0      3,892 K
pNSClient.exe                 1696                            0     12,888 K
bpjava-msvc.exe               1752                            0      3,664 K
watchdog.exe                  1808                            0      1,476 K
ProcessMonitorService.exe     1828                            0      3,420 K
python.exe                    1836                            0     21,140 K
svchost.exe                   1880                            0      2,240 K
r_server.exe                  1892                            0      4,796 K
SavRoam.exe                   1916                            0      5,172 K
snmp.exe                      2008                            0      5,708 K
Rtvscan.exe                   2036                            0     69,736 K
svchost.exe                   2352                            0     19,804 K
svchost.exe                   2904                            0      5,148 K
svchost.exe                   2984                            0      4,284 K
alg.exe                       3332                            0      3,212 K
wmiprvse.exe                  3440                            0      5,844 K
logon.scr                     5884                            0      1,928 K
wmiprvse.exe                 15632                            0     10,728 K
cisvc.exe                    22976                            0      4,964 K
cidaemon.exe                 18640                            0        488 K
cidaemon.exe                  9352                            0      2,036 K
w3wp.exe                     30936                            0     43,468 K
w3wp.exe                      2948                            0     39,028 K
w3wp.exe                     23608                            0     35,104 K
cmd.exe                      32564                            0      4,372 K
w3wp.exe                      3856                            0    136,156 K
w3wp.exe                     26008                            0     98,036 K
w3wp.exe                     15408                            0     35,432 K
w3wp.exe                     23720                            0    106,640 K
w3wp.exe                     19584                            0     77,408 K
w3wp.exe                      6020                            0     41,752 K
w3wp.exe                     12252                            0     12,296 K
w3wp.exe                      6852                            0     13,756 K
w3wp.exe                     12028                            0    166,096 K
w3wp.exe                     23772                            0     51,756 K
w3wp.exe                     28468                            0     78,304 K
w3wp.exe                     11524                            0     89,280 K
w3wp.exe                     32308                            0     74,144 K
w3wp.exe                      8740                            0      9,280 K
w3wp.exe                      6920                            0     38,684 K
w3wp.exe                     12832                            0     14,672 K
w3wp.exe                      6896                            0     58,876 K
w3wp.exe                     29808                            0    230,904 K
w3wp.exe                     20932                            0     34,044 K
w3wp.exe                     28836                            0    128,808 K
w3wp.exe                     27636                            0     71,420 K
w3wp.exe                     14332                            0     32,072 K
w3wp.exe                      4700                            0     56,852 K
w3wp.exe                     12156                            0     40,004 K
w3wp.exe                     21636                            0    105,448 K
w3wp.exe                      4928                            0     26,636 K
w3wp.exe                     18000                            0     10,244 K
w3wp.exe                      6780                            0     53,516 K
w3wp.exe                     30764                            0    199,392 K
w3wp.exe                       612                            0     73,648 K
w3wp.exe                      2020                            0     50,384 K
w3wp.exe                      5148                            0    292,428 K
w3wp.exe                      6648                            0     23,736 K
w3wp.exe                      6076                            0     90,388 K
w3wp.exe                     31128                            0     10,904 K
w3wp.exe                     26780                            0     41,088 K
w3wp.exe                     25864                            0     13,488 K
w3wp.exe                     23452                            0     46,068 K
w3wp.exe                     21380                            0     55,420 K
w3wp.exe                     31996                            0     19,628 K
w3wp.exe                      1672                            0      9,132 K
w3wp.exe                     27712                            0     10,408 K
w3wp.exe                     11164                            0     48,024 K
bpbkar32.exe                   292                            0     22,656 K
w3wp.exe                     10700                            0     10,376 K
vssvc.exe                     8452                            0      6,924 K
svchost.exe                   5896                            0      3,872 K
cidaemon.exe                 31904                            0        928 K
w3wp.exe                      2452                            0     10,932 K
w3wp.exe                     11664                            0     13,368 K
w3wp.exe                     18228                            0      8,964 K
w3wp.exe                      4880                            0     16,164 K
w3wp.exe                      5080                            0      8,912 K
w3wp.exe                      6416                            0     13,872 K
cmd.exe                      12408                            0      1,780 K
tasklist.exe                 32276                            0      4,136 K
6,set结果

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APP_POOL_ID=HostingAppPool21_ASPNET2
ClusterLog=C:\WINDOWS\Cluster\cluster.log
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=P3SWH129
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Path=C:\Program Files\VERITAS\NetBackup\bin\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 11, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0f0b
ProgramFiles=C:\Program Files
PROMPT=$P$G
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=d:\temp
TMP=d:\temp
USERPROFILE=C:\Documents and Settings\Default User
windir=C:\WINDOWS
7,当前安装程序

