|
 
- 帖子
- 278
- 积分
- 874
- 威望
- 938
- 金钱
- 1059
- 在线时间
- 133 小时
    
|
先说下,这是在拿了服务器之后写的文章,也许有些步骤忘了,当时没想到自己会写这个文章出来。希望大家别介意啊,我文笔不好。呵呵。0 W7 _, g2 x0 w- r7 @
0 B9 K3 K, o; p6 e M6 a
很早就在暗组就看过吐奶头的小孩写的文章,后来才发现他竟然还是上帝之爱,看见他和静流,zake等黑界有名人士组成了一个团队,于是想加入,可惜需要3篇有深度的文章。经历了很久,一直百度随便搜索找目标,可是这样找的目标拿不下来就不耐烦了,拿下来了觉得太简单,所以一直叫人给指定一些目标,让我有针对性。4 }# `4 P; F' @/ y& n( t
/ S$ g) c: N; i2 c* g
哎。找了很多目标,不知道什么时候才能凑足这3个文章啊。痛苦ing 。。本来这破站如果提权方面不是那么郁闷的话,说不定还能算上一篇呢,却偏偏给个那么大的权限,大爷的。实在受不了,写篇文章当锻炼文笔了。7 e& s; c7 c2 E {3 I5 A" m+ P
# R5 M5 M: y. D1 z, B- Z9 d6 E
群里丢出一个地址,进去看了下,asp的站。 {- r% g4 ]* U; ~% u# b
8 b$ ` ` L! O
很熟悉的,点开个连接,id=?的。结果显示,非法的参数ID 。 很显然,做了防注入,有点不甘心,看下他的格式有多少。开始找的是news_id ,到google去site: XX inurl:asp? 发现了另外几种格式,有showxsgz.asp?xsgz_id=867 - 19k - 网页快照 - 类似网页 还有很多,都试了,都做了防注入。。8 q" q, `; _% ?& f; S
, g6 H7 _, o0 v4 X' E0 `/ v9 X
/ |9 n, @% Z4 R: N% q4 A
# k6 I# w3 g5 P/ E; X4 G 6 M/ _) h7 J- ^8 T
$ s! s3 i9 E3 o4 D( m
开始找后台,希望是弱口令,结果,管理员根本不是吃菜的,别说弱口令了,后台都没有。在整个站扫了一下,看下图片地址,很普通。转来转去,转到一个地方,下载doc的。
" ^6 Y# g S( p' h1 q( {
5 `) @% N# K) q. F& C) }. }* Q, B* }& e
) f# G& ~" k- Y/ S) L( u
看到没?/ewebeditor/UploadFile/20094294623829.doc 嘿嘿,有ewebeditor ,我尝试在IP后面直接加ewebeditor,显示错误,最可能的原因:可能需要您登入,我就知道,这个路径很可能就是在web根目录下,继续看默认登入的。果然 ewebeditor/Admin_Login.asp 进入了登入后台
8 L, B4 ^1 E, k
+ T6 g1 C3 Z b7 u* J' o1 ~* M/ A" j3 S1 _9 V$ a3 h
. I- j1 p, [' ^& ]输入admin admin 提示,密码错误。没办法,回到原站,想看看这个站是什么整站程序,到网上down一套源码来研究研究。。结果,这个程序没找着,应该是自己写的或者不出名的。后来我一拍脑袋,小傻瓜哄哄的,down源码第一步是干嘛?下载数据库啊。 这个站的程序不知道是什么,但是 ewebeditor 我还是认识啊,开始找数据库。找到默认数据库。ewebeditor/db/ewebeditor.mdb # W7 w" x/ `3 x X8 {. |$ n5 T
# P* A7 J0 f8 l" R9 l& _8 c! V$ }5 k- m
: U# I& {7 ~; {$ x# t5 w& R
查密码,登eweb后台,改类型,传shell,一气呵成。运气不错!(这里技术含量太低,直接略过)进了webshell ,由于看上帝之爱的文章看多了,也想传2个shell ,传个asp,传个php ,结果他的IIS不解析php,没办法,进了webshell,一看。- [# y% v) _7 v- Y( a" Q* d
) S4 ]/ @; C) }7 b8 h9 o) m/ L
- n5 u7 Z9 N$ D4 |- N4 B# b
