|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。! d( p5 Z4 v5 X; }9 Q, T/ ^
* E$ r \* L3 S# y" f* N
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
- |4 {3 |8 M3 }, f9 i! L( {0 S4 n: L0 Q( P1 x" P M
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
9 X9 c" m- s+ l+ u8 t: K2 J& k- |8 {
群里丢出一个地址,进去看了下,asp的站。
0 Q. G0 \ Z& N. d# a1 T& T( G4 D4 ~& s# g" U" m
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。* v) \' z9 j. h! a+ o
( U0 Y3 g0 R7 u! W3 a- `. [- C4 X, y2 i* u; ?% p
' P+ ]3 N8 `9 n( s
0 D4 j$ Y2 C: T/ r
+ }( z" R: o- O* l0 r
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。
, u2 O6 u# [' w; E1 [" v( N: `- _" S, Q8 F- s4 L9 Y
B2 |9 {4 v4 L8 y& a E
* W. w2 d2 E3 l% L
看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台
! X( v0 _; ^2 y6 @: c9 t: Y
2 E0 h8 Y! J8 y6 R% ]& y. F
) T; _8 {' k( v+ Z5 g
% d- d1 g1 a9 T输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb
9 n% P8 q; H% f9 x8 P7 F$ m; g, ]9 a
, M& b- v/ s. F: ]
( K' \+ G9 i# ~$ U/ g查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
. v6 y( `9 `; L" r; V1 Z/ k; l8 j$ A( Z! h: s
7 l1 [) X$ a) e) Z( o0 s \
" F. S9 w. P2 S7 [4 j k6 J# n- {
但是,能浏览所有盘。
" s, l! ?0 x7 C* g% iC:磁盘信息
; W. p7 H. L6 @" e% Z
. K) ^- P6 S" q E4 O! j' D磁盘分区类型:NTFS
/ f, z1 M5 w- o: f. _" D9 n7 C磁盘序列号:-1265887598
, ?9 G" O: M8 i7 X: w0 V9 ]6 |磁盘共享名:
9 J1 x7 b* p* l9 ~磁盘总容量:10731
0 T* l3 O* X& H7 ~* z磁盘卷名:0 A2 L. p4 M2 }* J) L/ o
磁盘根目录:C:\ 可读,不可写。
9 F2 q* L# w$ k7 j6 t& x8 Y3 C文件夹:C:\Config.Msi 可读,可写。" M* j& P2 @ C- r
文件夹:C:\Documents and Settings 可读,可写。
6 v/ M" w, R1 ~文件夹:C:\Program Files 可读,可写。
+ S, ~6 v2 v% R4 K/ o4 J( Y( v文件夹:C:\RECYCLER 可读,可写。
8 C k. H+ t# }文件夹:C:\System Volume Information 可读,可写。
# e/ \- z7 Q$ N* C: r8 S文件夹:C:\WINDOWS 可读,可写。/ T- _/ o& d+ q3 Z( s2 g
文件夹:C:\wmpub 可读,可写。8 d" x" x1 _7 p4 s) b E% f
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!' R; ]9 x, p- B$ d
8 m: w3 f" a/ C* [**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。5 p6 `* \! p, w
2 b8 Q/ x# }" Q
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
% e1 M+ B0 ^& ~* r: N! ` M/ U/ x9 M# a# w5 w0 g
7 P! u4 N& _ {5 x1 K
4 _$ L& u0 L# F: ^+ H+ ~3 t5 p
6 H7 |, L, Y# k9 f0 u7 l @5 L3 c1 Z" H
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。/ p) i) b( c& U
5 @! |3 G, |$ O/ \0 Bperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
( b9 `3 | G" P, q3 m N
5 n6 v: c" L) o最蠢的方式,爆力破解密码。& W5 o# @# I. t; }" @5 _
. Y& y( {% A9 J# d+ E+ W& p3 g找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。 p7 e q& E) f
/ C, W9 ]5 u1 {( r) ~- p3 t
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
. E9 ~8 \1 [4 b; L4 W; k
& m; ?' q) i2 B8 {6 J" ?; q最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。2 F* h" N: f) R0 u" p) a5 S
* ^0 q/ [4 Y7 o# t7 ]& [* W) `
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?2 c) m3 B: k$ O. o: `+ l
$ j B8 z& e( t* X找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。# W9 U1 ]; M' T+ n
7 e7 x( H' A; ?1 O+ f8 ~. W
6 R3 ^2 K3 f" u: B& W# D( \$ |; E0 H0 [5 u8 R
2 L2 W# C* V3 h) Z! u, i& j6 U6 ~7 P' G7 C/ { E( l
0 V0 I5 C7 v- p( R) R8 ?" N
7 `( Y0 R/ M- [& A8 N$ R& A- q
: Z. Q# P, i6 n# k8 W+ z) X) y4 F1 E3 w* ]& S- R m2 ~; U& y* J
赶紧的,FTP提权。先进下FTP,试下效果。6 c$ j8 @7 Q$ M
0 i$ _" P' H1 Rftp> quote site exec net user hackbkk 123456 /add
) J' a m$ Z3 o; i421 No-transfer-time exceeded. Closing control connection.
