[原创]渗透少年黑客联盟！·

cnsst

渗透少年黑客联盟\r\n\r\n文章作者:伤心的鱼[SST]\r\n个人站点:\r\n   \r\n本来是不想发这的。因为虽然算是艰难的渗透。但是还是用了最简单的方法完成... 但是也算是一原创吧 嘿嘿 凑字数 哈哈     \r\n  \r\n首先百度一下 少年黑客联盟... 一猜就是排第一的说 哈哈 首先看下这个站的站点.. 图1\r\n\r\n\r\n\r\n[url=http://bbs.iehack.com/]http://bbs.iehack.com/ 是个论坛.DZ6.0. 汗 咱没0day 直接从站点入手不太方便.另外即使拿到了管理员的密码 DZ6.0的后台也是没什么好办法的 拿不到WEBSHELL 要是5.5的话还是可以的 .但蔢X兰扑?钦庹菊境ひ裁欢嗌偾??肯定是虚拟机了 嘿嘿\r\n\r\n明小子检测一下。看看绑了多少站。..图2\r\n\r\n\r\n\r\n丫的绑了71个站点，我靠。看来还真是虚拟机 直接拿明小子的SQL检测下。 找个能注的进后台拿个WEBSHELL提权就OK了。 \r\n\r\n一检测 全他妈是注射点. 图3\r\n\r\n\r\n\r\n随便找一个连接能注射的..先找后台。我习惯是先找后台。不然等你猜出密码了后台要找不到还不喷血...以前好多次猜出密码了没后台 \r\n\r\n直接找到一个http://www.addluck.net/admin/ 然后就用明小子自带的工具猜密码 结果密码还没猜完 我试着直接用\'or\'=\'or\' 就进去了。 操 无奈了。早知道猜什么密码 机器怪卡的(各位朋友.俺把真实地址发出来了.. 你们可悠着点) 图4\r\n\r\n\r\n\r\n\r\n既然近来了就瞅瞅有蒟X芾?玫?. 郁闷 俺最想要的备份数据库没有。但是有上传 可以串图片..格式只能是JPG或者BPM的 传不了小马。不过我后来我发现原来后台添加图片那里使用了ewebeditor\r\n\r\n既然是ewebeditor 那咱就不用客气了...我太了解这家伙了 俺上回用ewebeditor没少拿SHELL 直接传个图片后查看地址.. 这里我就不多说了。不懂的朋友去看我那篇<一个ewebeditor百个SHELL>我博客里有 如果传的图片找不到地址的话可能设置的是相对路径。然后传一个别的文件 EXE的 这样就能找到ewebeditor绝对路径了\r\n\r\nhttp://www.addluck.net/XXXXXXX/admin_login.asp 直接发现地址 地址我改下.. 要想自己实验的自己去找.. 图5\r\n\r\n\r\n\r\n\r\n直接下数据库。这没什么可说的 路径db/ewebeditor.mdb .. 下完我就后悔了.. 妈B的 人家的密码都admin 早知道我还下毛数据库\r\n\r\n直接进入后台 图6 \r\n\r\n\r\n\r\n\r\n进到后台就好办多了。 直接样式管理 添加ASA 类型 图7\r\n\r\n\r\n\r\n然后回去点预览 直接上传ASA类型的大马 或者添家aaspsp类型的 因为\r\n\r\newebeditor会过滤掉ASP 所以我们添加这样的正好过滤后就剩ASP了 就可以直接传大马\r\n\r\n这里就不废话了。 传好后直接查看属性.得知地址为UploadFile/2007913133441132.asa 直接访问下 图8\r\n\r\n\r\n\r\n这里说下UploadFile/2007913133441132.asa 这个是在ewebeditor目录下 不是在站点根目录下。上回一朋友传完马找不到。因为他把路径搞错了 \r\n\r\n\r\n\r\nhttp://www.addluck.net/XXXX/UploadFile/2007913133441132.asa 大马直接出来了。至此我们成功的拿到了目标站同一服务器的\r\n\r\nWEBSHELL 剩下的就是提权了.. 这是个麻烦活 先在WEBSHELL里看看服务器都支持啥 图9 图10\r\n\r\n\r\n\r\n\r\n他NND wscript.shell给DEL了 没法执行命令。 虽然有办法恢复 但是超级麻烦还不一定成功.我懒 不爱去看这个.. 图10里我们看到服务器装了 .net SQL Server还一堆乱七八糟的东西 想找找有没有SU 结果发现\r\n\r\n连FTP 都用的MS自带的。 这里我不截图了。 直接FTP里open www.addluck.net 就有了。 \r\n\r\n虽然服务器支持ASPX 但是好象这个目录不支持。我传了ASPX PHP 都没法访问... 服务器里也没什么能用的。 顿时有点茫然了。\r\n\r\n扫了一下端口发现开了21.1433.3306.135等端口 没有3389 估计是给改了。 图11\r\n\r\n\r\n\r\n我用superscan又扫了一下(谁有好用的专用扫描器提供给俺 superscan 扫一次得半小时)。然后一顿乱猜 发现 服务器把Terminal Service改到了25520 妈的..害我猜了好半天\r\n\r\n不过光知道终端也没用。NND 继续翻目录 就不信找不到有用的东西.. 既然服务器开了1433 3306说明MSSQL 跟MYSQL都在用\r\n\r\n找到一个密码也算是成功了。 .. 另外说一下 SHELL的权限还是可以的 至少能看见服务器上有些啥 E盘除了WEB目录不能访问其他都可以 \r\n\r\n翻了一圈也没找到什么。。就搁下了. 跟人扯淡去了 过了两天依然没什么进展. 我把站丢给了哭泣的猫 让他帮我看看 .. 第二天这只\r\n\r\n死猫竟然找到了SA密码图12\r\n\r\n\r\n原来站的目录里竟然有一个动网SQL版的论坛..在一个不起眼的目录里。 要不我怎么找不着呢... (死猫跟我要0day..说拿0day交换SA..)\r\n\r\n不过俺在黑防精华本里找了一个新云的注射漏洞给他. 哈哈 成功的换回了密码...不过 10分钟没到猫就找我了。说我是骗子 哈哈 给他个发出来 N久的漏洞 哈哈。。 都是兄弟嘛。。等偶有0day再说吧... 此猫极度郁闷中. \r\n\r\n\r\n既然有了SA 就连一下看看 哈哈 连接成功.. 执行net user看看 图13\r\n\r\n\r\n\r\nOK。 没啥问题。 直接添加一个用户 这里我不截图了。 。这太简单了。 然后直接登陆服务器看下 图14\r\n\r\n\r\n\r\n\r\n登陆的时候出了一点小问题.. 终端总是提示我没有权限登陆。妈的明明加上去了啊。 后来才知道 光是net user 忘了 加到管理组了\r\n\r\n\r\n郁闷死我了。 至此此次渗透就结束了. 本来想在目标站扔个大马.. 后来想想算了。 人家也不容易。 反正也是玩 \r\n\r\n呵呵 检测结束以后我就跟他们站长说了。 也在服务器留了个TXT 跟管理员说了下此次入侵的经过。 呵呵 这里强烈感谢死猫同学\r\n\r\n虽然是因为拿到到了SA才算成功 但是这站我提权用了快一个星期 用了很多方法都没成功 最后才发现的SA 其实提权的时候用了N多\r\n\r\n种办法. 因为没成功 所以我也不在这打字占地方了。 只说了一下成功的一个.. 服务器能用的东西真是太少了\r\n\r\n我拿到服务器以后给站长截图.. 以下是我跟他们站长的聊天记录... 图15\r\n\r\n\r\n\r\n坏坏同学认识他 人家是黑客 。 哈哈\r\n\r\n因为他不让偶装B 所以就没挂页子 呵呵.. 这个站长才16岁。 ..人家也不容易 哈哈 \r\n\r\n因为不是投稿的文章 所以我写的很笼统.. 大概看明白咋回事就完了 哈哈 就这些了 9月15号左右搞下的服务器.. 写完文章就一直没发\r\n\r\n今天又检测了一下发现服务器权限又变的严了 SA也找不着了。 这才把文章发出来 呵呵 我当时把站发给了几个人。hackest看了半天 说\r\n\r\n没办法... 看来不止是我一个人不用心... 以后提权的时候要注意每一个细节。 本来文章不想提是少盟的.但是网络没有绝对的安全\r\n\r\n我不提不代表你就安全。 黑防的文章还发过自己被渗透的过程。 所以我觉的没什么的 希望黑客站长表介意袄\n\n[ 本帖最后由 cnsst 于 2008-1-9 09:02 编辑 ]

僵尸道长

虚拟机惹的祸...\r\n\r\nPS:你怎么天天这么好命能遇到SA?

cnsst

注射王子知道么？ 什么不能射？ DB我也射5

ninty

PUBLIC也能射？

小天mm

原帖由 cnsst 于 2008-1-9 10:10 发表 \r\n注射王子知道么？ 什么不能射？ DB我也射5

\r\n\r\n\r\n呦\r\n\r\n还注射王子呢

僵尸道长

原帖由 小天mm 于 2008-1-9 12:20 发表 \r\n\r\n呦\r\n\r\n还注射王子呢

\r\n\r\n这个称号是他昨天获得的。

winsyk

我R运气真不错每次都是SA权限.\r\nRPWT呀我他妈每次都是PUB或者是DB还列不出目录RP呀.

学习数据库

:rose: :rose: :rose:

fangtang00

NB\r\n加油\r\n:rose: :rose: