by:小志
找了N个站,都没找着洞。。最后发现有个站用的新云的漏洞。。碰碰运行。。看看有没有以前那个任意文件下载的漏洞。。哈哈。。看来最近运气不错。。如图.
仔细瞧瞧,这是个分站。看看主站是啥鸟样。明人一眼就能瞧出用的动易的系统。哈哈这下有搞头了!
虽然用的2005版,,但用了几个以前动易的洞都不行。看情况是管理员补了。。 手上没有ODAY,,就只有从那新云的系统下手了。。找出数据库地址。发现是asp为后缀的。。看来没戏了。。防下载鸟。。。 想想,,能不能通过新云的任意下载漏洞。来下载主站的数据库连接文件呢。。。。想毛,直接试试就知道了。。。直接把目录跳到上一级试试。。。
DOWN下数据库连接文件一瞧。汗,,白眼,MSSQL的库。。。
马上在本地架设个有注入漏洞的文件。。NBSI里跑。。
简直没翻白眼,,我的天。。DB。 拿到DB 那你要做什么?当然是找到目录站的web目录,备份之。。
经过千幸万苦,终于找着了目标站的目录
心想,这黑客网,不会这么快就被偶日下来了吧。。那也太。那个鸟。。
不习惯用工具备份。。接用查询分析器连接那密码!。
冒想到问题又来鸟。。语句乍有错误,难道不能设置为完全恢复模型。
语句并没有错误啊。。郁闷。。
难道不能设置为完全恢复模型。。
执行别的语句看看。
正常啊。。再执行瞧瞧。
怎么又错误。。后来发现。只要语句出现当前数据名,就会出现错误。。。
在网上翻了N久也没找到原因。。大家都知道。要备份SHELL,一定要出现库名才行。否刚是不行的。。SQL是不支持备份单个表的。。在网上查了一翻资料。。才知道。BCP可以备份单个表。但是,备份的过程中出现了库名。同时也暴错。。。哎,遇到DB都这样。。想想,
旁注的时候。发现有个动网论坛被挂马了。。那站应该有漏洞来着。。。
用弱口令瞧瞧。。天。还能登陆。。。。 汗,白欢喜欢一场。。看来入侵者比较聪明,把权限降低了。。
难道就卡在这里不能动。想想,不是能列目录嘛。。 DOWN下这数据库,先拿个SHELL再说。 本想把数据库DOWN。进后台拿SHELL。没想到在翻他库目录的时候,发现了一个小马。哈哈,有人给偶打开了方便之门。把小马光溜溜的丢在那。。哈哈。
马上传上大马,上去。提权。。。
权限还不错。。Wscript.shell没给删。。。 还是有点搞头。
上传个cmd.exe 到WEB目录。。执行下命令瞧瞧
在执行net user 的时候。汗。没反应?难怪给禁止鸟?
很是郁闷!!图片不发了!太多了!!发的我晕!
哈哈。。管理员只是禁止了net.exe 没禁止net1.exe ...
下面的时间就是提权了。。这里大家可能看到服务器是支持asp.net 那为何不丢个asp.net的马上去呢。。Asp.net 默认下可比IIS的权限高哦。实事证明确实如此。
但是管理员在web.config 设置了 customerrors mode="off"..不管你丢啥asp.net马上去,都无法正常解析。当然设置on 就可以了。所以对于asp.net 就没法下手了。
初看一下,服务器支持asp asp.net php 。但PHP是在IIS平台下的,也就是说权限小的可怜。
但MYSQL默认下是以系统权限安装的。。找到my.ini 提权不错。
找了N久也没找着。我想服务器里都有黑客站。安全性肯定不会差的。。不会把my.ini 摆在那给你瞧的。。
难怪没有其它的办法了嘛。跳转到其它目录瞧瞧。。发现权限设置了的很死。当然是不能跳转到服务器的其它WEB目录了。。管理员每个网站都设置了IIS独立用户,没有设置的话,知道其它WEB目录的路径。还是可以跳的。
之后利用本地构造的注入点。放在NBSI里面鄱了好久。。终于找到个可以跳转的目录。哈哈。。Flashxp 希望来鸟。。DOWN到本地瞧瞧。看有啥好东西。。汗。。之后发现。。里面FTP还是蛮多的。但一个都登陆不了。。这是不是管理员故意放水。来诱惑咱们的。不管了。。找找他SERV_U目录的。看到了吧。servfadsflf@#@I目录,,目录名设置的真变态。。管理员把目录名设置的这么复杂。应该是为了防止别人猜解目录,然后跳转。那么用WESHELL浏览的权限应该有吧。放在WEBSHELL里,跳转下瞧瞧。整个无语了。权限设置的这么变态。何必把目录名改成那么牛X。。
继续找比较能利用的目录。。大家知道mysql的安装目录有个
user.MYD文件。。里面存储了mysql.user表中的数据库连接密码。一会的功夫。。找着了mysql的安装目录,并找着了那文件。没想和serv_u一样。shell不能浏览。
后面找了N个多可利用的目录,都不能浏览。。只有flashxp可以浏览,却没有利用价值。。
可能有的人会说。。把里面一些FTP的密码搞出来。利用社会工程学试试。。偶也跟大家一样。用星号查看器搞密码搞出来。把密码随便组合了N个,登陆服务器的终端,FTP。都不行。。
看来拿到服务器的机会小之又下了。。手上没什么本地溢出的EXP,有的话倒可以试试。 。。
因为是拿目标站,只要拿到站,没拿到服务器也一样。。现在提权不行。先把目标站的FTP搞到手再说。
传个NC,反弹个shell.然后用htran 转发端口。。在本地嗅探。。。
发现
C:\windows\system32\inetsrv 不可写C:\windows\system32\inetsrv\ASP Compiled Templates 可写。当然c:\windows\temp 也是可写的。。
C:\Documents and Settings\All Users下的目录不用说了,都没浏览的权限,更何况写。。
马NC传到C:\windows\system32\inetsrv\ASP Compiled Templates 下。。在本地监听个端口。。在shell里面,执行。等了N久没反应。。看是没有执行的权限。其它目录都传上NC,然后执行。发现都没有执行的权限。。SHELL都反弹不回,更何况在本地嗅呢。
哎,可能是本人人品不好。。没找着啥可执行的目录了。网上说是可以的。。但我在2003下从来没成功过。。2000 倒是成功过。。
都到这份上了,难道放弃? 现在回想起来,就只有那个DB权限的帐号可以利用。
想想,语句只要出现当前库就不行。那我不用语句执行,还不行嘛?
在查询分析器里,新建个表,然后插入十六进制的一然话。当然不转换也是可以的。只是我习惯转换为十六进制进行备份。
然后进入企业管理器。
三十几M,难怪八行。
到这我头都晕。。休息下,整理下思路!
为什么
alter database 591swdata set RECOVERY FULL 执行这语句不行? 591附近有错误。。? 难道SQL库名不能你数字开头,不可能。
如果把591swdata 当做一个对象来处理呢。。用[] 括起来呢?想想冒用,说干就干。
哈哈。。搞了半天,,原来这样,汗一个。。
继续,,,拿到SHELL再说。开始备份的库太大,IIS无法访问。。大家遇到这情况的话。可以把日志清除了,然后再备份。哈哈,看到了吧。。。SHELL就这样拿到鸟。。。下面要做什么? 哈哈。。传大马呗。。
论坛是PHP的。。。 搞到连接文件,修改后台密码。。进了后台瞧瞧了。。顺便给自已加个管理.总结:
此次入侵没用到什么技术,但却千幸万苦,一点点不明白,成功就可以把你拒绝门外。。
当前位置:
