|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。& F8 z$ O. N; c
4 E% {4 w3 ~; b4 v' p3 I很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。
0 V! H# j2 j% m% I1 h, J
2 ^7 f2 `, N( j7 z哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。
1 B) [) [/ g; G0 P+ u
7 r U" C" S& e5 w群里丢出一个地址,进去看了下,asp的站。; s# r% P5 C+ A6 B3 N" P
5 Y3 k6 J7 w; P% A( ^" z
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。
# ? }, q3 h% F, C
% R4 ~9 A, |4 w0 w" S
0 B' e2 b/ e' K& v. g! v/ @' S; Z5 C9 ^- m" t* M. `7 }- o$ {7 [. I
, l# ^1 W$ r+ `9 J
4 I) x0 T9 c% M0 ?, ]2 K' w开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。0 [) ^& z; \) \1 H4 q5 Y" A
& ]/ {, v% M9 v" h1 D3 `
3 `1 L. m9 C9 C# X) o
U: b2 T2 i; a5 ~2 O+ S7 y看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台
7 Z4 Y( q$ W/ F6 K# \2 F0 S' C9 A, t9 G- V/ e7 g5 \/ |6 h& ?% e
% Q& U' u( V) T- I- K1 ~, ?3 G$ F# ?# ~) y
输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb - a" Q+ s; W' ~: W8 ?6 @! @
+ C) z# F Z. g- c
( w+ ]- y0 Q* R3 L, {8 @/ G4 x4 l5 d$ K+ y9 r) }9 J
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。
/ r- [- Q- A1 R( Y/ ^& L; Z) v+ _& w3 c6 M
9 n6 j5 Z @3 [: q) M' j
# X, l- |, s9 b$ E但是,能浏览所有盘。- v+ K% j! P) J) Q1 V
C:磁盘信息
! B0 O. n7 g/ O0 v4 O* a# r9 r' O1 U1 C# o
磁盘分区类型:NTFS
, P6 M7 _( c% c磁盘序列号:-1265887598
' a: D% I$ H! _& d1 J- v磁盘共享名:
3 m+ t0 m7 b* ]+ @9 ]' v磁盘总容量:10731
: L2 V" f" [% f' l% p# n磁盘卷名:
- i8 G% j# m* A: Y* {" P4 J0 G/ G磁盘根目录:C:\ 可读,不可写。
, s6 p- G, ?, d4 r2 i; Z文件夹:C:\Config.Msi 可读,可写。) Q$ Z2 l0 F5 f" R7 ~
文件夹:C:\Documents and Settings 可读,可写。* Y6 [: |' ]- {. f3 g: L
文件夹:C:\Program Files 可读,可写。
& \. ?) a- r$ N% v: g& \文件夹:C:\RECYCLER 可读,可写。
3 W7 v# l% E+ ^2 |8 M h文件夹:C:\System Volume Information 可读,可写。
, t$ B7 e5 N6 S文件夹:C:\WINDOWS 可读,可写。
- h& l8 U8 \/ c8 g5 B/ u- L' V' q文件夹:C:\wmpub 可读,可写。
5 C$ [1 D! h9 r( B8 i) y" P注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!3 N x2 a6 T7 k, _
9 C, M$ J, ?1 q( O% n+ A- e, G
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。# J/ a R# Y: N6 p5 N
2 O! j' R& I0 v9 N
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。7 `* R0 u! F4 O- ~
5 w' D6 Q7 j7 d% d+ }; i
+ R, h5 {. ^2 {, Z& V1 g# U9 m5 T
d: T# u1 A( l' B7 }0 y
. p8 t% R! x3 N1 L没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。. e) ^3 @6 V# X; J: g3 h
& X/ h. W' t" {% A
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?
