Board logo

标题: [原创文章] 对某华侨大学的一次渗透。 [打印本页]
作者: BKK    时间: 2009-4-16 14:46     标题: 对某华侨大学的一次渗透。

先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。! k& x4 `! z0 @9 j- T3 A
1 h% k5 w! O! k: C  E; n, m) D  B. y
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
( N* q% p. `( A, h
4 _8 M! V6 [, ]哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。! X; B2 A9 p5 l! w% @; U0 \( L2 Z( _

! V& D8 D1 A$ E. _群里丢出一个地址,进去看了下,asp的站。5 s0 l: I7 O  n7 ?/ K# @0 F
4 {! U3 C% o& o4 ~' q- Y
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。  很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX  inurl:asp?  发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页   还有很多,都试了,都做了防注入。。
4 ^( P$ l3 m1 O4 O+ Y& L, u8 Z2 }3 C: \) r' N' ?
( A! o: }$ E+ C& V) Q+ L" t
[attach]1224[/attach]
; I7 a7 v# s3 t& G ) s2 P3 w' f0 L+ X' H4 R2 s
) K5 {+ q1 x' @- i) x" v
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。
' b9 ?; e; {6 ~( M# o
  ~8 c+ F+ v3 g) I$ q2 U9 \9 o4 J[attach]1225[/attach]% B3 t% _* J8 }5 q3 ~
- Z  I6 i9 c* B3 f& ~+ y
看到没?/ewebeditor/UploadFile/20094294623829.doc   嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然  ewebeditor/Admin_Login.asp 进入了登入后台
& A8 v6 @! M' l! A4 ], J6 X" s: Z
3 t" c' G9 q4 T' b! q# R  H8 U4 K7 ~/ W5 Y( e7 f
[attach]1226[/attach]: e% v2 e8 K% z6 W/ L5 C; I, E
输入admin   admin  提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor  我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
/ e) _: w) M& Q7 I6 z4 L4 {
, [# x: B5 n" K2 k[attach]1227[/attach]
; Z% p/ f' L: I. _) l7 L
, h4 n& b; `- ~2 D+ {) Q查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
& V2 `, ]" J- s5 y( t) d$ f5 }
2 y9 i9 `+ ^/ @4 ^: D( n1 [[attach]1228[/attach]/ `; ^  N: j, @6 l) p9 {1 x" A/ X

5 g. Q* Y; J) y! n但是,能浏览所有盘。
3 U3 ]0 L$ F# S$ iC:磁盘信息   |: h5 c3 ^' ~9 ]

4 \) [9 j7 A, p$ k磁盘分区类型:NTFS
9 ?3 P. K/ }# f9 ]3 z磁盘序列号:-1265887598, a* |; }' d6 y' ?! q1 \
磁盘共享名:
  V% ?) K; k2 g$ s2 U" W( j6 E# G2 q& i磁盘总容量:10731
7 q' r& T2 l# ?+ a  r磁盘卷名:, i) O3 I* j1 b; J* X1 }
磁盘根目录:C:\ 可读,不可写。/ n) }3 B4 q: I, x7 i
文件夹:C:\Config.Msi 可读,可写。
: ?% L% t/ k0 p' c文件夹:C:\Documents and Settings 可读,可写。
* A. l$ Q- z' ~/ L* i文件夹:C:\Program Files 可读,可写。
6 W# _# b3 {( f( |# `文件夹:C:\RECYCLER 可读,可写。' Q0 Y3 D: u4 ]+ I4 B# D* J/ u) L1 K; C
文件夹:C:\System Volume Information 可读,可写。6 J* H# ~3 [5 t3 ?1 A+ F
文件夹:C:\WINDOWS 可读,可写。
6 S1 M% x7 s5 S9 N* I1 I文件夹:C:\wmpub 可读,可写。
  n% Y8 Y4 k' K5 j  E: I注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!% Z1 m5 d) F5 ^4 i% n5 v5 T1 ~, B
9 b6 k6 A* o+ x7 z6 ?% W5 `
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。9 f) a0 R, p. u# h8 p

# u' w: g6 I( u0 N8 R9 T哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。# W- h/ J6 \) |) g
- Z( I! x1 E- x$ R) W6 G9 ^
[attach]1229[/attach]; S9 z1 l5 m4 e
2 D" c& r. I1 q# w' T. h

$ C* }' r: R% p0 t5 D
) j" E6 g$ d2 V! F! J4 a没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
& e" T1 t. M5 p/ f' Z3 e0 Z$ K
9 m/ c% _3 w7 @- T$ sperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
7 w) v# M4 e" h) w2 x6 J# c" L; g( T' ~: U
最蠢的方式,爆力破解密码。# ]% `; b/ d1 y& l4 w; w( m

) `; q% Y& L" L! v- c- m9 k3 ~找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。
: O1 x4 w' v" [
" I9 N+ x5 _7 W9 ?9 v* z7 v可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)- r! I& r4 C; M9 }6 P1 d$ y

3 Y- c9 w" K8 O( a" d% C6 x最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
3 y4 k, V0 T+ _* U9 s; N0 m: r6 J  R6 b6 {0 j( b3 o# Y3 C; R
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?3 P  h) ]& ~8 ]

0 E0 s( Z: u4 |/ m! ]找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
1 P1 G- l& v8 @+ g- @+ s) x' W2 w. f8 `/ a0 }2 }9 O5 y
% @2 k- K& z3 R+ `
[attach]1230[/attach]2 O* O2 _, m" `1 g' _, K  ~

8 J" A; R3 a+ f1 Y9 R/ H$ k[attach]1231[/attach]
( {9 L# ?2 @5 }7 R* N; L8 Z( Y0 H3 @8 ?' t/ Z7 Z
3 K! b, Q, P" s9 V* p4 D# e; O. s

