Board logo

标题: [原创文章] 对某华侨大学的一次渗透。 [打印本页]
作者: BKK    时间: 2009-4-16 14:46     标题: 对某华侨大学的一次渗透。

先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。
; M$ z+ {% H0 T" W2 }  |8 O6 j1 t6 X# j2 `' q2 p7 M
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
" o3 Y) @7 F7 L% |5 \! S0 p$ L1 O9 E2 a9 [# P/ a! e
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。2 c8 B! Z5 P: m* m
( q, z: O1 }) |4 C" G  ^/ j
群里丢出一个地址,进去看了下,asp的站。: O4 `+ }9 V& _

- R& J6 p6 J0 m. w很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。  很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX  inurl:asp?  发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页   还有很多,都试了,都做了防注入。。
% c+ K- o8 f' ?# [# x9 q! ]6 Z
5 t! o% l9 N# J3 G) ~% J# w
2 {4 y1 k- \% _; g% u" Z; J( L& v[attach]1224[/attach]% R: |" A4 f; d- M, R4 ?

5 C4 q9 g! r& W7 x( d5 j6 f1 e
% h. P5 }3 f' \8 V: t开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。
' X7 K2 Y: S2 x& U7 t  x$ _
" s5 h/ j7 B5 t: _[attach]1225[/attach]7 J' A# f1 b: @% S  U1 c4 o. n

" d4 f7 B2 i0 u5 T看到没?/ewebeditor/UploadFile/20094294623829.doc   嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然  ewebeditor/Admin_Login.asp 进入了登入后台- Z2 }* Q3 C8 o$ W
' z; w1 @5 o4 U' n, B% W  S

8 j, r* R9 A5 ][attach]1226[/attach]+ y2 W. O% U9 \0 t3 c8 W2 `
输入admin   admin  提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor  我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
* N# m$ ~, t0 S* `' }1 X
, \; p- p9 g# X; ][attach]1227[/attach]; \/ \/ \& g( ?; m) d8 q8 s& j
8 d! B. O8 Q; c: D  ~5 `& g) i
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
+ o' M* p, |3 e$ q; Y- U( a2 u" ^
[attach]1228[/attach]2 ~) _6 P1 l# f4 f" f

" I" j: L3 `2 M9 I2 S, ~9 ]3 A7 U但是,能浏览所有盘。: r7 ^3 h2 a4 B8 S* p6 _
C:磁盘信息 4 w  v8 n( `: q. e8 u5 [0 w- v7 e1 Y- U

. m! u8 o- G7 f7 R# {磁盘分区类型:NTFS  n' k8 j& }1 f9 H; V+ f& O- f: y% c
磁盘序列号:-1265887598( Z& Y2 q$ M% R1 v% \, v& a% w
磁盘共享名:, r3 h) c1 H: R+ C- L' K9 R2 Q
磁盘总容量:107316 B4 H0 D' T2 A# Q$ Y! @9 v
磁盘卷名:
' g9 [1 a! o# q4 z磁盘根目录:C:\ 可读,不可写。
5 W, `$ v0 o- @8 {2 v, R文件夹:C:\Config.Msi 可读,可写。/ q. X; Z, [1 |! A
文件夹:C:\Documents and Settings 可读,可写。
& S  I) J3 A. l2 F8 c. G# b' t$ z) Y文件夹:C:\Program Files 可读,可写。+ j0 b% N& U! Q0 E
文件夹:C:\RECYCLER 可读,可写。
# W1 k0 c/ C( _2 Y7 T# K5 J文件夹:C:\System Volume Information 可读,可写。
) \9 x- D& A( R: u文件夹:C:\WINDOWS 可读,可写。
& M9 l8 x* i! D4 |9 P2 L" h文件夹:C:\wmpub 可读,可写。
5 ^: }. v. u: H) |4 o注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!9 t* l+ Z/ I7 d' J) l$ m
3 O0 _/ [% ^( I2 f
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。
/ }# M3 ^- e; ~; c) S/ B+ M. q* s/ ^* C$ q
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
( W( K/ }4 i2 M# e
  E( j0 F: T5 {  `" }3 A- G[attach]1229[/attach]
8 Y* t1 @: ?; E$ N
( j7 l/ x, s3 E- Z4 z4 K
. m* q# T( n$ Q  w
# u6 z- S# A& H+ [没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。5 k/ Y  ^. A! ~2 p5 J7 p

3 F3 ~7 |; {3 Vperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?0 {0 i7 v& S5 l5 F+ A# P

' }! U$ S3 Y& G/ r8 g& P: Q4 x最蠢的方式,爆力破解密码。: Y; |8 \; j; n: P) Q

' r. k' U- v: X找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。, E' J3 f8 q: _

. i" G/ e* R% [& L) v/ e- _可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)6 ?( m/ h& T+ y% w, q3 z  P
  G& F3 s3 F. g- J  V* r" E
最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
" P1 e/ I' U/ R- h9 s# R7 r3 {5 S2 I2 z, {! c
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
* m7 s/ ]% b- V! ~" X
7 z0 [4 d0 I9 T) N% E找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
6 {8 d+ I$ G  ~! y$ ]
7 I2 F  t2 }+ }; e  m6 Y; k- F- k
; D$ a+ R* H) M( c# j* x/ D5 V[attach]1230[/attach]
! P- D- n7 B3 I3 A" w/ V* w
* G' N& U6 y  N6 j) G[attach]1231[/attach]
  M- ]' l- z1 w
9 X% o2 z, i: o: d0 G3 [' |
! G" g5 g& \5 K5 j) e1 P/ y. \
* ~& o' K. G' O- g7 B0 \* Y) F4 G, m
赶紧的,FTP提权。先进下FTP,试下效果。
5 C0 e: \  B* h$ n' @
! C4 w6 u2 h( z  a# h+ Tftp> quote site exec net user hackbkk 123456 /add: @- m' K* l: z! z2 q
421 No-transfer-time exceeded. Closing control connection.
0 g( ]7 V1 {5 Q- ?* dConnection closed by remote host.3 G+ B% r& r) O
ftp>+ a4 _# A+ {0 Y) [1 n