, g2 o" O2 Z5 s$ B& u# A4 w+ z8 D0 U2 C
7 v8 s# t \- A( S, D% r最蠢的方式,爆力破解密码。
# H# f0 O3 s+ K. v
. S' x0 Z6 X0 Q& r B) {- e+ _* M找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。+ m* \) u/ d" R
Z; B7 |2 _! m3 R可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)! ^1 l3 S& I( |; j# U1 K0 P
+ r. _) Z* {6 y/ z/ N2 T @
最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。$ o3 R Q& {, n# M
! a- I, a( V; G4 _: ^
哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
7 y9 _5 D! v8 d2 U. h2 l' M; F' M4 `
找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。- P a2 ] q' L% Q
5 I1 l$ `' }+ K
( z; z Q9 C1 ?- C2 X/ H8 l$ f+ |( r# A8 \$ L8 z% Z* J: {6 } j
, V; x# a/ S' H0 n* Z# m& r3 f0 V/ Z7 g0 a) w
* N) R' Y; S* V7 E) s! Y4 d; z
; h# V4 \/ W5 V4 M3 N: U
$ [5 T: e, o9 u7 C
/ v# d! ~2 `$ C' O, k0 T% p 赶紧的,FTP提权。先进下FTP,试下效果。
6 |9 H' A7 j' w% h% ]/ R
1 p3 I6 m1 N/ v8 _* t ]* Z; ~9 B: X4 |2 Oftp> quote site exec net user hackbkk 123456 /add
0 y+ [$ y+ }5 @- x421 No-transfer-time exceeded. Closing control connection.
* E6 t" `: k, r. J) WConnection closed by remote host.( p1 H' W6 a/ A0 |* r
ftp>
D2 W% @% _' f
# v2 p8 o9 H# X( {对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
7 I4 k9 p5 d6 U* h. O& }0 n" H( H5 L
5 |& c; _9 ~! L可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!! o# Y. F. \9 t, \* K0 E
3 v3 N1 t& q& x
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:
; ?( a5 x; w+ s" U# Q( c; {
% U/ q& \* B( |' d( k8 w
' p( X. X( F9 w7 a# G% X7 _+ v又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
5 T, J2 a8 Q' G这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的! h) y2 L2 @' `& u
估计是组件被关闭了! 2 d% O/ a$ I; [
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=38264
' a1 d- Q! x. @! g3 U+ |0 L, B
+ i/ [% \5 u f) o/ D9 d 7 X8 U" e1 d5 S) R$ P# O
; B! \0 y9 q8 Z
z) g: @2 q0 J1 a/ E4 q' Z- q9 B* e
于是开始找开启语句,对mssql的玩的少,不是太熟悉!+ P O: z' Y A4 }
后来二少给我了语句,便去继续日之!
$ [" p( c9 X! _2 X/ D0 ~EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; 0 h0 O3 V& s& K7 V3 m/ B
1为开启,0则为关闭!0 n& \/ g, h' b: d; e% h
然后执行0 w% e5 u6 V: x' y I+ [ a
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'
# |$ {/ S1 {7 e即可! s. u* y* N! F- C# G
回过头去看看,发现用户已经成功添加上了!
$ \* H! h( H( {! B! L
+ R4 N4 R, b: G) @$ ?) ]2 Q1 {; k7 U' [- ~" k3 c7 B# T( k
我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。
" U b. R- S6 Q7 O6 L! U" }; s. ?# R5 G( u$ ?- ^
我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。$ `; U4 _3 T1 j8 z8 J, {
7 g h. ]% u1 W! z( x- ?3 H
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
* u N0 n( y' F1 L
. H5 v1 @, b+ t& {难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!& {' Y7 }" s. k
/ z% @; a/ o& t$ v3 m* _9 F) o% v
可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。
- \8 _3 E5 w+ j1 v: F
: ]( s. H6 b0 \3 j后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。
0 d' b' I1 g- Q7 M6 \# e% y) `: Y( E" ~/ M) m) ~- Q5 R
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误! ^1 S/ w# [! q7 M, S/ A
- x2 i y5 e C/ ~
oh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。5 s' t& F2 V7 U2 }
! D5 J3 i+ W! U- z S, v* Y
最后拿下服务器。
+ I$ }6 F: u f ]) \- Z9 b
. P' W( d, Y: b5 W7 P! S3 x
6 H* c; Y6 B; M5 N7 Q8 x$ Q1 f7 ]$ g7 @
另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
/ x2 S _8 ^6 H, q6 m( i
w E0 J/ [- u: [: u呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 