|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。
* u4 p* J# Q+ B6 M" H# n f: {) E: e$ I; J- T3 Y$ A
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
+ h8 R! l& q. [7 T/ [4 D/ b2 Y# b
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
, K( P6 k$ G a" P& D6 w+ ?' l G; K+ J0 g/ K- c3 d2 I
群里丢出一个地址,进去看了下,asp的站。 `# ?- J% F( N% ?
5 w) A' f- N+ t, O很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
& e1 V8 \4 V( I7 S2 r$ P1 U7 a. _
. p( A2 T, y' O; O$ f; ?
! p0 R# d5 H% t( i; g8 g d$ `! ? # T# V& y( V2 F# J3 U
' ?/ n( |1 g) o0 B. b2 @& g开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。9 J1 s2 D1 w" ~+ U4 v
- V8 ^$ K- R2 t" Z8 S) L6 O9 J' O2 r+ O
. V7 N: I# F* q) Y2 {看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台
/ V- m- g: H8 {# W9 \! S8 N9 Y K) N* P1 |, x4 G
: Z/ I" C' y% d: ~; e3 I
( O o' y# z' t( v. G输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
7 j& o. r3 }6 z3 q9 }. c5 r6 E! X3 ^: F* Q3 p+ v" ~; I; [: o
" Z; ~' b4 ^( B. F4 n; j7 z: f/ ^9 B6 B1 k
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。! H1 s+ l; Z" e
' W$ r& R- @" E2 t6 N$ l5 M/ ~- b# O+ K& ^4 O+ x
. P/ _9 h9 F2 C! y9 t1 @7 u但是,能浏览所有盘。
& f7 j8 S& K0 q B& [C:磁盘信息
& O, y9 Q$ A3 ]8 @4 I+ E u& ^8 ], K9 z& f* Y! o
磁盘分区类型:NTFS
V# C% }* n4 v& w: s- a" S+ h磁盘序列号:-1265887598
/ h5 j7 \% |* ]# m T% H磁盘共享名:; Z9 b6 j. L! E
磁盘总容量:10731
6 E, F( g( J: W G1 Q m磁盘卷名:% i. z! L! w4 H A
磁盘根目录:C:\ 可读,不可写。; x& U8 x3 n1 i( _/ ~
文件夹:C:\Config.Msi 可读,可写。
) Q2 p4 X, z/ o4 F# N) p文件夹:C:\Documents and Settings 可读,可写。
) c$ E# t$ v6 l$ }# X. g9 h) B6 q文件夹:C:\Program Files 可读,可写。
* j" y; B" H+ {/ q文件夹:C:\RECYCLER 可读,可写。
0 c$ H( P' P+ R( H+ d; m+ {' ?文件夹:C:\System Volume Information 可读,可写。
9 `7 @% V" D( o$ Y: A文件夹:C:\WINDOWS 可读,可写。) j2 O: J0 X; Q2 X& r
文件夹:C:\wmpub 可读,可写。
& X% i; j( E/ }( ~. f# E注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!. @9 ? ~# I; ^) _. u
) @1 G) F- w$ G+ k6 P
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。
' `# z# C' E% n* i+ y1 m+ K; t
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。$ z3 r j8 }+ {1 f
/ N$ p& ]7 T2 k/ s: s
7 u4 z/ i/ o9 m* ?$ p, N" N. @4 L. X0 J" b& M T; _! c* ]% p! |
$ B( R* ]$ M" Z9 h& M7 y" ~
& B0 b9 t% o9 |. u) Z% r) D
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
M5 Y4 N$ B( P" u
; } n! }: N: `) N; hperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?, V* a% j( |' U3 [/ l
* i/ W7 `/ Q; `: U' u; x
最蠢的方式,爆力破解密码。+ _) ?0 @0 T( R/ t* L9 D
1 B2 Y4 W% D0 q# b找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。0 r' ]) U5 m8 @
3 ~1 u0 j: K! ?3 x h! m2 h可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
5 g7 a0 ~- U6 K0 t( H# j( P! S" e- S" ~9 |
最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
$ B8 e+ u; ^) g, s$ ]5 t; w) D; K# Y& f t) B" p! T8 r
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
+ g7 _! _5 f$ {- M) U
6 a7 y, u/ u" e1 G找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
, \4 L* C0 S: q( e. r6 y& C$ G
5 ?+ m) t" V( N5 H
* X1 I1 r+ v9 ^7 w _+ o4 ~* D
1 n4 I$ C8 M$ \" e/ g! P, b. U
4 Q# u) v( L( }4 [5 J, n# [4 t9 _1 C( h, o( L: @% C% g8 m
0 c" Y, l/ @$ f) I/ Z
# N+ l" K6 j! n( F2 V% y
+ l" E& o1 H/ a7 Q( i8 [+ O, _: K
1 s- p4 j3 r/ B, A# [( m 赶紧的,FTP提权。先进下FTP,试下效果。
! ~2 ~, j/ }0 v( E; z
( N8 O9 ]' x0 T3 ^ftp> quote site exec net user hackbkk 123456 /add, M; h# c3 P4 ] b" K$ b# D) m7 ~
