[原创文章] 对某华侨大学的一次渗透。 华侨大学

BKK

先说下，这是在拿了服务器之后写的文章，也许有些步骤忘了，当时没想到自己会写这个文章出来。希望大家别介意啊，我文笔不好。呵呵。
2 e! z5 A. I. U4 X- r% O7 j4 e* x# |; X
很早就在暗组就看过吐奶头的小孩写的文章，后来才发现他竟然还是上帝之爱，看见他和静流，zake等黑界有名人士组成了一个团队，于是想加入，可惜需要3篇有深度的文章。经历了很久，一直百度随便搜索找目标，可是这样找的目标拿不下来就不耐烦了，拿下来了觉得太简单，所以一直叫人给指定一些目标，让我有针对性。2 ^6 b. T, G2 i) [- k/ w8 P( t
5 R" P3 `; K9 C+ @7 I) Z/ h* M- e
哎。找了很多目标，不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话，说不定还能算上一篇呢，却偏偏给个那么大的权限，大爷的。实在受不了，写篇文章当锻炼文笔了。
( t; l0 Z" K2 @! N0 H
/ K  h  a! K# o; e  y群里丢出一个地址，进去看了下，asp的站。
6 t: `1 _( B- K2 z; R) t; q* A: ^+ r; T0 `# @3 H& f
很熟悉的，点开个连接，id=?的。结果显示，非法的参数ID 。  很显然，做了防注入，有点不甘心，看下他的格式有多少。开始找的是news_id ，到google去site: XX  inurl:asp?  发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页   还有很多，都试了，都做了防注入。。8 V% w' I8 V( K+ I
7 `0 V! I" O& E# j$ {8 J# ~& V

! a( c  r2 J4 s1 v- x
5 O2 p# Y1 H5 z5 c  {0 ^; M& e" \ 9 r; u; n! I! e- b
8 Y) h: T9 X2 e7 C  D, e$ B& |
开始找后台，希望是弱口令，结果，管理员根本不是吃菜的，别说弱口令了，后台都没有。在整个站扫了一下，看下图片地址，很普通。转来转去，转到一个地方，下载doc的。
) a3 W% c5 [5 L9 L2 _/ ~0 v- x' k$ b; W( Z

# o; R" d( l, \
$ y% V' k$ [8 T; e* P# l0 V看到没？/ewebeditor/UploadFile/20094294623829.doc   嘿嘿，有ewebeditor ，我尝试在IP后面直接加ewebeditor，显示错误，最可能的原因：可能需要您登入，我就知道，这个路径很可能就是在web根目录下，继续看默认登入的。果然  ewebeditor/Admin_Login.asp 进入了登入后台
/ x& q0 n2 k$ V+ \1 _+ ]% Y
( n: B8 ?/ i9 |; a* {
0 v- `# P9 j. X2 A. e
+ K; w1 x& s# `8 D( l6 m输入admin   admin  提示，密码错误。没办法，回到原站，想看看这个站是什么整站程序，到网上down一套源码来研究研究。。结果，这个程序没找着，应该是自己写的或者不出名的。后来我一拍脑袋，小傻瓜哄哄的，down源码第一步是干嘛？下载数据库啊。 这个站的程序不知道是什么，但是 ewebeditor  我还是认识啊，开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
! i4 M! @; Z: t0 Z# z1 b2 W& O5 E2 G4 l8 U+ u5 @

4 g6 T* \/ A: f% s+ P. O0 }- z' q$ d" [# L
查密码，登eweb后台，改类型，传shell，一气呵成。运气不错！（这里技术含量太低，直接略过）进了webshell ，由于看上帝之爱的文章看多了，也想传2个shell ，传个asp，传个php ，结果他的IIS不解析php，没办法，进了webshell，一看。5 t2 q2 ~- z0 c( [7 s, l

0 [) X( {6 O* ]& Z/ o
6 \. M" r1 w7 h+ v
2 k: W3 x% G" O7 Z: @% ]但是，能浏览所有盘。9 J2 a" ]! |7 U& X, {. \
C:磁盘信息 & V& i2 y0 o- H: ^. q( l

