|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。8 ~4 B! i: ~$ n+ {
$ N) S! j" [$ C" @6 k* A4 @很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
9 ]* R5 p" d, x+ {& c# b: L# ?
0 {6 o# w, ]5 o) a哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
, i& w2 C6 Q4 B# j
! [5 @/ f8 i) v6 E群里丢出一个地址,进去看了下,asp的站。
, Q5 M. @' l& U# c( j
) G4 C( I7 I; x# ?: l9 o很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
* E6 s- a* T8 W4 m: w2 S- M+ }5 y1 j
* s8 X9 l+ V. S
- P3 U" o; [; k; ^+ W; K; x: g9 d
+ a$ E% l) D+ P7 V3 e / Y- o) V, L* d$ z
! Y# M" A g- u4 U7 Q$ a
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。2 ^0 I' z* U$ m, ]9 a" X
# F2 Q( \9 `8 f$ s) r* W8 E# O. D1 P- d3 F3 ~0 d
" v7 U( z- T, k7 P# g看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台- z- [. o6 y$ V2 E' v$ ]
3 P+ E# J8 q) F; o% W
/ h' _4 v: Q' Y+ v% r7 @" R" ~- q5 J% X# H+ n6 f+ q$ S
输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
3 m0 c( v! @9 m! ^! w- G9 _& _5 Y; n$ y" u" _
q: \: @+ v: g9 s. {) @
' X) h; p1 E% e# a查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。2 f1 s4 X: N% Q+ n! O; K
' W w( M4 X+ S7 ^- G, p
* b8 C* d- J# Z/ V: D f* V8 h
0 m1 F% w3 n# y; {但是,能浏览所有盘。
4 X; R, E0 o; h! EC:磁盘信息 6 F6 G5 } c% S6 `3 ?
( @% _, P7 y( g
磁盘分区类型:NTFS* }. l0 s& @6 Z! X6 b* g
磁盘序列号:-1265887598
, U A& L6 E; l, P磁盘共享名:2 u" R" B9 l; j) g) d. p* X
磁盘总容量:10731
6 m9 B9 P- z4 E% n# ~磁盘卷名:
4 d$ X! w8 @- ]. X' V1 W. O磁盘根目录:C:\ 可读,不可写。' {, ?8 T' y- {0 }& N* g
文件夹:C:\Config.Msi 可读,可写。5 `0 S) c; `6 `% K
文件夹:C:\Documents and Settings 可读,可写。! Q! m) g ?$ b+ v
文件夹:C:\Program Files 可读,可写。/ I1 j; p+ L3 e% {
文件夹:C:\RECYCLER 可读,可写。
" E3 X0 e9 R. p/ \5 v文件夹:C:\System Volume Information 可读,可写。5 u5 W( |7 x( \- s J! k) E2 N
文件夹:C:\WINDOWS 可读,可写。
5 w2 t# N. \9 y: c/ H文件夹:C:\wmpub 可读,可写。, }+ [/ g0 u* i
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
8 K! L: o; Q, c! B- n! ?4 x$ i2 q8 m1 o% @
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。; E1 N7 i2 [( Q9 L' X
& `3 O8 w) V1 T7 S6 h
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。& z; L4 H V9 `/ y+ R5 Y' }
- D( v Y: w/ M1 s% F7 C; B+ ^& A3 y+ E. s
6 m* a$ j* b4 j5 @ v! C" u C$ v* e& X
, n2 [9 H$ k3 K- E2 d
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
7 {# P" [& [. D- U* U1 r0 v7 B' s9 t! g: U8 j {2 j: n0 o
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?6 [* X2 [, H- O% g; [3 E
. Y v" Q" ?$ I0 ?# @+ K( l
最蠢的方式,爆力破解密码。
8 j. \) J/ ], {1 W; I; W" [6 F& `0 |: l; D2 J* `( b
找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。3 M$ G: O, l, f( _4 i. ?
