返回列表 发帖

[原创文章] 对某华侨大学的一次渗透。

先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。0 G  @2 g0 t4 y# i  F! x
. L) z5 z5 G5 t$ a0 W6 C* p; G" ~
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
; u6 h" P8 R6 q: S5 R6 N- K5 s3 c
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
  s( s8 B* l, n/ E  ?- i& [. |4 S, M, ^
群里丢出一个地址,进去看了下,asp的站。
7 d1 m4 g: O+ e) O1 k, B
# A, w2 X* b" V& Q很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。  很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX  inurl:asp?  发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页   还有很多,都试了,都做了防注入。。
8 i+ W5 A" S; T+ f* W" p3 ?9 U& A, Z
9 Q. F- E. j$ w
7 X7 x% A9 ^; E  }

  k8 ^+ E+ |/ g: I
/ Z' ~1 S, r: U9 E+ T* B0 V) }* W开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。6 K; ~' R1 R- P0 l5 d
5 Z# P8 x- m4 I3 V& c, r/ Q1 I
5 k- U, E# r/ d+ I. A
7 m# N; ~$ F# a$ L6 G  M- e% F8 D
看到没?/ewebeditor/UploadFile/20094294623829.doc   嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然  ewebeditor/Admin_Login.asp 进入了登入后台- u' g1 D$ g8 W$ V8 ~% D, [
* W& c- s) u' ]' a
# e: j. I- z7 Y' v
9 w  i# D( V7 f6 j4 S+ q
输入admin   admin  提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor  我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
! g7 X1 ]$ E/ v5 B, N0 p& c2 H
% |- h: x3 V" I) M6 `2 D4 t: Q9 C( }% O
! x9 s4 A0 {8 G6 ?, a
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
# F- n" [# F+ @5 r- q+ {5 J0 R& k& K1 [$ ^0 |5 [, e  Y) X
  [. d5 A  T# a( W  a6 E

# A- O# B4 t# B) R5 [但是,能浏览所有盘。
2 y0 w' _5 [# ]2 d2 j1 k) }C:磁盘信息
4 Z; j6 s# k2 B" ~3 F2 x# B5 f& R3 W6 z2 p: N, A, ~$ N* \
磁盘分区类型:NTFS
, i: w2 x2 ]1 {' B" P磁盘序列号:-1265887598
  S# M% O2 u( ?+ _* ]磁盘共享名:7 v: I. l- e: h1 g2 R
磁盘总容量:107310 t$ N2 q% o8 A/ f
磁盘卷名:
& v! P$ T/ T4 {' p5 W) R* r( W磁盘根目录:C:\ 可读,不可写。
0 J! A) I7 w4 @3 l' f) q文件夹:C:\Config.Msi 可读,可写。
0 Q6 Y3 w3 h8 p% x. q; V文件夹:C:\Documents and Settings 可读,可写。
) q  G5 n$ [9 J) b  E# u文件夹:C:\Program Files 可读,可写。1 Q, ^6 W3 Q  F6 d  c5 _% f9 c
文件夹:C:\RECYCLER 可读,可写。. r% e8 m' S; S0 v7 [5 R
文件夹:C:\System Volume Information 可读,可写。
' H# |2 b! B! Y" ?- M- c: o文件夹:C:\WINDOWS 可读,可写。! ]+ P, a6 j$ R" `( g, }
文件夹:C:\wmpub 可读,可写。
# Q5 a7 H# ~5 H7 U' X注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
- W4 c8 Y6 Z# Y2 }, l; E5 s4 [! F+ ~( I0 C
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。+ J: G3 D) z) o) c! B6 x: r! k. [

1 t, w5 Q- t- `- H, a" S; e- h哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
! J) G0 }0 W5 F8 l( L* ]/ V
# Y. n' ~3 m. G1 Q8 w5 H9 M4 v# C: @! X6 ?& ~
; N$ s2 B- `3 A' [

% T+ e+ X' m/ o- i
" @3 Z) d$ a2 o; C没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。- T/ X9 }- X2 G" y% o* ~3 ]
1 }2 [7 y( K0 v/ H9 ?8 y/ h& q
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?# [) T) n& V; m8 `0 k& n( `6 B- b

: [: a/ d& [& q4 G最蠢的方式,爆力破解密码。
! v' D- }) t/ P  Z0 w8 C2 j
$ J' I, v  F7 V5 z- n3 j找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。& j' E/ ^% I, b5 i0 p) W% q0 `  T
0 n% p9 i8 q& T0 E( f! y
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)3 p% _( @; M' i

8 i( y  j6 D' G/ i  B最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
7 b) @: Y( W1 X8 C* u' K
$ m5 \$ ^( S  z0 W哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?/ U1 ]8 ~" M1 m/ B6 W. t0 \2 x( x# t& a, h

" o) K6 k; H7 U3 D% c4 [$ j找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
3 _3 G, ~& A6 C5 f
1 p' ^7 ^. H% s* Y3 C; D/ p% T: X# `- y8 e