7 Q, |7 I: b2 O( D2 s( `. C+ C8 L但是,能浏览所有盘。
( D+ v9 O0 v9 G2 a& oC:磁盘信息 }% \$ O0 z) l9 g
* c f2 y: ?9 N' r# K
磁盘分区类型:NTFS
$ h- G1 p" C( k磁盘序列号:-1265887598
! d! P7 R, J2 t3 h* K \( f磁盘共享名:# y$ g: `. m$ C
磁盘总容量:10731' h; b/ y: y7 P# L
磁盘卷名:
6 U( S- Q3 u8 J8 |磁盘根目录:C:\ 可读,不可写。8 P/ N, o& u3 T: c. a& x
文件夹:C:\Config.Msi 可读,可写。% c1 H' y' K8 Y- @- m3 ]
文件夹:C:\Documents and Settings 可读,可写。6 S# y7 d6 o' r B: Y" Z
文件夹:C:\Program Files 可读,可写。
) W+ F, p/ x0 [& S' t文件夹:C:\RECYCLER 可读,可写。- p7 C; Z. Z' Q8 L& x5 G) A
文件夹:C:\System Volume Information 可读,可写。
- c3 K: ]* E8 |* M文件夹:C:\WINDOWS 可读,可写。( h- z: J' J+ Y1 X3 e- L
文件夹:C:\wmpub 可读,可写。
: o( ]* Z6 l1 \$ r. e2 w注意:不要多次刷新本页面,否则在只写文件夹会留下大量垃圾文件!
! z7 x: q) h, c6 F' X' f; ]2 z; n# s
**。。。权限那么大?? 晕了。。C盘都可读可写啊。或许因为我太菜,这样的权限我也不知道该怎么用。或许SU在C盘这个权限可以利用来修改INI 。等下再找SU吧,权限大是好事。
0 P6 K. B% b% q( X G, _7 Z2 j; n* a7 p- u% z% }
哎。。看到conn.asp 查到数据库密码,还是MSSQL的数据库呢。。哈哈,连接成功,但是执行命令却。。
* ]6 r8 e! O4 G. Z* F+ t; u4 s) I9 T# |$ q0 k8 Y6 B
% c z2 A" s$ W7 C0 {: W- Y; m9 T! C# W" S0 O0 M% [
2 C0 U8 C/ Z" O, `& Z5 g2 G7 k8 i
" r/ ?' M% x, f- @2 q没办法,继续找,我的SU啊,你快出现啊。。。哎。。幸运之神没降临给我。找不到SU。& p/ K4 P8 r' o; ] Z; k3 V \* t
) Q( e; g% j5 _2 f+ F
perl 没有。其他的也都试了,一个字,艰巨! 怎么办呢?( R) r3 G; Y- R9 T, H3 `
3 P0 G- t& d7 ^0 o4 G" y9 W, G. f
最蠢的方式,爆力破解密码。! P. k5 e! Q0 R4 x2 [. k% G( `
9 n6 E; X' |8 v' x+ Q& Y
找到了备份的SAM文件,一看最后更新时间,老天,2007年2月。。都过了2年了,不改密码是白痴啊。暴力破解都不用了。试图放弃。
4 U6 v/ X7 b; i# \2 `$ g7 H. s1 y
. P0 p7 U H) U' [ C6 n8 R9 Z) q可是后来还是不想放弃,以为自己没找仔细,开始拼命寻找有关SU和FTP的信息。(可能有些人会问我为什么不上传cmd.txt和net.exe ,呵呵,我也想啊,可是有用吗?)( H) D! Y* W* J
% T5 z- p# M* g* ^0 T* s# ]最后,还是没找到,却找到一个非常奇怪的文件夹。在windows中,竟然有两个config文件,仔细一看,原来一个是conf1g 一个是 config ,为什么管理员会搞那么奇怪的东西呢?怀着好奇的心理我进去看了看。
; R/ G3 H+ p) Q+ t7 t0 z! u
9 Q2 c/ D( V- _* a6 ]/ a2 f哇。。CAIN ,这是what ?? hacker ?? 管理员自己怎么可能会用cain ?更值得我注意的是,里面还有个ji的文件夹。这个文件夹中,存在 ms08067.exe ,我XX他个OO的。这是what ?抓鸡工具?难道有黑客光临过/?
