9 f9 N% E9 J! X- [# }, G& j大家好,我是网络小子。很高兴又跟大家见面了。前一个月都在山上干苦力。让我体会到了真正的生活。一晃又是一个月。已经很久没跟大家见面了。上网的时候遇见了以前帮助过我的有一位大哥。他准备开一个DJ站因为没有好的程序。让我帮他找一个。给了我一个样本。经过我仔细勘察。发现“www.yy450.cn”这个站的程序不错。网站的名字叫“中国DJ俱乐部”因此我准备拿这个程序。把网站搜集起来放在了QQ签名里面。 9 D5 O. p" r/ f( b 1 a9 b6 I4 @# Q第二天来到网吧,我的一朋友 寂寞孤云 告诉我他认识这个站的站长。那好不用麻烦了。于是给他说我看上了这套程序,让他帮我问站长琐要一下。可是很不乐观。站长要钱。不送人只卖。说这程序是他自己改的。想法功亏一篑。看来我只能靠自己了、大概的看了一下网站 图.1 , z. O. T Q& Q8 } }2 e 1 y0 X+ {+ k& w5 R2 h9 Y) X) |" [' m G+ q+ y7 g* H' U
象这样的站点根本不可能存在注射,看了一些他首页的图片连接都是很有规律。没有什么可利用的,加上后台也没找到。后来寂寞孤云告诉我,站长也是一个玩黑的。不好搞。看来站长也不简单。寂寞孤云又告诉我你可以社工试试。几率或许会比较大。一说社工首先的搜集站长的资料,如“QQ”“生日”“常用的密码”ID 等等等等。。。。。搜集了一会资料没有得到什么可利用的。 图.2 B2 Q! t6 ?/ v/ p2 `3 ?/ }; U0 U; D2 M% A1 r& U$ F- b; r$ b9 ^
+ j, ?$ u5 o0 B$ x0 f
拿到了QQ、邮箱帐号、常用的用户名、生日、但是没拿到他常用的密码。第一时间想到的就是社工他的FTP,经过我的用户生日各种互换。还是不对。后来想到了社工他的邮箱。去126上登陆。都用便了还是不对 。用密码找回功能。输入找回帐号后提示输入生日。他的生日不就是1990-5-21吗,也就是1990521不对19900521也不对。难道这是阴历跟阳历的差距。。。要想得到他的正确生日就必须接近他。第一、站长是玩黑的。不可能这么笨。第二、我也没哪个时间。我决定还是另寻他法吧。 " g. g) d' T u5 e, R) g, _: x8 p7 e( e; X( V
他这样的站不会是独立的服务器吧!于是我选择了旁注。说到旁注。我在这里给大家推荐一个网站。(http://www.yougetsignal.com/tools/web-sites-on-web-server)这个旁注站点不错。在这里我也给大家说说旁注的一点小经验吧。有些人都知道用不同的旁注查询网站可以查询到不同的效果。但是菜鸟门知道不?用一个旁注查询查询某个服务器上的玉米用IP查询和用玉米查询可以得到不同的效果。而在把查询出来的玉米在查询也可以查询到不同的站点。我查询出来的站点如下 图.3 8 p/ U, ^# z6 @5 o2 A/ ?8 L( J + ]3 I# c) X; Y : F9 j6 v6 j5 m2 d2 d/ c加目标站就8个站点。而且还有两个死站。3个DJ音乐站。还有一个桥客的CMS站点。一个IDC注册站点ASPX写的。俺不懂ASPX、一个企业站。相对来说企业站比较容易点。所以我准备拿这个企业站来开刀。http://www.bmglass.com/index_1.asp 图.4 + H- z5 Z) p( W. c: V8 Q# a" |$ a I
( S# l8 ^. l* e8 p2 D0 w3 n
看到这个注册筐我就想起了企业站的一个致命上传漏洞。“upfilea.asp”和“upfile_other.asp”这两个漏洞有点老了。经过测试upfilea漏洞不存在但是upfile_other上传点存在。嘿嘿、喜出望外。拿出本地HTML上传进行上传。至于怎么上传的我在这里也就不多说了。在我写的前几篇文章里面有名字叫“入侵黑客吧”写了如何利用。上传了以后老是提示请登陆。我明明登陆了啊!到底怎么回是?难道是RP问题?。我清理了一下Connkies,依然出现同样的问题。到底怎么回事?于是我便查看ASP代码。发现代码被改了一些而且还少了一些。难道是有人先行一步?没办法另外找突破口吧。这套程序因该说我还是比较熟悉的。测试了默认数据库,不对,手工猜界了一会还是不对。后台是默认的。就差密码了。手工测试找到了一个注射点。于是开始注射。很成功的拿到了管理员帐号密码、但是密码是MD5加密的打开www.CMD5.com解密一下。结果又在一次让我失望了。因为密码太复杂破解不出来。难道要暴破吗?我没那个时间也没那个精力。 4 `5 G& ^ v: N' v0 W, S F: B* l: J; @2 B
可是那位大哥曾经帮助过我,我不能叫他失望。当初就已经叫他失望过一次了。同样的事情不能发生2次在我身上。一晃已经是晚上11点了。人也饿了,眼睛也花了。去饭馆叫了一个拌面在网吧边吃边思考。 & ?* p/ a% o2 [3 M; | 2 z8 ^( k4 C5 \4 ?% \曾经某位朋友告诉我这样的程序可以cookis欺骗拿到后台。于是我饱着一丝希望。开始欺骗。一切准备就绪,就是TM的欺骗不进去。老是停留在同一个页面。我无奈了。。。换了一个玉米查询网有多查询出来一个网站。。。http://www.$$$$.com/注射了一下失败。在admin这个目录扫描出来了一个上传点,但是不能上传。找到了管理后台http://www.$$$$$4.com/admin/admin_login.asp,后台写这管理的默认帐户密码admin、admin居然进去了。 图.5 ; S8 J; e4 g5 n3 {( J9 @/ X% b6 l( O0 t$ f4 D1 u
