[原创文章] 【原创】入侵"中国侵权网",直捣黄龙 黄龙, 侵权, 中国, quot, 直捣

hyrz

8 m, n! l$ l6 d' s/ c& m8 i7 g3 l5 {0 D( o1 b
转载请注明作者，上次发的原创被人给改了。汗~断肠不认人了，现在那篇文章好多都被收录了。
" [! b! d3 Y; I0 ^2 o& N===================================================================
0 k; y8 X" z  v5 [在这里说点儿题外话:
9 J$ t. S9 {. p0 @) k6 O+ D  I; u0 K7 J& o( |9 n# O& U
作者:HYrz
' }. X/ T! X' h出自地址: http://www.3ast.com.cn/viewthread.php?tid=14949&fromuid=12889
& k7 s. \9 B1 H- \ ) _" f7 Y$ q- Z. f- k7 L
! h$ _1 D6 @6 X" D, ^* q
        今天本来心情就很差，都是MM惹的祸~哎~在她网站留了个后门，告诉她oday后，还没过2天她就问我是不是网站漏洞补没补，我说补了，过了一会儿她又说我是怎么进来的。碍于面子,只好给她说出了后门的事。。。然后我告诉她你想删就删吧，果然还真删了~呼.废话又多了,开始吧。。。, f* J$ J/ O; i. H5 k
9 s/ b2 K' G6 _# r
1 c( |+ ?- N$ T% B9 t& Q8 J- g; K/ d
: P" C# k/ Z. N5 `5 K" }

, d) |  M, T3 O* u% a; t& A* |) @( Y/ E0 g

* r1 t/ P+ a5 r2 T& l& \5 H
9 e$ W2 ~; e: C5 P! U1 j- m- Y开头:
, O4 a- w% r# \) r1 q7 H
- `' ^# Y: C  x4 R/ o# [5 ~1 \( X) t       看着郁闷，只好找找事情解解气。哈哈~我一般都喜欢检测人家的站点，小菜啊！每次都是那么的失败。经常有人会这样说:"不懂爱玩，玩也不懂",听起这句话个人也蛮有意见的，嘎嘎~好了废话太多了。. _" e8 c' |- ?  s
9 c6 i/ P* M5 f9 V* p1 R% S2 Y& Y
     在手工检测的时候碰到了一些注入点，但是利用不怎么大，不是猜不到表就是一大堆的ACCESS，挺麻烦的。在检测到“中国侵权网”的时候，本来我是忽略的，以为这个站太死了，进了后台尝试了一些常用密码也不行。手工完后面几个站的时候，用着好奇心去再次去看看那个站点！拿这啊D轮流的扫网站存在的目录，哈哈~这次果然不出所料，直接把数据库给扫到了(这是一种巧合，在其它站点的时候就没有这么后运气了。能看的就往下看)，用迅雷测试了下可以下载。用明小子打开ACCESS数据库文件，找到了登陆密码。由于密码是MD5加密的，只有去www.xmd5.com解密，密码设置的很简单，放到框里直接给输出来了~哈哈，这次离拿webshell虽然还有很长的距离，但是有希望啊！拿着密码直接找到后台登陆，因为有2个口令，试第一个口令时提示密码错误~怎么搞得啊？数据库密码都不正确。。。试第二个密码成功进入后台，嘎嘎~8 ^! K: I/ l  G+ C7 ^
4 X7 H/ T0 j$ }' N5 a

1 a' Z+ x# G. J/ V
& a8 ]! Y: W4 w& X5 x! J7 x; {: ]2 q( ~' R  W3 W8 R6 E6 ~

; R7 @. W9 R$ ^/ [: M6 l) \ ! @& z% Y- i. f, ]/ K

4 D  R5 o( t: z" r6 P获取Webshell历程
' m! n2 s) {3 A5 B; |) |$ D
; i7 k' {- V+ \- ]  r$ p# Y
$ h( a1 Z& @" j9 P, q& d. z
) p2 w4 f- ]; W. m& {# C7 g        后台相当简陋，不过有上传的地方也就有可能。这次是MDB格式的数据库，如果是asp后缀的就可以一句话了。打开“信息”，看到了熟悉的Ewebeditor编辑器，能不能直接获取webshell呢？打开本页源码，找到ewebeditor路径，再加入后台地址，提示无法找到此页。唔~~怎么办。。。再在地址栏eweb路径后面加上/db/ewebeditor.asp,提示无法找到，再次输入ewebeditor.mdb,可爱的下载出现了，但是也没太大用处，用明小子看了下样式表有没有人添加过asp上传类型，但都是保持默认的，没办法了吗？继续，看了下eweb后台密码，md5加密无法解出,碰到了强大的密码了，此社工思路放弃。
* V, P: h1 M/ s3 B5 Y: B) M" ~/ m' @! ~$ ^/ n: k
         当在后台转来转去的时候我再次把目标放在上传上，不过据我了解这种上传好像不存在漏洞。。。只要有一丝希望，绝对不放弃！) i1 o" _1 |# W4 L/ u" z
' c$ M7 H7 S- c" r9 d