C:\Program Files\ 无权限
这个是开始菜单下的程序列表
accessories
administrative tools
microsoft asp.net 2.0 ajax extensions
Microsoft SOAP Toolkit Version 3
startup
symantec client security
veritas netbackup
winzip
desktop.ini

vincentyip

r_server.exe                  1892                            0      4,796 K
radmin   
找到目录 之后下载它目录里的全部内容 应该有3个注册表文件
之后利用这个http://www.hackerchina.cn/?action=show&id=72
来进行 radmin的密码 破解
Radmin 是一款很不错的服务器管理<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u8F6F_u4EF6";ads.ShowGgAds(this,"_u8F6F_u4EF6",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BWfC9cd7LRurxLJ74sALLlKDUBNjf-Su0-cKFBMCNtwHAixEQAxgDIJmu8QkoFDgBUK7xoIQCYJ2Z34HYBZgBjooBmAG8pAagAZSPzv4DqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xgAIBqQKPxBgicK6BPqgDAQ&num=3&adurl=http://www.linjin.net/cuxiao/crm/&client=ca-pub-5384462698219144");GgKwClickStat("软件","www.linjin.net/","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u8F6F_u4EF6"">软件
无论是 远程桌面控制 还是 文件传输
速度都很快 很方便
这样也形成了 很多<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u670D_u52A1";ads.ShowGgAds(this,"_u670D_u52A1",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BLkJDcd7LRurxLJ74sALLlKDUBKu4jSfXpc7ZA8CNtwHAmgwQBBgEIJmu8QkoFDgBUNmEoHlgnZnfgdgFqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xqQKPxBgicK6BPsgC9_rTAqgDAQ&num=4&adurl=http://smartkeyword.allyes.com/main/adfclick%3Fdb%3Dsmartkeyword%26bid%3D1,180,1%26cid%3D1,0,0%26kv%3Dkvid%7C466579%26show%3Dignore%26url%3Dhttp://inspur.allyes.com/sv/0708 ... ub-5384462698219144");GgKwClickStat("服务","www.inspur.com","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u670D_u52A1"">服务器都装了 radmin这样的<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u7BA1_u7406_u8F6F_u4EF6";ads.ShowGgAds(this,"_u7BA1_u7406_u8F6F_u4EF6",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BWfC9cd7LRurxLJ74sALLlKDUBNjf-Su0-cKFBMCNtwHAixEQAxgDIJmu8QkoFDgBUK7xoIQCYJ2Z34HYBZgBjooBmAG8pAagAZSPzv4DqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xgAIBqQKPxBgicK6BPqgDAQ&num=3&adurl=http://www.linjin.net/cuxiao/crm/&client=ca-pub-5384462698219144");GgKwClickStat("管理软件","www.linjin.net/","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u7BA1_u7406_u8F6F_u4EF6"">管理软件
现在你说 4899默认端口 没密码的 服务器你上哪找?
大家都知道radmin的密码都是32位md5加密后
存放在注册表里的
具体的表键值为 HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\

那在攻陷一台web服务器时 大家 怎么能进一步提权?
如果你说 暴力破解 radmin 密码 呵呵 那也行
只不过 你要有足够的时间 跟精力
我想很少人 花上几星期 几月 甚至几年 去破解那个密码

呵呵 本人最近在朋友哪得到一资料
就是如何 不需要破解 Radmin的密码 就可以进入服务武器
这就叫 密码欺骗   具体是哪位牛人发现 我也不认识 呵呵
只是 我用这个思路 搞定了好多台服务器 哈哈
想知道如何实现吗? 往下看吧
前提条件:
一个webshell     最好有读取注册表的权限
如果不能读取radmin注册表至少wscript.shell组件没删 这样我们可以调用cmd
导出radmin的表值
radmin的注册表值 也就是经过加密的MD5 hash值 是32位哦
比如 radmin的注册表里 密码是这样存放的
port 端口
Parameter   REG_BINARY     1f 19 8c dd ** **   ** ** ** **有16组 每组两个 合起来 就是32位了