% U0 C [/ O6 @6 g d经过查看后台出了添加文章和修改文删一些企业站添加信息的地方几乎没有什么可以利用的。后台采用了ewebeditor在线编辑器,查看了一下原代码。找到EWE编辑器的途径http://www.$$$$$.com/newsadmin/ubb/ewebeditor。但是没用。这个站只是采用了EWE的功能。并没有什么后台和上传点。。。在后台添加文章的地方找到了一个上传点居然不能上传。后来找到了一个上传点但是不能上传ASA.ASP.CER.抓包也不行。估计是有人修补了 图.6 5 f0 R0 C' d) v; X' p7 L& B
' ], k& \" g1 _0 J% C- H1 P7 i1 o# g# P v
在网站的服务器信息统计里面得到了一些信息。 图.7 0 ]$ W4 u* N. b 5 O4 @) p6 Q3 v) b8 J# c- O& R5 ~' g+ S G* w( \3 _, B' `( b
得到了一些网站的基本信息,如网站的WEB途径、和用什么做的FTP帐号。g:\webhostnew\jiajunev\www\admin\Admin_Index_Main.asp ) L! P' Z: z( J: x# \ M
5 W# b e$ d) G h0 g3 I- U0 C* x7 j http://www.$$$$$.com 3 y% ^" T/ W' w
8 H8 y4 G3 F/ J# A从途径里面我们可以看出来WEB途径是在g盘的webhostnew目录下。而FTP用户名是用的网站玉米。突然见我就想到了社工FTP密码,用玉米作为帐号密码一个一个试。在看过我以前文章的人就知道是什么弄的。于是我开始搜集网站玉米。搜集出来的有用的有8个。现在开始一个一个试了。 ! n& U% p9 x C6 T5 U7 g2 ^, w' M% K0 P# c ftp://www.$$$$.cn ( _4 s( Y/ L1 F* b. y0 N0 F; N $ b( r1 F- Q4 O* ?6 @7 q用户aweidy + c2 @% V2 F9 q5 ~' v6 k
* u+ u7 d$ ^0 P( G7 i
密码aweidy →失败 ! I5 m( p& r+ t
; B+ F1 M5 Y' m8 O9 d3 D' P在我试到最后三个玉米的时候,http://www.$$$$$.com/index_1.asp玉米成功了。直接登陆了FTP。 图.8 6 a- R1 G1 w8 a m2 N" j# V) ~; j; ]0 g# k, x1 P6 c. u
嘿嘿。真是踏破铁鞋无觅处,得来全不费工夫。在试到最后一个玉米的时候也成功了。。。 图.9 6 k3 ]9 I c0 q: d, d. r / |! f) Q& ~5 J2 R1 s' b. ~3 q: o5 ^ 7 b# x$ h+ ~2 V p+ [6 Eftp://www.$$$$$.com # q3 B. ^1 y2 E/ c
9 f4 v# @. x! c: K. x' q6 E
jiajunev : F) s, b9 y) h9 [; y d+ s
8 t2 S" x7 `" }jiajunev 2 j' {1 T7 l4 o: X" j6 C- a / e6 u% ~3 O1 l j' T6 b5 V% ?$ i' q9 Q9 c4 q: ^6 c) G% I% W
/ @- |& A5 L. v; F" ?& u
看来今天运气不错。。。。直接从FTP里面传了一儿个ASP木马。成功得到WebShell " F% s& `- S/ N) a
9 I% G8 _$ ^" d, n1 f
WEB途径是g:\webhostnew\jiajunev\www 3 i1 ^$ L7 M3 ~7 b' u) @4 g( |) P z4 @9 ?" u9 \6 M
那么目标站的途径有可能就是g:\webhostnew\yy450\www 2 d! Q, Q5 F3 m2 w! {) K3 {# F" _% ~# D& j: `7 A7 E
不对返回系统服务-用户账号里面查看了一下发现他的用户是用的heisejimo做的FTP帐号、那么对方的WEB途径就是g:\webhostnew\heisejimo\www 3 C# F: ~9 t2 Q: a- B& x+ D
8 u2 Q! i. q4 z/ D. `/ u3 v/ s
回车后发现没有权限。 图.10 6 a0 W% f2 l# ` i
6 U9 D" m$ y$ j( l ]! p
% s2 {8 Q' U. m6 r( S
WebShell在默认的情况下是USERS权限、而ASP的权限也比较小。所以我准备换一个ASP.net木马但是WEB做了脚本支持设置。并不支持ASPX PHP 和 JSP也不支持 图.11 3 p4 }* r) W9 x2 P1 Z4 _% Z/ |; J Z- ^9 R; w0 \4 c
1 R8 T7 M, x& x9 z) n$ F' m% g
本来想如果支持PHP就去c盘的windows目录下找到my.ini然后mySQL提权。可是PHP不支持mi.ini这个文件也删除了! ) E; L y0 R, l! a. h* C% q 9 s$ i C; c; _1 u! C4 K怎么办呢?看了一下组件支持。wscript.shell × 命令行执行组件 删除了。不能执行命令了。然后我扫描端口发现在ASP木马上默认自带的端口扫描后发现都开着。。。 图.12 : I0 B4 ? Q* _; b0 f6 v8 Q
* R j* o O* J L" u* } - h* G8 w3 X/ U* M. E0 H% s; v: J& ]1 B) |/ B9 h* P$ @5 d! g9 R- i