/ X3 Y1 T% G. C7 n* q' c- m. V( O) M2 W6 y
, O/ b, [9 `) A" X

1 L  j9 L* B$ e1 R$ Z3 T
" V0 F' E/ O$ X# c( Q# f
7 Y& F  _( @7 U& S( k
% S- n2 k, l' ^& i/ s" A/ o# a& J$ ~# `5 s% C- s  g* [4 _
我打开抓包工具WSockExpert抓到相应的Cookies，用明小子上传~(因为我是事后才写这篇文章的，具体抓包我还是没有截图,我已经补了~只好用文字来详细说下),添相应的Cookies上传提示上传成功，但还是gif格式的，难道又耍我一次？今天已经被耍了诶，个人的习惯----只要一些事情认为可能失败了，总会还在这个问题上徘徊。。。当我把上传漏洞调为“动感购物商城”上传漏洞，再按上传奇迹发生了~哈哈，具体的漏洞原理大家可以去看看，毕竟本人的学习asp不久，我也不敢说什么。只要大家能灵活运用思路就行了。上传成功得到站点webshell，开始还不相信呢~因为太突然了，大脑没反应过来~看来我还真得研究研究这个洞洞的原理。。。人品爆出~哈哈
0 h7 s; s3 Z; |, Y( z$ j
4 X$ V$ Z1 R3 ~' V, S1 R* _. ^
# Z4 ~" G+ g* w1 U7 \
% `6 R0 |2 Q. T$ i  C' ?$ g提权之路:
' y" B- p7 s* `/ o, R
# A8 l! x; ^7 \4 U6 k        写到这里我的手都痛了，唔~我很脆弱了，我要锻炼锻炼。。。今天都摸键盘数时了。。。既然提到了webshell，那提权的野心当然有。反查了下IP显示只有一个站，看来希望再次提升！依我小小的经验，一般站点越小的服务器提权也较容易，不要模仿啊~想提权细心是不能少的。现在既然进来了就得修补漏洞了。。。数据库，防注入加强。。。样样齐备，就剩个上传漏洞，写到这里我还没想过呢~嘿嘿！不过既然数据库也改了，防注入也强了，俺也不是站长咯，我还是就补到这，说实在的动感商城的和动力的有什么地方不同都不知道。没有研究。。。继续吧，我有个习惯，只要自己想提权的服务器我都要用webshell扫描下存在的端口，有人说webshell扫描不好，但是我不这么认为，有的端口你用扫描工具是扫描不到的，往往只能扫个80之类的。
) d! }$ _7 n5 a' {" Z4 K
2 `  o: W( z7 Y0 Q  k扫描到的端口如下:9 m7 C$ j/ H$ \& d" C+ t& W

. G6 A! t; Q8 g3 f. R127.0.0.1:21.........开放 //这个希望很小
1 m* v! J- g7 K, k9 p( X127.0.0.1:23.........关闭) B' ~& s( }+ R4 O- Q: R/ W
127.0.0.1:53.........关闭
$ l; m5 {5 Z0 R9 }127.0.0.1:1433.........开放 //可以尝试查找mssql数据库密码，但此服务器只有一个站，用的是access。此方法暂时放下。) z1 M4 t: z" V9 A' z* r  k
127.0.0.1:3306.........关闭
/ X; O; Y8 K- I# ~8 G0 L* L. s. w( e127.0.0.1:3389.........开放//登陆终端，为提权敞开便利之门! S! X8 z  o. R$ w6 U6 A2 c& }
127.0.0.1:4899.........关闭
9 {! `' o# ^3 H127.0.0.1:5631.........开放 //此端口注意了，提权成功99成啊
% f$ L/ h- {6 f6 Q' ?9 i' c127.0.0.1:5632.........关闭( n8 y! \8 d! l7 u. A# k
127.0.0.1:5800.........关闭
3 S' x1 ]7 H: A. w" Q127.0.0.1:5900.........开放 //mysql提权更不用说了,放弃。$ C0 d% s3 Y, A2 w" U
127.0.0.1:43958.........关闭& w- f5 r# l, E4 P; Z
& E) {3 o3 R; m$ c- ^
: V" z8 c9 F7 k( B$ n

