[原创文章] 【原创】入侵"中国侵权网",直捣黄龙 黄龙, 侵权, 中国, quot, 直捣

hyrz

# o# a% S7 _  _, R; }; W8 x

6 ^; J$ |* f, a  V转载请注明作者，上次发的原创被人给改了。汗~断肠不认人了，现在那篇文章好多都被收录了。3 G9 A  g7 Z, H7 l
===================================================================
5 l/ O4 V. j* W* O9 R" D0 i在这里说点儿题外话:
/ l# B) D7 \% m: z8 ?% n9 p4 R$ _+ K* F8 a" q" ~
作者:HYrz
  v' s! o0 v$ ?! ]  A" \- Z  J8 t出自地址: http://www.3ast.com.cn/viewthread.php?tid=14949&fromuid=12889
5 k/ J0 z0 b. D; z/ ?8 x
& d: y& h( |; u! A0 @0 n0 F' {
  N4 g- s& F; H# A        今天本来心情就很差，都是MM惹的祸~哎~在她网站留了个后门，告诉她oday后，还没过2天她就问我是不是网站漏洞补没补，我说补了，过了一会儿她又说我是怎么进来的。碍于面子,只好给她说出了后门的事。。。然后我告诉她你想删就删吧，果然还真删了~呼.废话又多了,开始吧。。。" @% A8 @6 R. R3 e8 w
1 R. x' E* v- F+ |+ a5 V; M

) N; m. U* I& _  k4 Z. J
% b  I# f  I1 C3 {( N  x. W& ~! l
7 C- b7 `* i" S0 ^! O, Q3 P

' F( k8 a9 D* _, U) z. T8 Y
5 \& O' a5 V$ ~1 r6 v; @3 z开头:
$ F3 \% T* c3 V3 `4 s- U2 |
+ ^# n+ c/ J3 N! ?2 Q2 ^       看着郁闷，只好找找事情解解气。哈哈~我一般都喜欢检测人家的站点，小菜啊！每次都是那么的失败。经常有人会这样说:"不懂爱玩，玩也不懂",听起这句话个人也蛮有意见的，嘎嘎~好了废话太多了。
& m& y2 W) P- q, ]! j% s
, `) w( }! ^% e4 I5 M  P! k     在手工检测的时候碰到了一些注入点，但是利用不怎么大，不是猜不到表就是一大堆的ACCESS，挺麻烦的。在检测到“中国侵权网”的时候，本来我是忽略的，以为这个站太死了，进了后台尝试了一些常用密码也不行。手工完后面几个站的时候，用着好奇心去再次去看看那个站点！拿这啊D轮流的扫网站存在的目录，哈哈~这次果然不出所料，直接把数据库给扫到了(这是一种巧合，在其它站点的时候就没有这么后运气了。能看的就往下看)，用迅雷测试了下可以下载。用明小子打开ACCESS数据库文件，找到了登陆密码。由于密码是MD5加密的，只有去www.xmd5.com解密，密码设置的很简单，放到框里直接给输出来了~哈哈，这次离拿webshell虽然还有很长的距离，但是有希望啊！拿着密码直接找到后台登陆，因为有2个口令，试第一个口令时提示密码错误~怎么搞得啊？数据库密码都不正确。。。试第二个密码成功进入后台，嘎嘎~& P; \; ?% h6 \+ A4 W% i  `
6 g& d" V1 k  [% {$ n$ n0 D

& C* O* e/ d! ^2 ~& S
+ a0 w# F! y5 M4 i. T$ \
( a/ _% q; x9 F$ j4 A" d6 |" `5 v$ Q7 W& P
) q  c- T* G  s) Q7 h

. [( v* c9 P% a7 ~获取Webshell历程& ]6 I& Y" W- o

/ |4 ~, h: Z) l* e( Y% m! T& y6 E
% t6 P+ C  N1 Z0 S2 `0 l( N3 ~/ j
        后台相当简陋，不过有上传的地方也就有可能。这次是MDB格式的数据库，如果是asp后缀的就可以一句话了。打开“信息”，看到了熟悉的Ewebeditor编辑器，能不能直接获取webshell呢？打开本页源码，找到ewebeditor路径，再加入后台地址，提示无法找到此页。唔~~怎么办。。。再在地址栏eweb路径后面加上/db/ewebeditor.asp,提示无法找到，再次输入ewebeditor.mdb,可爱的下载出现了，但是也没太大用处，用明小子看了下样式表有没有人添加过asp上传类型，但都是保持默认的，没办法了吗？继续，看了下eweb后台密码，md5加密无法解出,碰到了强大的密码了，此社工思路放弃。
$ b) t  [8 i. k# m: {' d3 [, d! S' R$ x# W# ~/ o) B; M0 l
         当在后台转来转去的时候我再次把目标放在上传上，不过据我了解这种上传好像不存在漏洞。。。只要有一丝希望，绝对不放弃！
. M% e4 R: m! S9 A1 l; {8 x1 H7 a
- c1 K9 H' _9 ~
6 u2 N# T5 E" K; N' g: k' v( ~. `9 R% s( g: O0 r4 `