, D8 k+ P4 w0 G4 D! _  Y. r! o6 t' P3 x/ g! d( A+ N

# O" @0 L& y' ^5 e, V; u( M% X5 a3 z6 u$ z( G1 R. U! h: J) C
1 D! s7 P, p! N; Y
- y* [/ X( C: e& i

- J$ R' c1 n% G# [/ D) F 赶紧的,FTP提权。先进下FTP,试下效果。9 v% [' f7 Y( \* G! j- U

0 M5 ?; N% L0 v- p) z6 _ftp> quote site exec net user hackbkk 123456 /add
/ v4 F' @! t0 K) Y& Z7 ~421 No-transfer-time exceeded. Closing control connection.3 A' ^+ H  P* j" s( a. r
Connection closed by remote host.
9 g; _% J! G7 [# K, X9 Vftp>0 v; b9 A1 {6 S6 V; Z
* T5 `- M# f' t+ X
对喔。。咱们没东西,把 cmd.exe    net.exe    ftp.exe  全都上传到C:\wmpub\下.; S6 v* K" }% i7 j4 d5 [  K

4 d! B6 P/ ?/ H) a9 p- ]可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!; P* |4 J; t( w+ X3 V3 b
3 J( D+ {8 D3 u0 J" k
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:& A/ Y) c# b# M
3 ~9 {8 ?0 }7 s( ]; ~7 P; ]

" ?0 E; D2 y" y% I$ v% Z又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
( e; U" Q0 ^9 e这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
8 k: `7 n7 e7 h8 I估计是组件被关闭了!
7 `7 T+ D+ n8 i* s- d转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
# M. p$ G* Z) [9 R  d' m" f( j2 f: r2 Q9 O# X; ~9 p7 s6 |/ ^" j

% {" t5 U) h9 U1 D: t) D$ [0 e% I+ i8 z. s
9 L! ?7 Q( ~- N7 c, _" G
于是开始找开启语句,对mssql的玩的少,不是太熟悉!2 l! ]1 O" ?' b$ s7 z6 R# D- J. P
后来二少给我了语句,便去继续日之!& w1 \$ h  i2 v9 g4 u5 k+ Y
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;   " m" |+ d1 T& z' r
1为开启,0则为关闭!
+ {, J2 q5 A7 u+ Q7 F然后执行
. k& T' g1 }$ J+ U$ Y5 v6 Z2 lEXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
* x; D! a( |9 N9 Y即可!+ D' q  l8 z" ~2 i, V4 \" X
回过头去看看,发现用户已经成功添加上了!
( l9 d- p2 Q7 J
8 H+ }& ?) C7 m" ~4 k
3 F2 B, J) C1 N, e( o6 Z* L我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码  123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
; j% f- X% f, f5 v7 a; t
7 @! E% \7 }. t我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
% r# a4 N- n. ~- ]4 R5 [$ }# k/ `. T7 M  `* m: @" v- i5 [
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
3 e( m$ P$ K0 v! W  a  l# L, s6 A, {5 [5 G; ~
难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!2 z& N5 K" I& K5 Y8 m  V
/ `4 p) ]! ^' V# L* e
可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
; V& C8 s# |/ t" H, \: B5 D
% \4 D3 O+ x7 E0 S后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
2 V( M3 I  ^4 c9 |1 N! a6 P3 r4 s0 @; t  z0 M3 m. e
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!
& [/ I# @2 `5 Y# \0 }) ~' }
& H/ A+ a9 L* u6 c/ P, ]2 zoh , shit !!  到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。* k8 Y0 z1 C2 e0 E* m

5 _, c7 n; w- @, x. `4 F最后拿下服务器。
3 U5 _! J5 I1 l9 ^' w" N: C* A$ `7 |' J% {3 H, A
7 ~& C0 W, |1 U( o6 H! O3 ?  }  [
0 t- K! v+ O$ n3 q4 f
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
  W7 Y( W$ j; t# R9 k. {
/ u* j9 K* {( ]: n呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
2

评分人数

  • 超超

  • Ksnort

我  到是有个办法, 你挂个黑页,黑页上写明:BKK为了你们本站做了友情检测,请尽快修复漏洞,另外追踪我IP没用,因此这个IP我是用代理的!

TOP

太厉害了 可是我没看懂

TOP

本帖最后由 saitojie 于 2009-6-10 17:12 编辑
) q" D  |1 ~  h$ Y1 X8 p) n4 |. S7 d% {
# n$ U% M" E2 {. K
/ G  j5 b; \$ Y于是开始找开启语句,对mssql的玩的少,不是太熟悉!
/ V+ [# _. Y) Y后来二少给我了语句,便去继续日之
6 h  G5 y5 h! j2 C* mEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;& d* E; ?" b8 h' b$ j
1为开启,0则为关闭!$ M7 j; g  }6 [1 h% [# i8 w1 p1 ~
然后执行
$ O2 t" C# l4 k" F; o' o) sEXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'# g7 R  n0 F: a
即可! W; W9 ^7 L+ u  v) i! o, ]
回过头去看看,发现用户已经成功添加上了!
0 n# t' G" z6 V! B4 |; P7 ]; \1 \4 o
0 p0 u. D: N2 `# g
我就不明白BKK了,这个地方,你都已经加上用户了,为什么不直接加入到管理组里面,连接服务器的3389呢,为什么还要去下他的SAM,还用LC5去爆力破解呢!~~~~不明白!~~~" l% a# s1 ~& D' ~
EXEC [master].[dbo].[xp_cmdshell] 'net localgroup administrators username /add',难道是因为他的3389做了登陆用户的限制?
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

顶!!!!!!
男人

TOP

看看啦!!!!!
男人

TOP

后悔上学时没好好学习天天向上了

TOP

谢谢楼主分享技术

TOP

返回列表