|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。
1 j( W7 q! M8 n s3 {1 E9 Q0 s* \- q0 z6 [: a
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。7 L( z! U9 ?' q" X6 _; ~
" j4 \) Q3 y( j! _! \0 X哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
9 L; T B" l2 h: r( L" G1 p5 K# n6 h. A( {" H
群里丢出一个地址,进去看了下,asp的站。
# p `2 C |& f. ~9 M; L, P. S8 X! x$ D
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
$ t/ s( e( W9 |! E6 c( z0 @
( b; X3 V6 M$ M
! W4 Q3 ?) m5 n1 t7 H4 x: H7 b0 l3 ~% T) U r" n0 ]
- I. e- X" v! W8 h
3 f) I- K- f! x* g% T
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。: W' Z9 m* }$ t3 D0 @! w7 l1 m
2 k# H+ Q% r4 k! T2 x* `; k' s- \9 k, A9 @
( I9 s( l. ~, J% Y! u. G( t! r看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台( G8 w! S# H) t; f0 H Z" \3 i
7 _ d. d D/ a1 n
, ^: ?5 Z7 R3 p. i
I0 }7 I& D$ C* {- q, `输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb : i' O3 l/ t5 z
1 j3 a8 B+ t. ]( ~
1 j- S# [$ B/ n' A3 ^2 } H( }# [+ M2 J0 A; M$ W
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。% _4 q! U t! o; Z$ V+ t4 g* e
3 t+ R# s) ]! z6 A4 |9 a, q0 w. e" _. D. U$ g+ H1 \0 p
# c% q |5 @9 X+ Z$ ^( U
但是,能浏览所有盘。
9 L( a8 p1 u/ f/ `! S1 TC:磁盘信息
4 O9 s6 f. Z8 j* ?( L8 S9 F/ g: ~/ j3 n2 S8 J% B
磁盘分区类型:NTFS; K. K5 n3 _: ~ p, {
磁盘序列号:-1265887598
- G2 k1 ~. r( o6 K$ S. s磁盘共享名:
' V7 M0 x# _) L m6 E- E1 {% {磁盘总容量:10731
- j" H9 Y* @% k$ E$ h! T [磁盘卷名:3 G( X" S0 a) K' a; _3 F
磁盘根目录:C:\ 可读,不可写。5 [5 J$ m" {" P9 a' A5 }
文件夹:C:\Config.Msi 可读,可写。
* D/ D% L* I, M文件夹:C:\Documents and Settings 可读,可写。6 J% E3 b3 h" X6 K) z8 F r
文件夹:C:\Program Files 可读,可写。3 o* c. a. i* a8 L( m* g1 B
文件夹:C:\RECYCLER 可读,可写。3 t. E$ T8 ^/ f$ e' l, `
文件夹:C:\System Volume Information 可读,可写。
/ ^+ U8 b4 t5 M& ^+ a9 z, H文件夹:C:\WINDOWS 可读,可写。; O" P& \& ]7 f; w9 ~
文件夹:C:\wmpub 可读,可写。1 t+ e- i9 j) b& O+ o1 T
注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!. G- t8 R t D* d
" v( c9 d5 n, ]! K% Y**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。
( a, x9 K5 [) W1 O8 M+ R }* A% D: B% v N N/ o$ k) l+ j
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。' K4 ]/ L4 z' T8 t0 P! H$ @6 F
& B- |0 B) W9 n0 {7 W
/ k9 l. \9 e$ W" T2 ]8 ]0 M
2 w5 ]' s! T5 J9 D0 T L% \3 L5 m8 ?- m& V) I
: o' S* _6 f- A
没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。5 @! `- x3 G c8 K
( }+ y! M7 p4 a7 u! ~. [# Uperl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?7 a5 m9 g' f0 j- C
( Y* X/ p3 T5 u3 ?: ?7 t
最蠢的方式,爆力破解密码。0 D( X0 s, A" [* a a$ L
; ^# F+ N+ c4 z# s9 j$ d
找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。( S- j+ w1 F+ T. S0 O
6 j9 M( P9 W4 @" r6 C; S7 M
可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)
! q: q" c: A' H/ q0 m# C* S
3 t, w4 X4 P; O _最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。3 P" @9 M0 ]% ]1 p6 n4 a# |8 S* H
/ U% C/ _% |6 ?. l哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
7 V/ c/ O7 v. t8 H2 u, A
- N3 K" t; X) z0 {& L) s/ n; `: U; e找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。4 g) U b. X3 v, N( l