工具 :
radmin 控制端
OllyDBG反汇编

首先 先用OllyDBG打开 radmin控制端(客户端)
然后执行 ctrl+f  JMP EAX  
然后按一下F4 再按F8
然后再 右键-查找-所有常量
输入 10325476 (很好记的 反过来就是76543210)
在弹出的窗口中 选择第一行 F2下断
然后F9 运行
这时 你就用radmin连接 你要入侵的服务器
这时 会弹出 叫你输入密码的提示框 不用管 随便输入密码
等你输入完 后 OD也就激活了<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u65AD_u70B9";ads.ShowGgAds(this,"_u65AD_u70B9",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BGKzicd7LRurxLJ74sALLlKDUBKOi8SnXq67hAsCNtwGA8QQQBxgHIJmu8QkoFDgBUIPwgJUDYJ2Z34HYBZgBnYcBmAHohwGYAaqkBpgByKQGqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xqQKPxBgicK6BPsgCo6WVA6gDAQ&num=7&adurl=http://www.ok100.com.cn&client=ca-pub-5384462698219144");GgKwClickStat("断点","www.ok100.com.cn","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u65AD_u70B9"">断点
这时 你要先运行下Ctrl+F9   再往上几行 选中红色的那块 就是刚才下断的地方
再次 按F2 一下 取消断点 然后再按   F8   这时 鼠标往下走 找到
ADD ES,18 这里 按一下F4
这时 你在左下角的 hex 那里 随便找个地方点一下
然后 运行Ctrl+G   在弹出的栏里 输入 [esp]   注意带大括号的
然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值
后按F9 运行看看 哈哈 是不是 搞定拉
这个方法 局限性很小 一般 的webshell都能 查看radmin的注册表
或者利用wscript.shell 导出radmin的密码 就可以进行欺骗了
比起 你暴力破解 不知道要省多少倍......

令我觉得惊讶的就是OD除了能破解软件以外，还能有这方面用途谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

消失再消失
荣誉会员

shirley

呵呵  这个方法是上次和fhod 一起搞冰兰时候发现的  希望对楼主有帮助 ..谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘（图）

b0r3d
晶莹剔透§烈日灼然

PLAN2000

消失啊
radmin提权用过了
没有权限读取密码啊。

windows目录下也没有找到my.ini
帖子34 精华0 积分97 阅读权限40 在线时间17 小时 注册时间2007-3-13 最后登录2008-7-15 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘（图）

消失再消失
荣誉会员

sam_slk

其实并不是读取密码     而是 利用os谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

坏苹果
晶莹剔透§烈日灼然

网飞鸿

可以上传ASPX的马不？
  默认的比ASP马权限高。。。。反其道而行之

帖子11 精华0 积分19 阅读权限40 性别男 在线时间7 小时 注册时间2008-3-26 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

jacksatan
晶莹剔透§烈日灼然

XIELLP

传个aspx马上去

看看能导出radmin注册表不
帖子19 精华0 积分19 阅读权限40 在线时间9 小时 注册时间2008-3-29 最后登录2008-6-21 查看详细资料引用 报告 回复 TOP

境界三
晶莹剔透§烈日灼然

晨曦的男朋友

消失   我代楼主回答你     因为我也有份搞这个站
楼主的意思是 不能导出radmin 在注册表中的值 而且你  根本不能 连它的4899  你这个方法怎么搞？
帖子4 精华0 积分6 阅读权限40 在线时间91 小时 注册时间2007-4-4 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

anki
晶莹剔透§烈日灼然

车大炮

我想问下,你们是用什么查看端口和进程的 ?WS组件在吗?我想应该可以读取进程和端口信息,也应该可以读取注册表吧(我是这么想的),如果真不可以那确实可以传个ASPX马看看了,不知道支不支持,又没有开MYSQL和MSSQL,但是有安装PHP,应该有装的吧,或许改了端口,看来不是那么好提的了,最后看看可以替换服务不,暂时想不出好办法.
帖子34 精华0 积分129 阅读权限40 性别男 在线时间12 小时 注册时间2007-1-25 最后登录2008-5-21 查看详细资料引用 报告 回复 TOP

大漠雪花
就是为了能有知道更多

晶莹剔透§烈日灼然

jencky

感觉用 asp提权应该可以吧，我个人常用的是radmin来做，不过你的这好像不可以

帖子15 精华0 积分154 阅读权限40 来自河北 在线时间12 小时 注册时间2007-9-24 最后登录2008-7-5 查看详细资料引用 报告 回复 TOP

b0r3d
晶莹剔透§烈日灼然

醉鞭名马

不能连接４８９９端口不知道用lcx转发一下可以不，
至于导出注册表,由于没有合适的aspx马还没有试，
下班了，先闪，明天继续。
帖子34 精华0 积分97 阅读权限40 在线时间17 小时 注册时间2007-3-13 最后登录2008-7-15 查看详细资料引用 报告 回复 TOP

境界三
晶莹剔透§烈日灼然

高尔夫1.8t

更正一下错误  楼主说不能导   我测试的时候是能导的 不过最重的是不能连接4899.进程和端口能用上传的cmd 执行 命令查看
php支持    但不能够任何 执行命令 .aspx好象支持  不过我上传了10几个 aspx 马都被杀了
还有的是不能查看启动的服务和安装的路径
帖子4 精华0 积分6 阅读权限40 在线时间91 小时 注册时间2007-4-4 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

消失再消失
荣誉会员

ken2

我说的不是直接读取
你们应该知道 在radmin的目录中安装有3个注册表的文件
  仔细看下我发的文章....谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