; n6 c: X8 r, E
7 v J {5 [' @4 [( |, }" K% O找到抓鸡配制的,晕,竟然木马和抓鸡,FTP,用的都是此服务器。木马都挂在服务器上。服了。按找上面提供的FTP帐号密码,我登了下FTP,竟然有效。
( e5 h* W- Q6 I+ P% {+ |# r; Z
5 ` U3 f$ L+ X* @6 C4 p0 d8 q- I" H( ?+ F$ @! L
- d, @; b6 c7 ]* A1 X4 c
. R3 @" i$ X8 o' x
' s7 B' K' x: x' F- n" D5 r9 b8 M4 V1 Z) |; _
- x" o, d; e. U/ I& y ^
/ J" Q; v# E9 N; M9 \0 w2 a* j( {$ j) Y# ]7 `/ U% j
赶紧的,FTP提权。先进下FTP,试下效果。
8 [2 w6 o1 k% \+ X6 M9 q2 c
8 x5 u$ e' k$ }' m7 n8 N# _ftp> quote site exec net user hackbkk 123456 /add
$ [9 j8 l5 K/ I3 I, q$ ]" i421 No-transfer-time exceeded. Closing control connection.
( r4 y5 W4 u X# f N1 rConnection closed by remote host.# e% j5 O" h% _# C/ G( M2 ~% z
ftp>
1 c" S7 @/ L3 E w' }5 H# F) d5 I4 f1 h7 }3 d, v& R
对喔。。咱们没东西,把 cmd.exe net.exe ftp.exe 全都上传到C:\wmpub\下.
; A ~- I8 v" i# A8 x2 C1 J6 U* { v0 ?) u) l0 M
可是,还是显示非法,妈的,我知道了,FTP权限太小了。那怎么办呢。。有个黑客已经进过了,难度好象很大啊!/ C+ ^$ L C# F6 c! C2 u
* J6 a9 e( }& A
于是,我再次关注了吐奶头的小孩(上帝之爱)发在暗组的对某商城的一次渗透,发现他文章中写着:9 f$ z6 ^$ l! E# m
( D9 |: |6 [" k" F, W: L( c' x- F6 N8 p3 e+ {/ H: [
又只能放弃了!又扔上去几个aspx的马,发现无法打开,但是并米有被杀,貌似是环境问题吧?只有bin写的那个可以,但是执行命令极卡,半天都米有回显!
' ?4 h2 p0 ^# X2 E! {7 D4 Z这个时候只能从1433下手了,找找mssql的sa,用aspx的马开始翻目录,找了半天终于找到了sa!于是换另一个个连接数据库的马,开始连接,发现不行额!显示什么被阻之类的!
' @, g* j; }0 O7 I估计是组件被关闭了! ) [; Q6 l3 a* L/ R% `( }2 R$ ]- n
转载请注明出自暗组技术论坛 http://forum.darkst.com/,本贴地址:http://forum.darkst.com/viewthread.php?tid=382642 S ?* t8 `; Q1 `6 C
! F7 X7 B9 G# X0 z5 S0 j& K 1 X& G3 T! {9 I5 H
9 v/ ~+ u; L( i3 Z% ?* p5 D
f" e, h q: T7 p8 f4 Z$ V于是开始找开启语句,对mssql的玩的少,不是太熟悉!+ [" I9 _ ?2 p5 F2 d1 S) j
后来二少给我了语句,便去继续日之!
0 E5 b. ^6 q$ V9 F: [; |% o3 }EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; . R: i0 R: j% k& J$ U
1为开启,0则为关闭!