: s3 J2 T+ n. D% B: b
; Y; ` V" [2 y" y h+ {; o
0 s( S" X4 w6 B2 Y. j+ U2 l
. r" d2 e" O& {8 R& Z1 L+ y" R6 R# l: e3 E+ l) L
0 {4 Z9 r' z3 ^! @: B+ `# ^
* d) g# y& |6 u. w" y- c& F. F+ M
1 a1 {+ ~- F/ p& }1 A
# q" | A2 ^$ \5 P 赶紧的,FTP提权。先进下FTP,试下效果。" ?/ ~, x$ A7 ?
( O& u6 t: h# k/ Y6 n7 \ftp> quote site exec net user hackbkk 123456 /add
* k) ?$ y2 C Q: K8 W6 k9 K! k$ j421 No-transfer-time exceeded. Closing control connection.
8 j/ o: C- v3 IConnection closed by remote host.
" ]- u7 q; q1 U7 l/ dftp>7 z: o( x0 o1 I# j
! H; }4 ?) b, I/ N5 _' `# O对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
9 W# E4 k+ u3 }# ?, ^* {9 Q! C3 K( @' D3 F* b
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!
& ~2 W- X. i; J! O' M: h, @: x8 _2 U0 w) P
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
$ @( E) s+ |# L/ l9 H6 ?' G* V m# a
, v7 n% O4 p' U7 }( c3 v/ a v! P又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
+ y) i" K; {# m6 d1 T这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
# R* ~' Y( i) t+ h5 `! p' G估计是组件被关闭了! 2 }) R$ E& Q: j8 P& e) Y/ g
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=382640 H8 [4 s* Q! c+ R5 S( G
4 o8 f! _8 |, }% o$ A% T6 g7 Z 9 O! T& ~3 i( B4 q
1 P/ M6 ]3 w6 ] |7 W* y" D
+ Z$ V& ~8 F" v$ @于是开始找开启语句,对mssql的玩的少,不是太熟悉!- v/ `, l2 W0 w* q% u* C5 f, N
后来二少给我了语句,便去继续日之!
$ d/ C" P! ?+ H0 V# NEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
5 z# U& @# ]9 X+ k; B( s4 o1为开启,0则为关闭!$ h5 n; h |2 I4 p/ v3 q% r6 b
然后执行! ]2 L$ p! \( A4 V' i/ o( i
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'- R! a* G/ @+ I8 m
即可!
$ \' Q) d& y9 |7 N9 n0 e% g# ]1 y回过头去看看,发现用户已经成功添加上了!
1 u% [5 \" d0 }( H1 K$ h
1 _2 H+ |3 w8 j' |3 T$ o% U' K. x: u( `- H7 q
我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
1 g- D+ m. V( S0 z* ?! O- x' z1 k/ x! f; N; n( c. `8 @& g- ~9 H
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。9 g B' |1 _: e, a0 Z
2 j$ |( u8 T Z; B: |/ x后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。- L+ X5 G7 D: G0 X% j0 h4 P
; \& ^ ] \9 Y
难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!0 D- [6 H6 _$ Y' \5 }+ V. D
8 M$ W% N- j0 t7 p. C& W可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
# _8 h6 m+ s, V+ s9 P' W# T. X& V
; W4 U7 L, o' h2 D: ^后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
9 [/ h( ?: e T6 _
& c& P3 ?2 I! C$ k! N9 o' F9 Q- w跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!! `3 V o" W: b$ v* n/ Q2 X
* j8 O( c I0 i8 S& W3 ~7 Eoh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。
1 Z, ]& h: n0 V7 s
" Y" P% |6 K' X7 c; D3 R0 |' ?最后拿下服务器。4 o' J. o; }0 `* J& Z3 x
1 B7 r! _! ~6 _. j
2 J9 u5 P- d- y2 P: a6 E# F
2 d/ b( E8 D. O另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。, c4 u' [' i6 L
2 I1 V q" H/ R# S9 x
呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 