|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。. n) ^% n0 ]. ]5 h
- Q& m9 S/ P) X5 M% V
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。5 c6 w# k( X% E; E- T2 H
7 O0 D7 H' C( u5 |哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。. m4 w2 ] U( g( p
' K" L, K2 ~' X: X$ d4 o: l群里丢出一个地址,进去看了下,asp的站。5 T) r3 @' R8 n8 ?& v$ Z2 H
; G% [) |% s$ N很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。- K8 g* Q8 B. j# y: m5 o: v
D# C4 }) A8 ^. v
1 V, u" P/ R+ p9 X+ B2 a% d$ Z' v
" a' e. Q, S8 J+ w. e+ Z # }/ H" Z; t8 `5 H
% V% }7 Z: B2 t
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。
8 a A+ I3 l; {
6 T! x6 ?: x% v/ U! ~( Z2 {0 e! v" | ?' n, l
4 X2 i* T& Y" Y, d, ^* d看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台$ Y6 y g8 ^$ G6 N# C. x
6 y' r7 [# z ] P# e s
$ G% S- \. d: a [2 d7 x7 p6 I, E. b' _9 r+ N( H3 w* s
输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb 1 A( U5 g4 {) N8 o* x
$ F+ B4 S( F: i4 j3 |" Y# b9 W" T1 f: Q% ^# b: H8 A
" b0 I& a' P& i0 S查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。! Q! E/ E; C- Y6 h
' Y: w" @) n' m c5 w$ r3 @$ c0 j- h
: u- X3 w2 e& E8 T/ A9 h" k8 j7 {+ T, T `
但是,能浏览所有盘。' C1 B5 p( M6 v. z
C:磁盘信息 + k3 q% g$ C) u1 E# u5 y
0 L- V! `+ {" m# W3 d; H
磁盘分区类型:NTFS
# {9 L1 m; ]. A" Z m磁盘序列号:-12658875983 ]6 ~- a" H7 j) E# f* `* u
磁盘共享名:; b$ p+ [) F4 {: L5 h
磁盘总容量:10731/ {& W) E4 [( X7 k6 w& M8 |# e
磁盘卷名:4 o; m! C7 h) a$ j. u# o/ K
磁盘根目录:C:\ 可读,不可写。) @5 Z% o& q G# @0 w5 `$ [
文件夹:C:\Config.Msi 可读,可写。2 t( ?$ w% f9 `4 f5 H) H* a; M
文件夹:C:\Documents and Settings 可读,可写。
" X/ t1 [ q) [# s- w- |+ R文件夹:C:\Program Files 可读,可写。% ~3 l! X( g2 B# S+ c0 f
文件夹:C:\RECYCLER 可读,可写。
# W' K) ]- o4 i2 Q% p. g5 N% {文件夹:C:\System Volume Information 可读,可写。* y1 Z8 G4 C$ ?2 Y) a6 y8 [
文件夹:C:\WINDOWS 可读,可写。. r$ l! Y, }( k9 J. H
文件夹:C:\wmpub 可读,可写。 f. I' K9 Z+ ^
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
# c* u3 P& V) m) h1 z+ B
7 x2 X+ H1 z- W**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。
1 z! l) k" i$ ^4 `3 v; [7 ?* T/ c2 d; Y7 m4 _
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
- ?4 {' `$ `) u! V2 [1 g2 t ~: d' E6 p0 O/ u: u
S/ @# D5 ~8 Y- v* j
' N2 b1 n3 \, c3 s8 _
: S% |$ t2 m& O I# j, x9 Q0 R* y! y" `/ w( V5 I8 q j
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。# ?, K. Z4 q/ X1 h& d& C
2 v& f7 |' U0 l; Cperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?6 \9 r+ ^% |2 |; a
( P! p: a, L# H7 `8 v
最蠢的方式,爆力破解密码。% Z' Q0 S+ U/ E/ U9 V8 }- T
% h$ h+ k8 C5 ~9 U+ y找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。- m3 a4 p$ R3 o4 ~* A
6 k, B2 N4 z. j4 u1 I+ P可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
* d: w5 n7 m3 o& G! S8 h! f( i: j( D+ p6 P1 g6 L( _
最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
' b* w' e% o5 W0 _+ J; M* s& @( p/ y$ O
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?' f/ Y& K2 i& x- g
* r3 l& X$ p' f$ e