独孤依人
荣誉会员

Asker

N久没出来了，为了回这个贴子，还得上下VPN。
1、SHell都有了，在SHELL嗅本机FTP密码结合下社会工程学搞到目标站权限不是难事。
2、WS组件在的话Radmin的加密密码一般情况下都是可以读出来的，至于连接不上，转出来搞或者试试代理出来搞，如果权限允许的情况在转不出来也代理不出来的情况下可以试试停IIS转端口到80，当然条件允许的情况也没有这么复杂了，另注意细节，这里不提了。
3、上不同的木马上去whoami看看自己的是哪个用户，心里也有个数
4、netstat -nab 看看开放端口都是哪些程序占用，百度谷歌EXP站点查找有没有本地溢出漏洞
5、收集密码TEST本地ipc$连接提权
6、粗略的看了下，冒失还支持CGI
7、当然提权的方法还有很多，什么替换服务，autorun,快捷方式等等，时间关系，这里就不细说

回复1楼pt007: 没有root的密码的情况MYSQL还能提权吗（本地溢出不在其内）？更何况相关信息里根本没有MYsql,进程和端口都没有看到，估计是分离了吧，当然有PHP也并不一定要有Mysql.另好像不是所有的站上传PHP马就系统权限了吧.

回复15楼消失再消失:
C:\Program Files\ 无权限
都没权限了，估计就在这里面了，还找毛三个文件。
另“其实并不是读取密码     而是 利用os” 你所指的OS是什么意思，不懂。
顺便THX发现这个方法的Godsun

回复14楼境界三:后门被杀就不知道做下免杀？这已经不是技术的问题了，是你对待技术的态度，当然这和我没有什么关系，就当我多管闲事吧。脚本安全小组：Www.Cnsst.Org MSN:cn557@hotmail.com  我们这帮兄弟，永远的兄弟——We are not the only ones,but we will try to be the best！——All In Script 脚本渗透自用利器开发中……
帖子298 精华12 积分3962 阅读权限100 性别男 在线时间901 小时 注册时间2006-4-22 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

pixy
荣誉会员

s369

为啥我拨韩国服务器都打不开这个站点呀...
我这本地上不了网,只能打电话找朋友开VPN进网站...

EE概括这么多，我想到的是查找有没有本地溢出漏洞和SHELL嗅本机FTP密码..
继续与狼共舞！

帖子395 精华10 积分4278 阅读权限100 性别男 来自China 在线时间284 小时 注册时间2007-1-3 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

消失再消失
荣誉会员

biaofbi

to孤独E人
我打错了 是od  
C:\Program Files\ 没有权限不代表其他的目录就一定锁的死
上次我也认为C:\Program Files\ 这个没权限就找不到注册表
可是在其他的目录伤心的鱼还是找到了....谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

fanjinqiao
晶莹剔透§烈日灼然

dickson

shell下如何嗅探FTP，哪个大侠能指教一下。网上实在找不到
帖子10 精华0 积分38 阅读权限40 在线时间91 小时 注册时间2006-9-10 最后登录2008-7-20 查看详细资料引用 报告 回复 TOP

境界三
晶莹剔透§烈日灼然

jazz

to 独孤依人 ：首先感谢你抽空讨论.可能是我表达的不完整,让你误会了。我是从网上了10几个免杀aspx马传上去的。既然都被杀了，我很奇怪.后来简单大小写转换能传上去，执行命令既然出错。搞不懂什么意思.所以我才这样说的~不过不能从几句不完整的话来判断一个人对技术的态度的？对吧。不过谢谢你以严谨的学习态度给我的一个提醒.！！针对你的思路我提一下想法，

1 2003在shell下嗅探我没有搞过。所以不知道方法行不行，工具也没有.（能共享方法?）
2 没有权限转端口.
3 其他方法有试过 也有没有试过的 下面是我测试过的情况

(一)php aspx 既支持也不支持,怎么说呢 命令执行都出错（简单命令）,还有马的功能有一大部分没有用,(如php传上去，在根目录既然一个文件都看不到,本来这个目录是有很多文件的。而且测试过几个php马，一样情况).cgi pl 马因为没有，所以先不讨论.
(二) whoami 出现一个用户 然后通过net user命令查看既然没有这个用户,奇怪~~？
(三) 上传过一写小工具，nc lcx等的 都没有执行权限.
(四)测试过ms0825和诺顿溢出，失败。查看一下补丁，打的很勤.
(五)几个盘的根目录没有查看权限。能跳的目录也很少. (如跳C:\Program Files\  根本不行.)Workstation关闭了 在webshll下不能查看启动的服务和对应的文件路径.
(六) access的数据库. 还有通过注册表搞到很多目录，但都不能上传..所以替换不了服务的.
帖子4 精华0 积分6 阅读权限40 在线时间91 小时 注册时间2007-4-4 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

cr4kb0y
晶莹剔透§烈日灼然