& w3 i. H; Z$ D2 G5 Q. @      按以上总结，最快的速度还是pcanywhere提权，那就选择它吧。打开pcanywhere目录，看到了敏感的文件。如下图:
5 l9 y% Z3 i# Y/ A. ~; @7 X
9 W1 w; n: g1 U% j; y. n1 k9 y
2 n5 q8 Q  y& C. k
: m7 Q  V1 Q5 @3 C% T1 Y ; b# B* P7 s6 W$ L! u% d3 k
# k9 d7 a9 Y& b% d& k

  g- s7 S1 V/ M2 p; K
. ?. |( M. l  q" X/ S0 K7 ?       pcanywhere提权也就是下载cif文件下来破解相应的用户及口令，这次也不例外.下载了cif文件后打开pcanywhere密码查看的工具，但是破解出来口令是空的，连账号也是空的~气死了。。。难道上天也就是给我这个薄面？？？NND，今天非收拾你不可。带着疑问找到了渗透大牛“许诺”，哈哈~此人乃是本话题的男一号，(你们这些人啊！！---引用了高尔基的“童年”小阿廖沙 外祖父的口头禅是不是扯得太远了？？)，我把我的情况给他说了下，他说可能我下载的是原始文件或备份的文件，刚开始还不在意，在网上查了下。看到了pcanywhere提权的相关，我就从hosts目录下载到了cif文件，这次的文件再次破解果然搞出密码乐。。兴奋ing...不过刚开始看到这些密码还以为是加密的，用pcanywhere登陆后才发现本来就是这么复杂，这个管理员~TMD的这么NB，咋就在网站这方面出问题，就在这时我在脑海中咒骂他。。。3 h0 Z) M3 ^6 b2 y( s/ `0 K( z

* O: j( h! W+ n9 G          用pcanywhere登陆到远程桌面显示要我输入密码，我汗~这不是相当于登陆3389吗。。。绕了大圈子才搞个登陆窗口让我输入密码。。。再次无语。。。这像什么话~不对！应该是这算什么事。。哎~今天太累了，靠在靠椅上，继续想想。。。  e( n) {( ?1 N! b6 k1 [

- h# d+ S+ R1 M- m4 Z          灵机一动，诶？怎么不试下pcanywhere登陆密码？我真傻~哈哈。用webshell查看到了两个管理员账号，和pcanywhere登陆账号差不多一样，也就是后面替换成adm，登陆后，最最可爱的界面出现了。。。现在提权也就结束了。大家能不能学到东西就看自己了，我只起到小小的指导作用。" h& w9 N- c& C8 j8 `+ S3 O

) s  ^5 D' K, E( `# P' ]+ r/ S" s: n6 e7 c" v
' g( V7 [' N) R/ N/ {
: Q0 E  }* M& |7 C0 j5 b
  F0 I, z+ y7 t8 T) l- c  l

# a' A* b) P4 Y; t6 m! k7 W
0 C' \! K" |( B下面是登陆3389截图
9 \0 V$ A  o7 p2 ?
7 C3 x& |6 q' S" R( D7 W; |. Q1 [, e8 ^4 u  j0 E

- W: L+ N- A  h ' l1 f, }4 e+ L/ O
" H8 D# {$ x% R4 w$ N8 H3 q2 t5 E& B* V

" L  _1 u" T6 ^: J转载请注明

柔肠寸断

直接扫到数据库 ————》》》
) l( f) q" t9 {0 Q: r$ z% a明小子上传———————》》3 w" m. Q8 A) g3 V4 i+ U# s! Z
pcAnywhere提权————》》3 h- r! H6 \5 h4 [& u. h
社工3389密码
' _' w0 J: ]5 M0 i2 q# G8 \, p, J
一气呵成，不错不错

wjjaft

呵呵   学习了。。。。

maya66

学习了
( P, ~: L, {7 _. @2 I* @( {/ x1 ^( V/ T. U# v+ \7 f
顶上去了

guoyaosheng0

好帖 只差$ c  k- {$ C. k! [
、、、、、、

cxy_hh

还能扫到数据库运气真是不错嘛,呵呵.我可没这种好命.

在意z

来跟楼主学习技术了。