0 m7 x& e: b" P! `# N$ t$ i7 v: Z9 I, t' ^3 q
赶紧的,FTP提权。先进下FTP,试下效果。
' G0 i% q5 l5 D/ Y, N% y) \( Z2 G4 u7 ~  S; r
ftp> quote site exec net user hackbkk 123456 /add$ a7 i. _  U' j7 R) s# K
421 No-transfer-time exceeded. Closing control connection.
8 X! n( Z) h% GConnection closed by remote host.
" ~; M6 c' Y9 l, I9 Cftp>
3 b* Y" L) \! z! i
/ G' w! k; ]; h8 ^) o+ H' \* R对喔。。咱们没东西,把 cmd.exe    net.exe    ftp.exe  全都上传到C:\wmpub\下./ @  C& P; ]! l6 w0 P1 S/ C

0 p- L# m# i8 o* G" b可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!
" o) n- ^+ ^6 W% B4 ^9 |6 i9 W: T4 B5 u5 h
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
8 J, {( k5 s  }% r( T7 A+ Y+ z9 N: A" N. G  _. L' G8 D* ^  @
$ w3 i7 Z9 ]7 t8 h
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
3 Z( E( V* @' M) V这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!+ m' y0 l6 `! }9 J
估计是组件被关闭了!   k. g- s6 T& @7 W- j* S) }- t& w( C
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
1 D0 O' y% o; U5 G4 T: r: d5 c. R

. B" c" _' q4 J; J* ^! c, z1 O+ Y# n
) L7 C1 P# H6 m& F- t- O2 T- [
9 q; R5 N+ w* b! @6 x于是开始找开启语句,对mssql的玩的少,不是太熟悉!6 _8 M2 K2 U" g  Q8 F5 W
后来二少给我了语句,便去继续日之!! h4 x8 y+ H* H0 l  c$ \1 _
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;   0 I. e, |- R3 z9 Z! `
1为开启,0则为关闭!
$ d+ j) \; C$ f8 u. I; p然后执行, Q0 m, A2 U# S
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'% S) h# T( @3 ~& y& k; Q
即可!
: V4 I6 s5 C5 v回过头去看看,发现用户已经成功添加上了!
" `" N# F4 s8 Y+ S. t( \
3 p& g3 s+ h7 H* G6 l
/ }/ p9 I/ z% Y# t我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码  123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。% b9 E- p# g" h1 o9 l
% ^, ~( d1 j# }1 g, I2 Z3 d
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
+ W* V4 n. m. S( C' Z
# N: j$ [3 d% x( Q% B1 h( u后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
3 l3 n2 x" A' Y7 d7 f4 f
% B) K. s% i/ V' o, C+ Y难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!' D& l! @8 n0 Z( _- w' N5 o

6 B* T1 q6 [$ r8 I' t* [  ^可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。0 z* B! E' P" h% F# P
. {% x2 g$ X+ Q6 V9 z- a! m
后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
! v/ K$ }' d$ ?) ~: W  s8 k) X8 j* [$ B9 O
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!
+ a5 Z  @% Y! b* M' H6 }; |8 J: j1 s. l) |/ ?
oh , shit !!  到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
6 O4 o. h  L; a8 `6 B! N8 _( T: m% v7 T* w0 K
最后拿下服务器。
9 \6 g2 i' X/ h2 V
, X& W: r& ?7 U5 u* ]) @[attach]1232[/attach]+ K" H! p5 V! u# O

+ ^% e+ U9 ^1 J% N' Q另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
; E0 r5 ?1 i& Z& u- L9 x1 C& G
* J' c9 h8 _, G. B# p- F呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~
作者: ShawnHBK    时间: 2009-4-22 22:39

我  到是有个办法, 你挂个黑页,黑页上写明:BKK为了你们本站做了友情检测,请尽快修复漏洞,另外追踪我IP没用,因此这个IP我是用代理的!
作者: plantseth    时间: 2009-6-5 11:12

太厉害了 可是我没看懂
作者: saitojie    时间: 2009-6-10 17:10

本帖最后由 saitojie 于 2009-6-10 17:12 编辑 : `$ K$ d7 U% }. |5 M& M

, G! Q5 B! g0 D% y
6 F3 R* I& v, }0 q' I/ y% E
于是开始找开启语句,对mssql的玩的少,不是太熟悉!4 `9 O- X# e+ r% v( d0 g
后来二少给我了语句,便去继续日之' a* {; J+ Y5 Q, E
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;+ |+ e. W+ l- U* V0 j
1为开启,0则为关闭!
; ]  s8 @) p4 h8 c9 T! R然后执行
  }6 \# I, r5 r  `EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
( F' g9 q8 o( H7 n即可
# Q9 m  u! h3 r* P7 W( s+ U回过头去看看,发现用户已经成功添加上了!! N. ~. {. ]7 r5 t

0 z2 R& |6 s; S/ j, `我就不明白BKK了,这个地方,你都已经加上用户了,为什么不直接加入到管理组里面,连接服务器的3389呢,为什么还要去下他的SAM,还用LC5去爆力破解呢!~~~~不明白!~~~3 u9 y. @: @3 q; n0 U+ n
EXEC [master].[dbo].[xp_cmdshell] 'net localgroup administrators username /add',难道是因为他的3389做了登陆用户的限制?
作者: jk101000    时间: 2009-8-11 14:06

顶!!!!!!
作者: jk101000    时间: 2009-8-15 10:21

看看啦!!!!!
作者: wudi110    时间: 2011-1-29 18:35

后悔上学时没好好学习天天向上了
作者: 在意z    时间: 2012-5-16 00:02

谢谢楼主分享技术



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2