" n. e5 S5 H4 }2 p. E6 r  q5 Q* y磁盘分区类型：NTFS
% |% m4 h5 _8 H7 ?磁盘序列号：-1265887598
+ C+ E* T% S/ w6 k/ {) u; W磁盘共享名：
/ C& T$ }7 y5 x. h( a' i磁盘总容量：10731
4 j9 [- j/ v* Y' l& e# h; @+ h磁盘卷名：
+ L0 a& @8 l6 L4 u1 @磁盘根目录:C:\ 可读,不可写。$ u, M8 P# e, _0 X( C
文件夹：C:\Config.Msi 可读,可写。+ b2 k5 [/ X' V6 N# P3 c+ g" ]
文件夹：C:\Documents and Settings 可读,可写。
1 _) o" q4 s1 {3 m9 p4 F8 y' m文件夹：C:\Program Files 可读,可写。
) W1 U# s/ k; v/ A, K7 @: _文件夹：C:\RECYCLER 可读,可写。
. ]9 {8 p; d- ?6 e9 ~" Q5 b文件夹：C:\System Volume Information 可读,可写。
* e' Q: O$ M6 ]8 m  J文件夹：C:\WINDOWS 可读,可写。7 S$ {7 n! J& j: b/ ?8 J
文件夹：C:\wmpub 可读,可写。, K1 K. ?- I9 N& ]
注意：不要多次刷新本页面，否则在只写文件夹会留下大量垃圾文件!
$ h& ]( X4 N, L$ T2 Y0 L- |; m
4 k/ |8 e( i; i: j1 x, d**。。。权限那么大？？ 晕了。。C盘都可读可写啊。或许因为我太菜，这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧，权限大是好事。1 p4 O; h$ K4 K. `

# A; H6 _- `! d哎。。看到conn.asp 查到数据库密码，还是MSSQL的数据库呢。。哈哈，连接成功，但是执行命令却。。
( }5 R* }9 M. p2 q* U- N& p) e7 w: E+ {

0 [% E/ a" H( Y; K# X4 n4 }" R& n% |
, o+ x- y( N( t* y3 \

* R+ S$ T. h2 M$ c! X没办法，继续找，我的SU啊，你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。
" a8 D" e9 U( o8 h. K4 j9 e6 D6 x. `) n3 D" W& q, N
perl 没有。其他的也都试了，一个字，艰巨！ 怎么办呢？
) Y9 G$ N" |" H: O5 e# k& [0 o* q) g$ L6 }- g2 q2 [
最蠢的方式，爆力破解密码。( g8 Q0 N5 O/ f/ x0 P- h3 l
3 Q4 B, C% c4 b% S) B
找到了备份的SAM文件，一看最后更新时间，老天，2007年2月。。都过了2年了，不改密码是白痴啊。暴力破解都不用了。试图放弃。
7 \. z' S+ T: c# \2 x  M" F# F1 E- W6 ]6 W
可是后来还是不想放弃，以为自己没找仔细，开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ，呵呵，我也想啊，可是有用吗？）% v, N0 J( r1 q% h7 ]$ r4 `
4 g( v8 b- H+ w+ |; t
最后，还是没找到，却找到一个非常奇怪的文件夹。在windows中，竟然有两个config文件，仔细一看，原来一个是conf1g 一个是 config ，为什么管理员会搞那么奇怪的东西呢？怀着好奇的心理我进去看了看。
7 K+ `& b. P- B
8 |! Y' q7 }* M* F% e' [0 T$ S哇。。CAIN ，这是what ？？ hacker ？？ 管理员自己怎么可能会用cain ？更值得我注意的是，里面还有个ji的文件夹。这个文件夹中，存在 ms08067.exe ，我XX他个OO的。这是what ？抓鸡工具？难道有黑客光临过/？5 _7 S3 T" Z+ _+ W4 F
5 ?6 V; n, C2 o* x+ E( Y6 m
找到抓鸡配制的，晕，竟然木马和抓鸡，FTP，用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码，我登了下FTP，竟然有效。
" C! a# {# J0 O( S' X1 P9 L. E6 ^
# k. o! d, |, _" p6 A2 {/ K
1 f7 q4 V' ]) l9 I1 p: l
/ ^) |' n  e9 Z- m0 g/ l' I

5 L! e- d  p- C3 F; I2 j7 }
* _3 _! f0 x; y, O" F
# U) Z, m3 I! N3 \9 D! _6 R$ @( ~' d$ k8 O- P8 a9 ]' e

& J/ B% C: Q4 V6 f9 B. i( G 赶紧的，FTP提权。先进下FTP，试下效果。0 `+ S5 Z. J; G7 e: }3 a  }9 j

  L) L9 G9 s0 T- G( L3 C0 eftp> quote site exec net user hackbkk 123456 /add& y& w* @; {) I% p: s
421 No-transfer-time exceeded. Closing control connection.
, _! a  Y/ A1 \. B8 hConnection closed by remote host.
" g6 q5 p) G) ?/ Fftp>6 N- n* `3 I/ g

) O4 s7 t/ v+ e对喔。。咱们没东西，把 cmd.exe    net.exe    ftp.exe  全都上传到C:\wmpub\下.
" @4 o  j9 i2 b' V' ^0 K2 S! @3 m' Y; F: c7 b+ _8 M, B  C
可是，还是显示非法，妈的，我知道了，FTP权限太小了。那怎么办呢。。有个黑客已经进过了，难度好象很大啊！6 v& [3 d4 i4 J; @