2 G) X, H6 V! r: ~
% \/ \$ n! A  v% t5 }5 G8 K/ k# \" ?3 {: m
* g* @! l' w. F* t6 e* K& G0 |
2 V6 v* S$ f3 V- }/ v3 I' D5 n
, E1 T' Z# Q9 ?2 b* @. u$ ^
我打开抓包工具WSockExpert抓到相应的Cookies，用明小子上传~(因为我是事后才写这篇文章的，具体抓包我还是没有截图,我已经补了~只好用文字来详细说下),添相应的Cookies上传提示上传成功，但还是gif格式的，难道又耍我一次？今天已经被耍了诶，个人的习惯----只要一些事情认为可能失败了，总会还在这个问题上徘徊。。。当我把上传漏洞调为“动感购物商城”上传漏洞，再按上传奇迹发生了~哈哈，具体的漏洞原理大家可以去看看，毕竟本人的学习asp不久，我也不敢说什么。只要大家能灵活运用思路就行了。上传成功得到站点webshell，开始还不相信呢~因为太突然了，大脑没反应过来~看来我还真得研究研究这个洞洞的原理。。。人品爆出~哈哈- ]3 z& Q6 m. u. D- E

" i. K' _/ ?& M& Z; U! M. Z4 N, t
7 ?# K" [" ^4 {% J
  r$ U% L  a9 j提权之路:
4 M- p8 y9 [: P, A, \/ v" E: y3 N4 q8 ?- z7 O% U  F, I
        写到这里我的手都痛了，唔~我很脆弱了，我要锻炼锻炼。。。今天都摸键盘数时了。。。既然提到了webshell，那提权的野心当然有。反查了下IP显示只有一个站，看来希望再次提升！依我小小的经验，一般站点越小的服务器提权也较容易，不要模仿啊~想提权细心是不能少的。现在既然进来了就得修补漏洞了。。。数据库，防注入加强。。。样样齐备，就剩个上传漏洞，写到这里我还没想过呢~嘿嘿！不过既然数据库也改了，防注入也强了，俺也不是站长咯，我还是就补到这，说实在的动感商城的和动力的有什么地方不同都不知道。没有研究。。。继续吧，我有个习惯，只要自己想提权的服务器我都要用webshell扫描下存在的端口，有人说webshell扫描不好，但是我不这么认为，有的端口你用扫描工具是扫描不到的，往往只能扫个80之类的。
( M* w7 ~: @  }0 e) h, `" D
) a$ _9 @9 b' M, M4 l# S; q9 m扫描到的端口如下:  d& X* S- z5 g6 I/ ^4 }9 r

( U+ r, R9 i0 J# y9 }, `127.0.0.1:21.........开放 //这个希望很小" G/ X* D  O0 u  V1 X
127.0.0.1:23.........关闭, k+ n, {' t" b# E
127.0.0.1:53.........关闭2 m& w! a* ^( A) `3 L, y
127.0.0.1:1433.........开放 //可以尝试查找mssql数据库密码，但此服务器只有一个站，用的是access。此方法暂时放下。
! E& B) c0 ^$ v$ x% W127.0.0.1:3306.........关闭
4 s! Z% k7 N( a127.0.0.1:3389.........开放//登陆终端，为提权敞开便利之门% j6 B& y4 H1 U6 |% E
127.0.0.1:4899.........关闭
- r3 b+ F: {; P4 S9 G+ w9 R127.0.0.1:5631.........开放 //此端口注意了，提权成功99成啊
5 U1 f- A. t$ `8 T6 C$ _( ?8 h! O: I127.0.0.1:5632.........关闭
$ O# o1 ]4 ~4 g. ^, Y: b7 i+ G127.0.0.1:5800.........关闭
1 j7 H8 ?0 u) B! t) c. o7 i127.0.0.1:5900.........开放 //mysql提权更不用说了,放弃。6 {/ R- F  w( w+ w" G5 |% i
127.0.0.1:43958.........关闭9 q/ f2 O/ S$ R6 c9 X* Q$ Y

3 j( g7 e7 R. O1 O* ~7 B; M5 N9 S 3 S3 B- j# [8 f

) K# F1 C/ d- u, U( y* C      按以上总结，最快的速度还是pcanywhere提权，那就选择它吧。打开pcanywhere目录，看到了敏感的文件。如下图:/ G6 |# Y+ J6 \5 N  h

( M$ v0 P) g: h0 E0 B7 U: e4 U9 O4 L; Q; l
. y- n( h$ G, p! N/ A. F  F4 A

; y6 J' g- S9 Z8 u
& C  t" K; ^7 r' P1 `' m
. V+ B2 v3 X% ?: l  u6 L4 W+ Y6 j3 u  M% _+ Q9 C. U' ]1 {& f
       pcanywhere提权也就是下载cif文件下来破解相应的用户及口令，这次也不例外.下载了cif文件后打开pcanywhere密码查看的工具，但是破解出来口令是空的，连账号也是空的~气死了。。。难道上天也就是给我这个薄面？？？NND，今天非收拾你不可。带着疑问找到了渗透大牛“许诺”，哈哈~此人乃是本话题的男一号，(你们这些人啊！！---引用了高尔基的“童年”小阿廖沙 外祖父的口头禅是不是扯得太远了？？)，我把我的情况给他说了下，他说可能我下载的是原始文件或备份的文件，刚开始还不在意，在网上查了下。看到了pcanywhere提权的相关，我就从hosts目录下载到了cif文件，这次的文件再次破解果然搞出密码乐。。兴奋ing...不过刚开始看到这些密码还以为是加密的，用pcanywhere登陆后才发现本来就是这么复杂，这个管理员~TMD的这么NB，咋就在网站这方面出问题，就在这时我在脑海中咒骂他。。。
) q# L: H) y$ g$ q2 R% `: G
. w7 w4 U; S- o% {6 V- R* r          用pcanywhere登陆到远程桌面显示要我输入密码，我汗~这不是相当于登陆3389吗。。。绕了大圈子才搞个登陆窗口让我输入密码。。。再次无语。。。这像什么话~不对！应该是这算什么事。。哎~今天太累了，靠在靠椅上，继续想想。。。
+ {+ p  `  O) r# F8 h
5 r- W( f% `. A( ^          灵机一动，诶？怎么不试下pcanywhere登陆密码？我真傻~哈哈。用webshell查看到了两个管理员账号，和pcanywhere登陆账号差不多一样，也就是后面替换成adm，登陆后，最最可爱的界面出现了。。。现在提权也就结束了。大家能不能学到东西就看自己了，我只起到小小的指导作用。
7 X1 f* @. h& c/ d. s/ z4 s% c" {# b: S( H
% z' y- _9 A/ y; `- t8 N
& q- B- F: Q2 M' E8 D, I

1 n, [. i" a4 t) W1 k1 G3 L; o8 b4 ]8 E  e8 R
+ L( w# m4 W( F% d- Q; W

) G- c$ A2 t" |下面是登陆3389截图
) \- g; o$ x( U$ r
" D5 k' j' D: p+ O" P. d* q6 j7 s( E3 ]
5 e! @8 h5 x9 W+ J- \& `; T
: h7 `8 T( E1 C% g
6 t8 ?8 _5 |; W7 p3 l, x' c: j; S8 w* ^8 Y1 n& w9 h) z! _! W
9 j( I+ O' x* z  a/ x/ ]4 n) b7 V. ^
转载请注明

柔肠寸断

直接扫到数据库 ————》》》) K7 t  ~1 G6 t2 `
明小子上传———————》》: g6 z/ [. U! f8 ^# C0 n7 h$ ^+ }
pcAnywhere提权————》》
( t/ v# D& L, h. ~社工3389密码& }& C/ v) ?5 y4 v

, K( E) w$ ?3 V+ }9 E& ?一气呵成，不错不错

wjjaft

呵呵   学习了。。。。

maya66

学习了7 f# j+ t, y1 f! \* S( d* a

& f' a4 i" y; Y$ c( Z9 e) _/ U顶上去了

guoyaosheng0

好帖 只差# p# h: ]( F) a0 P9 X8 z( I5 U
、、、、、、

cxy_hh

还能扫到数据库运气真是不错嘛,呵呵.我可没这种好命.

在意z

来跟楼主学习技术了。