找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
! k. }, n g- ?, T' C. i! h1 z, a2 U% i2 [2 ~# `$ t; I
: z2 b8 y; h5 C" F# ~7 S0 M7 v+ b. E
, l) Y" f7 A$ x$ N3 K, [. f4 R+ [; W! r9 S
( f1 Y2 D, d( s( A; z6 {1 c
Q, j5 v D# n3 D; c2 \ y
5 H+ _7 D- l$ y- |3 L
* l- }5 M2 g4 ?; W! S 赶紧的,FTP提权。先进下FTP,试下效果。
; K7 A: \4 h5 ]3 {1 Y& j
0 Z x% J& T$ ]; |4 e7 vftp> quote site exec net user hackbkk 123456 /add
4 n* n* d0 ]) H) b( m421 No-transfer-time exceeded. Closing control connection.1 z3 M; ?) J- ~! [
Connection closed by remote host.$ ]6 s0 Y+ \$ F
ftp>
( s! y- v: T, E2 E' L: r" L8 |
8 d! W- P' G+ c9 E对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.- D, p9 v* e; T/ P4 X: D% B- C3 t, y( f' M
8 \6 R8 s* {1 O* T/ {, P
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!3 w( |/ R# m; a
& s2 f T6 ?. g8 _$ R+ g
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:; L* U9 {, J+ d8 a1 H, {! V
6 `+ p6 N& G0 x9 K8 D1 Y7 E; Q& C5 s S+ u( R6 X5 G4 T D) X
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
0 }8 \- Z( ]! ^! x1 l$ a0 w: e+ X& J这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
5 I( z; A8 q% ~* b2 e估计是组件被关闭了!
- X% }: F/ i9 P2 [转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
; e, f/ ~6 c! u# P# y$ M, G0 b) B g, |9 p
: f+ N% m+ X2 W: @5 t. ^" L, J7 R( K: T) @4 [2 D) Y" \
, \" R4 |' S' P+ ^% H n$ J
于是开始找开启语句,对mssql的玩的少,不是太熟悉!
* n E+ u+ h" ^后来二少给我了语句,便去继续日之!
# Z, T/ [% G$ T; e( L' j5 f( MEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
( P: V7 e' O4 U4 D7 [1为开启,0则为关闭!
# W0 T$ F: M7 i5 F: s: z+ M+ _然后执行9 V7 b- N7 u" A$ S l
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
; y7 V$ B5 K, a7 B0 y' m即可!
0 U$ n# |2 Q' S& p5 s8 d回过头去看看,发现用户已经成功添加上了!
7 x9 V) p7 N0 V6 s7 ]5 ~; }
% f4 T# U' \! `( g4 U. T3 N" c: h: g# N k* m! I. m: r6 H; E7 E
我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。% ?& [$ H8 E! t8 B$ u, q7 R% d
7 H F7 S- z- C% @. e4 O( @6 Z; E& h
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。' H+ h" q' [' T% M
4 J/ M, R0 M! d* F$ B( @+ u* y. d
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。0 o' {1 |6 V4 j6 A- L6 I
* l0 V! f5 N$ \* Q难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!# B6 R8 D0 g" A, \1 V
9 f: N5 z* |# b# Y可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
. W B; s, Y; a' b1 r* m! Q2 j, x4 O7 f
' Y t% e8 w+ g) ~1 i4 Z后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
! x( f% G( C' j3 f0 C
" r* h5 e; k7 u" i; z, ~+ b跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!7 x$ a8 U6 s5 s0 q& n
8 m" D0 O" w* G( H* h+ b* r
oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。0 {0 q0 O& ]$ r! p M
7 d4 p& @# M% ]7 }
最后拿下服务器。2 T6 N$ C7 N/ X( d5 H( O* u- Y
+ ~0 H0 E C0 R5 Q2 k4 h6 @" A$ B8 d6 |0 [+ Z8 k0 t' t0 Q
p& k+ Q: t$ _4 y' w1 Z6 g
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。3 v; W/ R. g' }4 E
6 { A) C$ u" J1 `
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 