# x& {/ W; C% `; [& u' Q
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)0 o3 L7 _. @2 w2 C
( ~, N) M1 `6 x' m' W2 Y7 b, p
最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。: a% \& k$ Y' W; i' S. c* k, R
- y1 m* G! \6 J) Q7 w+ {
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?- m/ S" k7 r' `7 B) B& B( U/ _; V
! c$ d$ r9 q( ]6 [( J' u
找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
c) k! y& f3 ^: R3 h
" ?# w8 P" C$ |1 o0 ]5 a2 O1 s G0 H# N1 H+ W5 G5 f3 I0 K/ b8 w
) H8 o; s" H' N
( x" H2 u* a) m1 V0 D0 {
_ R! J' B8 ?* }2 k
- K# Z- g% a. f# T8 M& ?. S* _% U% m3 }) [7 C& A
5 G9 X$ h6 l9 ?1 Z3 ~( _2 @% {" P/ [9 Q1 O1 p. ^
赶紧的,FTP提权。先进下FTP,试下效果。
4 G: x3 i; u: |4 T$ g7 i) K
* Z: B/ \8 \, v' k: k. Vftp> quote site exec net user hackbkk 123456 /add
; p# R0 q. K `4 w421 No-transfer-time exceeded. Closing control connection.* W6 G1 N% g- L2 G
Connection closed by remote host.
' a0 S! Q! Y& v+ d/ s# o3 Sftp>) \3 s; M$ P/ T9 l4 V7 T+ H5 J4 i
" }, H& q' g# m u( ?) S
对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
' D( a/ Q' G4 a4 w! K( }) C( O% k3 T6 w+ k2 ?
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!
* ^/ |4 w ]+ P
4 r& E' A- \; t |" F+ v3 R于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
0 c" i0 _" ^, N! W
- q7 n9 E- a8 X2 b+ F. m' j- u4 e w( k4 o8 a1 K% a
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
7 b! v6 z' v; \8 E: l* ?这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
$ z/ ^$ i# ?( ]! a估计是组件被关闭了!
, H; q2 {+ G- r" P8 G6 E转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=382649 a4 C; {. W' E$ m# Q
+ G8 `" t) U+ L) B' l
t8 }) b) {- `
- Q$ f9 I8 t, C& `$ A8 z9 e" W. Z# Z: g* L
于是开始找开启语句,对mssql的玩的少,不是太熟悉!3 N! \7 ?; M% j
后来二少给我了语句,便去继续日之!
" [- c( C$ O- a" b+ qEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; % b% ^5 G! B, I1 b
1为开启,0则为关闭!
5 ]8 D& {+ c7 M' n( g0 u+ l然后执行5 ^% R' [- C7 `
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'* C& h% ?! V6 _
即可!
3 S4 n& J( S; v! S回过头去看看,发现用户已经成功添加上了!- I5 N- A, Z8 D8 |
P; J2 q0 j9 v6 ?. A" E, `! N1 v
! ~8 X, l$ v! V1 a我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
5 {# q8 S6 j! Z# [" G' b& z
! |& o$ L/ G- y. q# z" x我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
|2 A9 t& ^: c& Y5 O0 G! i6 M, V6 ]/ }+ i
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。5 w2 q5 z, o) R8 E: B& t5 h
% E& `- b3 m, B# E5 @' U* D+ h
难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!& L* V2 Y0 [% T, F( N* I; W
3 W' M! z; d! G可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
[( o; n/ i4 ]% `" a b" { |: L$ v2 W; `6 U0 u- X! T
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
7 J$ B& D7 ]6 @" v# y5 b! F; w0 a# X6 K7 S$ d
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!$ w2 ?& u7 {- H; _
6 K# i# n8 Z/ x1 Z1 e3 \; ~
oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。0 C* k. i; C4 ]$ p" K! R& \
% J5 X j) ~: y! I: j
最后拿下服务器。* w. Z- T% @1 D8 b/ |1 M' O
( y G f( s5 e
, `1 e5 ^; K% j' [1 H
& j9 X- @6 v# |8 s2 z
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。- ?1 n. r: [& V: T, d$ `- {
5 J* R+ M8 {. V: m# O- T
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 