6 `9 n- _2 l9 y, L' n6 d7 cConnection closed by remote host.' ?1 s, j p4 D* t& w/ s( L
ftp>( Z2 n: h [$ u# _5 q: k& O7 m, O, c
- n8 e3 K) g' e1 Z: g( K9 C+ y对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
& J1 |: g7 B5 @; h* _7 f% s- `# H; n9 u
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!6 _. B8 n( B9 G" U
! Q) H/ T" t' @# @. h& U4 E
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
, [- Z" N3 ~2 o' w1 e
2 R6 u; y! b2 g, s$ y8 [: K
/ {$ l3 ?8 W5 E: F+ d1 k2 S6 i又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!& m: Q0 S) s5 Y: M* V3 K
这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!5 a q; R9 L' \$ z4 n
估计是组件被关闭了! + s7 i3 u7 y8 c2 e# ~3 L
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
( ~! C, c: m, F; _ J, Y h3 C$ N2 r2 t; V' U
: f9 E) M- c9 L. ?
9 M3 C2 Z E" U( {* W8 Y5 z
. _" F. j6 _9 s+ I. {+ [于是开始找开启语句,对mssql的玩的少,不是太熟悉!
8 H" G7 x6 k7 y: l' B3 y后来二少给我了语句,便去继续日之!
& i1 e0 {% v; _, a& S3 ]EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
( K, m4 u6 S% K* H4 U1为开启,0则为关闭!
* m+ ?( }' B% _. T m2 j3 w- c5 s然后执行. Q/ O* Q" r4 q3 @! W; l( ?4 x2 t
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add', F, ~8 B) d0 G5 J. M1 A' M
即可!
8 P) o5 |! @" V0 F+ L' [! K回过头去看看,发现用户已经成功添加上了!, A) G9 M7 P! O) ?
. p8 `4 y; P& o( n
! e1 g# x! `$ T# M" Q3 ?- n我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
6 d7 S3 X; S$ T( C6 e. ^) v. T
3 k7 u, d% M0 U我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。3 z9 t" O1 b( `. f6 i
; s o& z- v! { Y' ?6 g" | F8 g3 n! Y后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。; E# q" I. V( A; j$ a$ _
. L/ l$ s% z" \7 }5 A: w7 N5 E难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!
& f5 n( D" f: h
( N! H) o4 b( Y% t% _可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
2 j/ X) a5 K8 m1 Y/ [3 @
$ b) s8 a/ }' V! D2 y/ X' A3 m后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。. Y$ @. f5 C/ s3 ^& Y3 l# G. s
7 }! w4 a# l8 I7 y7 N0 j6 D/ B. H跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!' ?5 V3 r7 q" z+ r$ S- ?
3 Z% _, C; g6 j) n8 m( c6 }* boh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
$ l3 Y' T3 E" j i* {
. j5 k( g, `8 `! y' V2 q5 ?最后拿下服务器。
$ w8 W1 y! m, Q2 [# U
, b, D3 `+ u( R! U1 Z( p- _- R& D: Y y4 I- A
$ s, O( b+ J; v* |' G
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。 s$ r( n6 r' Z' A3 `4 H9 j2 h4 r
3 f/ {0 V2 j3 s: a5 M9 h呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 