$ G/ e2 s  r2 [  L$ k; \于是，我再次关注了吐奶头的小孩（上帝之爱）发在暗组的对某商城的一次渗透，发现他文章中写着：
  F+ S7 Z8 g& ^5 u+ [1 |% y- e. t
4 u" B: Y8 ]. K& Q" p  [6 K/ m  m! B$ T4 D" F5 O% {
又只能放弃了！又扔上去几个aspx的马，发现无法打开，但是并米有被杀，貌似是环境问题吧？只有bin写的那个可以，但是执行命令极卡，半天都米有回显！
- I7 U' H% K4 J( m/ P4 C* P这个时候只能从1433下手了，找找mssql的sa，用aspx的马开始翻目录，找了半天终于找到了sa！于是换另一个个连接数据库的马，开始连接，发现不行额！显示什么被阻之类的！
  B4 t3 w9 J) k! s; k估计是组件被关闭了！
6 o1 y5 D5 Y4 q+ q转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=382649 e9 U. B# p. u6 \2 C  a' Y

, |6 m1 Z7 y6 j: H' k& y
6 S  @* X5 `1 ~, c4 z4 A% v3 T
1 U3 h5 C+ Q6 h: i1 Q! z
6 K3 `0 N0 \3 H# N0 e5 c$ x4 o$ i- f于是开始找开启语句，对mssql的玩的少，不是太熟悉！8 L3 }& I4 b, H. l; j
后来二少给我了语句，便去继续日之！9 o( `2 Z& a' @- u  p6 V1 i
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;   / }# f) o/ o( N5 f0 _
1为开启，0则为关闭！
) D+ C! V3 i  c5 d5 s8 I- m( i' g然后执行
3 l% x( }2 H7 ]! Z1 @# NEXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
4 z. `1 X0 O, Q0 A即可！
& ~3 ^/ i$ V7 J/ l* z3 x- {* q& W回过头去看看，发现用户已经成功添加上了！
$ M! j& `: }  z' F/ m
1 s  O$ ^* X! S, ~0 P+ t5 m
$ E- n  G6 w6 P9 O- f我晕。。找SA ，对啊，我那找的数据库的用户都什么啊，cai 密码  123 我呸，那能有几个权限，找SA，上ASPX马。。关键是，怎么找啊。
' @& C: @7 ~' w5 N4 T7 d* m
8 _! W6 q9 _2 \5 ~' j我一直百度，发现都是什么进入企业管理啊，用windows认证用户改密码啊，纯属无用，我要能进服务器我提权干虾米。。3 U  {! }2 @% D( i
# y; w& H( x, u, f) n. R8 i$ Y
后来在数据库的表中，找到admin表，帐号admin，密码，MD5的32位加密的，解不出来，我又昏倒了。
& w! ?( @, h: I1 Q% L
7 [9 _9 q5 T7 Z& R难道，真的要用VBS加启动项吗？？这个webshell对stym32有完全控制权限喔！; Z  p# L0 k& e& C+ ^& }. b

0 F- i: I0 L/ q- I. G可是，我要怎么让服务器重起呢？？DDOS攻击？？我可不玩那种没技术含量的东西。再说我也没肉鸡啊，服务器倒是入侵了一堆。怎么办？？日C段，ARP ？算了吧。。那么麻烦。* @+ ^- R1 C: {& h: X7 G

0 [* L2 d2 X$ J( `% K后来，还是用了最蠢的办法，把那个07年的备份SAM下载过来，用LC5跑密码，大爷的，和学生黑客联盟的冰魂在聊天，这么大个权限，竟然提不了权， 他说，可以测试下，说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站，没空帮我看这个shell ，超级鄙视。
: d3 K0 B6 N- ?! M
7 b' V3 Y& V, p' D: h跑啊跑，下了无数字典。。后来跑出来了，怀着中彩票的心情，进去，fuck !! 连不进，难道是内网？？不应该啊！！我知道了，这管理员改了端口，找啊找，知道他把3389改到52110了。连接他，进去了，输入密码，错误！
9 z2 d% [6 B/ w
& c8 n, a# Y2 S0 J, \: boh , shit !!  到最后实在没办法了。。可能是我太菜还找不到更好的方法吧，提权也算是我的弱项了。后来直接上的VBS 去启动项，等了1天多，竟然上线了，直接连接终端net帐号密码。
, t, x* E, p$ ^1 B! N( q  p- f9 `. W8 I" ^2 T3 o; x' {
最后拿下服务器。0 e: ?! P8 T! P; S5 Z
; G. M) f4 |+ C2 O  n! b  O; ?
6 P# [% y- y" O
% D: @2 ^8 o+ r, F3 i8 Y  ]
另外也高兴下，3月份我就想入侵广东海洋大学了，可是该死的蜜罐系统搞得我头疼死了，经过近1个月的踩点和大范围入侵，今天刚好拿下广东海洋大学内部的一台服务器，可以ARP主站了。还发现个0DAY，但是经朋友们劝说，0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。9 F) ^+ I' a7 Z8 d! `9 T! L

  [2 q& ~+ h! q. ^呵呵，入侵广东海洋大学的我做成了视频教程，等我研究出了怎么补那个漏洞我再把教程发出来好啦~