421 No-transfer-time exceeded. Closing control connection.
, P. h4 w% `+ O, n% VConnection closed by remote host.) D- p# `8 {8 I: h9 X, F
ftp>: T2 b& U1 _$ l
[2 m/ v9 U W& l) K- l& z对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
- y6 V7 U; D: R0 o
1 u& k9 G& C! T' |可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!, B, A5 ]5 F/ _' I" _& }$ W
. F8 l$ S" H: w) E3 P
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
! N& P/ T' }5 i9 P2 W0 D
+ {9 p0 `! ] a j7 I$ ]( f1 U7 h' Y+ X. v j* a6 F1 ]
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
( v6 u3 R. e+ m; L; T z这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
- X& g! H9 L0 G! Q+ I6 n- N' f估计是组件被关闭了! % z( l% Z7 o0 l* e8 e* g4 A
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264+ r9 T/ p" w' k, ~8 Q
+ H9 t2 ?# p( z1 ?2 P5 p
' I) [1 P' b# C \9 h$ Z% ~/ r# D5 h/ A
1 t: ^4 N* _3 v& I) R于是开始找开启语句,对mssql的玩的少,不是太熟悉!
6 Y/ e) \+ X+ R6 K后来二少给我了语句,便去继续日之!9 ]6 w2 }* b& O0 {5 w, r
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; . r- i6 M/ x2 s1 K0 k1 X8 H
1为开启,0则为关闭!6 v) E: Z! G8 B* T5 h% _6 m7 |
然后执行4 e2 z# Y8 S3 q
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'+ O' I- ]. x- x t8 P
即可!7 I w0 h, Z; k& M9 b2 J2 N/ R
回过头去看看,发现用户已经成功添加上了!1 m) ?' c$ F* b, V
" j3 U. Z9 C" P2 p& `8 _, {% V
9 y- ]9 w( W. n/ t3 j我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
& L' [+ o1 w! i O8 M7 y6 A: Y/ D, N" e2 z
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。; U C2 A; i# k/ \- f
5 E0 t9 _9 l5 n
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
, u8 w% @( B9 B/ z+ `1 P
% e+ j3 k- m2 y难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!8 s- b) C+ j& y0 Y* b# ^- L2 Y' ?
5 D' b3 m- S2 {
可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。& V; u6 b8 U' Y+ ^9 o0 j
! f: z- _8 e5 o
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
+ r, l% K7 @' c
# M' N3 _, c l: N跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!' H6 Q2 B! }$ ?: R/ }* a: n
+ _% T: C! V! h" b0 U s8 I
oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
6 j7 [" j0 l1 e% R5 @( Y1 w. ]) Y
N- H! c. i' p& j( Y4 t最后拿下服务器。
3 i5 l, n$ O1 g7 B5 b* ?' s& J
4 N0 R6 v' V) Q, n4 f; p! |, a0 `, Y) R6 z4 A) ~/ f4 ~7 B0 s* C
- j3 t. n/ I! [! d# _' p, G
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
& P- p1 s/ z; ~7 j4 k9 s* Z3 L
+ o0 W. t; v6 J6 h8 h" }' `/ A呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 