( h, B! e6 Q4 B) |对喔。。咱们没东西,把 cmd.exe    net.exe    ftp.exe  全都上传到C:\wmpub\下.
6 w# a% n/ W) A5 Q: t3 |$ ^/ s, ^0 |$ N
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!
* d! k& K0 ~% `; \
" F7 y# b9 T" j+ G2 w6 z于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:) ~6 ?4 R( v* R

9 r) \4 [8 H' R5 X; Q
' V# t0 b: }5 _又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!  W9 [, m  `3 l$ M, T# c+ L& o
这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
5 T# W2 d' N, ?6 \% k7 V- N估计是组件被关闭了! - q) t7 P7 v4 z+ [9 C
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
* A& @+ ^6 f9 F5 w- M6 K- G, E0 d$ n) b* y4 N; y5 L

2 t( D& a  S9 e' K& b8 {' n( W
" X# U! |/ o/ T- w, K3 J
$ p; S7 t! `/ h: H% i. E2 u# i于是开始找开启语句,对mssql的玩的少,不是太熟悉!
/ A6 z) U$ h6 ~0 O6 D后来二少给我了语句,便去继续日之!% l. d8 L8 L. w% G  O6 x
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;   $ I% r. y. Q* d* D( J% A3 ]4 P
1为开启,0则为关闭!& w& u; Y' Q. g$ D
然后执行+ z& V* u3 U4 L# h* O
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'" j9 H. u3 g1 J; y
即可!/ h, x# r7 |+ J/ F6 ?$ w$ L$ X
回过头去看看,发现用户已经成功添加上了!
) V  m: L  z1 ]5 T2 v* ?! I& p  p( k3 W

' z# X: A% f$ m1 g) ]# Z. K我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码  123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
2 F) j" h, \; o5 `+ ^( G3 w: Y  h7 b0 k4 ^5 l& F2 l
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。) G' {/ k" P* D+ O: o  g( @5 W
" V7 {* X' ^7 R% L, P2 c
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。3 \/ G6 P3 l. e; X& H# D

! T7 ?) }, R1 E! P) d# g0 @难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!
5 h3 Z: L  L5 C7 j
" q9 R- B0 a2 E0 e可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。  ]; k: {, X7 l  h( C. Z
% _9 ?/ {' f$ ?% X
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。1 y# A% O4 Q5 r/ o' h8 N# u8 ^

9 z" |. E0 u- X9 q; z  C( a6 Q跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!% p6 F* G9 Y- L* C& ?6 a
  D) \8 H7 s" o, Z
oh , shit !!  到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。0 M: j" \: `: N- W1 \

5 q9 C* O$ W8 |+ }最后拿下服务器。4 N/ S# O5 l6 x
4 I. v: L' z' w& s
[attach]1232[/attach]9 c8 |/ ]6 ]5 j  t( W* ?

$ |& B2 k5 @; S, l+ w% f另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。+ v' T+ P1 p; u/ t2 a1 N
' ?- P; f( D, Y3 {* C  V
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~
作者: ShawnHBK    时间: 2009-4-22 22:39

我  到是有个办法, 你挂个黑页,黑页上写明:BKK为了你们本站做了友情检测,请尽快修复漏洞,另外追踪我IP没用,因此这个IP我是用代理的!
作者: plantseth    时间: 2009-6-5 11:12

太厉害了 可是我没看懂
作者: saitojie    时间: 2009-6-10 17:10

本帖最后由 saitojie 于 2009-6-10 17:12 编辑
! \" n+ S3 |! z: W- M$ r( W5 i
! ?: M) G6 I5 r4 y! W
5 K' C! v" s3 J8 F  u) g& I
于是开始找开启语句,对mssql的玩的少,不是太熟悉!
, r0 G0 k# z7 ^- Q: o1 i后来二少给我了语句,便去继续日之
) f; ^+ @# f$ D5 [$ y6 f4 ^EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
5 g0 z1 m% y& M7 F1为开启,0则为关闭!- l$ R- h+ Q; l2 g# I, ?, ?8 g+ P
然后执行5 a; ^' \# ?: D3 e6 C' U' |
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
4 I$ O# w8 k8 M  `1 V即可
4 L$ m  _# ]" c/ n回过头去看看,发现用户已经成功添加上了!. i' @9 W" ^3 C$ R& p
9 i& T! @% H9 h
我就不明白BKK了,这个地方,你都已经加上用户了,为什么不直接加入到管理组里面,连接服务器的3389呢,为什么还要去下他的SAM,还用LC5去爆力破解呢!~~~~不明白!~~~8 Z* ~9 D; X9 J& L% f  Z4 W
EXEC [master].[dbo].[xp_cmdshell] 'net localgroup administrators username /add',难道是因为他的3389做了登陆用户的限制?
作者: jk101000    时间: 2009-8-11 14:06

顶!!!!!!
作者: jk101000    时间: 2009-8-15 10:21

看看啦!!!!!
作者: wudi110    时间: 2011-1-29 18:35

后悔上学时没好好学习天天向上了
作者: 在意z    时间: 2012-5-16 00:02

谢谢楼主分享技术



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2