! C7 e3 {5 E" c. M/ T( m然后执行( s7 y2 p! u9 O3 b% b1 y, R
EXEC [master].[dbo].[xp_cmdshell] 'cmd /c net user xx xx /add'8 F' `$ W$ o; ~$ k
即可!
# {( n5 F1 E, P5 C. w( S回过头去看看,发现用户已经成功添加上了!
4 k6 z3 `: b( h: a" @
- P/ ^# S! Y6 h/ [, ?5 M# m; _) y [7 T( j: y/ {) c# S' _
我晕。。找SA ,对啊,我那找的数据库的用户都什么啊,cai 密码 123 我呸,那能有几个权限,找SA,上ASPX马。。关键是,怎么找啊。4 m; m, T8 g" G# q ?. U
9 x c J. ~# Z B) b/ f4 g我一直百度,发现都是什么进入企业管理啊,用windows认证用户改密码啊,纯属无用,我要能进服务器我提权干虾米。。
. g' n) r D; D8 A9 q8 u. ]1 I) K2 e4 C* w! V& X
后来在数据库的表中,找到admin表,帐号admin,密码,MD5的32位加密的,解不出来,我又昏倒了。
3 t% c6 h; ]7 @: ^
7 a, l5 _& ?1 _' l8 N, e难道,真的要用VBS加启动项吗??这个webshell对stym32有完全控制权限喔!! `0 K& M5 b- H1 z+ K( p. B
/ ?6 l$ X5 G7 t/ E1 I
可是,我要怎么让服务器重起呢??DDOS攻击??我可不玩那种没技术含量的东西。再说我也没肉鸡啊,服务器倒是入侵了一堆。怎么办??日C段,ARP ?算了吧。。那么麻烦。8 i4 e: ` ~1 z2 K4 }: y
% g( ]; F' g( n- z" ^% I后来,还是用了最蠢的办法,把那个07年的备份SAM下载过来,用LC5跑密码,大爷的,和学生黑客联盟的冰魂在聊天,这么大个权限,竟然提不了权, 他说,可以测试下,说不定可以把自己的SAM覆盖掉服务器的呢。。我的天。。这个世界太疯狂了。这王八蛋竟然说在改自己的站,没空帮我看这个shell ,超级鄙视。. l0 Y, l4 o1 c& i
' w6 {5 P0 o" T ]1 M) }
跑啊跑,下了无数字典。。后来跑出来了,怀着中彩票的心情,进去,fuck !! 连不进,难道是内网??不应该啊!!我知道了,这管理员改了端口,找啊找,知道他把3389改到52110了。连接他,进去了,输入密码,错误!
% `* @, ~4 u4 _0 H% y" X* V6 H
$ `) x( L9 d3 X6 b" Boh , shit !! 到最后实在没办法了。。可能是我太菜还找不到更好的方法吧,提权也算是我的弱项了。后来直接上的VBS 去启动项,等了1天多,竟然上线了,直接连接终端net帐号密码。9 d% C0 S1 \' q* D2 b
' B4 F% f2 a" F; f4 U最后拿下服务器。
, H8 _0 s6 ^5 R) ~1 \3 f) P
. G: w9 `% y5 O
n9 x) a7 y, B1 T# W
% Y3 O4 C% ?: N5 @: Z2 J; e6 a另外也高兴下,3月份我就想入侵广东海洋大学了,可是该死的蜜罐系统搞得我头疼死了,经过近1个月的踩点和大范围入侵,今天刚好拿下广东海洋大学内部的一台服务器,可以ARP主站了。还发现个0DAY,但是经朋友们劝说,0DAY还是掌握在自己手中比较好~呵呵~所以就不公布出来了。
+ Z' Q# K. S! R) I
. p3 B9 J' i' u. u呵呵,入侵广东海洋大学的我做成了视频教程,等我研究出了怎么补那个漏洞我再把教程发出来好啦~ |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
-
2
评分人数
-
|
发表于 2009-4-16 14:46
| 
发表于 2009-6-10 17:10
| 