漫长的渗透
<P><FONT color=#ee1111>作者:幻刃 来源:</FONT><a href="http://www.hackblog.com/" target="_blank" ><FONT color=#ee1111>http://www.hackblog.com/</FONT></A></P><P>(1).</P>
<P>最初想当黑客的想法,来自于企图渗透学校的主机</P>
<P>虽然刚入hack道不久 还是一个很菜很菜的小鸟 </P>
<P>但我有信心 也有决心走我的路</P>
<P> 入hack道时间--2004年10月9日</P>
<P> 当前目标--渗透学校主机</P>
<P>start:</P>
<P> 扫描结果 </P>
<P>开放<a href="http://vip.hackbase.com/" target="_blank" >服务</A>: 21/tcp
开放<a href="http://vip.hackbase.com/" target="_blank" >服务</A>: 80/tcp
开放<a href="http://vip.hackbase.com/" target="_blank" >服务</A>: 3306/tcp
21/tcp - A FTP server is running on this port.
80/tcp - A web server is running on this port
3306/tcp - Maybe the "MySql" service running on this port.
Remote OS guess : Novell NetWare 3.12 - 5.00
"开放<a href="http://vip.hackbase.com/" target="_blank" >服务</A>"扫描完成, 发现 3.
发现FTP弱口令 "ftp/1234567"
发现FTP弱口令 "anonymous/[空口令]"
"FTP弱口令"扫描完成, 发现 2.
21/tcp - FTP Server type and version
3306/tcp - 尝试远程登陆MySQL<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器
21/tcp - attempts some buffer overflows
21/tcp - Checks if the remote ftp server accepts anonymous logins
80/tcp - HTTP Server type and version
"Nessus<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>脚本"扫描完成, 发现 5.</P>
<P>21端口放在第一位 就先44ftp溢出吧 </P>
<P>dos下登陆ftp 发现它的banner是serv-u5 喜~</P>
<P>昨天刚看玩一个su5的溢出<a href="http://www1.hackbase.com/flash" target="_blank" >动画</A> 很简单 </P>
<P>上~</P>
<P>晕 返回 may be it has got a patch </P>
<P>溢出不行 可能已经打布丁了 -暂时放弃</P>
<P>又看过一篇文章 说ftp里面可以使用命令添加权限</P>
<P>命令记不清了 反正4了 没用 -暂时放弃</P>
<P> 下面是80端口 可以溢出吗?还不知道 没看过这方面东东 先搁着</P>
<P> 3306 晕 my<a href="http://hackbase.com/hacker" target="_blank" >sql</A> 好像跟php搭配的 不懂 先搁着</P>
<P>端口就这些 评我目前的能力没的搞 </P>
<P>上主页逛逛</P>
<P>呵哈 dvbbs7 sp2 一看dvbbs大家都会联想道上传 我也不列外</P>
<P>当初在校盟的时候 最先接触的web<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>就是dv上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A> </P>
<P>找上传头像 没有..</P>
<P>找<a href="http://down.hackbase.com/" target="_blank" >软件</A>上传 没有..</P>
<P>晕了 先搁着 </P>
<P>今天到此为至 呵呵
</P>
<P>(2).</P>
<P>上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>可谓是风靡全国呀:)</P>
<P>上次虽然没有找到图片和<a href="http://down.hackbase.com/" target="_blank" >软件</A>的上传功能 </P>
<P>不过dv7的插件很丰富 呵呵 现又来了个虚拟形象设计功能^<a href="http://www1.hackbase.com/hacker/aggress/200501169559.htm#" target="_blank" >_</A>^</P>
<P>其中有个很不显眼的地方可以上传图片 </P>
<P>个人形象设计-合影-背景上传</P>
<P>老方法拉~ 上传图片-抓包 </P>
<P>md 先不看抓包内容 就浏览器里返回了 </P>
<P>----- <a href="http://vip.hackbase.com/" target="_blank" >服务</A>器对象 错误 'ASP 0177 : 800401f3'</P>
<P>虽然不懂什么意思 但有预感是没希望了 </P>
<P>管不了这么多 继续传 找上传的页面</P>
<P>这回更晕 在wse里面翻便了也找不到asp上传页 </P>
<P>我推测那个返回的错误信息就是没有存在上传asp页的意思了</P>
<P>总之上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>没的搞了:(</P>
<P>(3).</P>
<P>-初恋是难忘的</P>
<P>初恋的情人更是难忘的</P>
<P>-第一次挂黑页是难忘的</P>
<P>第一次挂黑页用的方法更是难忘的 :):)</P>
<P> dv上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A> 使我第一次尝道了hack的味道</P>
<P>难忘~ 绝对的难忘.........</P>
<P>对我们学校的渗透 在没有找遍整个<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器的<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>后我是不会罢休的 </P>
<P>继续</P>
<P>用旁注44 呵呵 在此先谢谢hakban </P>
<P>用老兵的domain上</P>
<P>我靠......¥......%※ 整个<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器就一个玉米 没的注了:(</P>
<P>我可爱的上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A> 难道没法了吗??</P>
<P>突然想到 学校的网站应该包含很多子站的吧 </P>
<P>比如什么什么系的主页 或者什么什么协会的主页 呵呵 又有的玩了</P>
<P>一番搜索 终于被我找道一个 "<a href="http://hackbase.com/skill" target="_blank" >计算机</A>协会" 用dv6的<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A></P>
<P>晕死了 本人还是计协<a href="http://hackbase.com/network" target="_blank" >技术</A>部的副部长呢 </P>
<P>不过这个站我还是第一次见 .....汗</P>
<P>平时我们搞的都是其他的表面工作 呵 </P>
<P>进<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>逛逛 唉 真是年久失修呀 最后发的帖子还是去年的 </P>
<P>不管了 俺来个大义灭亲÷</P>
<P>upfile....既然没用###</P>
<P>tongji.....既然还是没用%%%% </P>
<P>烦躁了。。</P>
<P>从初恋到结婚的可能有多大?</P>
<P>从第一次hack站的方法到用这个方法成为hacker的可能有多大? </P>
<P>哈哈呵 这么想着 心也就释然了 </P>
<P>rain老大曾经提醒过我 要有发散的思维..</P>
<P>发散。。。发散。。。。。 </P>
<P>44默认<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>。。。。。。。。。没用</P>
<P>默认不行。。。。。偶暴了他。。。。</P>
<P>yeah! </P>
<P>Microsoft JET Database Engine 错误 '80004005' </P>
<P>'d:\my<a href="http://hackbase.com/hacker" target="_blank" >sql</A>\xgb\tuanwei\qs\data\jdjsjxh.mdb'不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器。 </P>
<P>/qs/bbs/conn.asp,行12 </P>
<P>够变态的<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>名 幸好我没 发散 到去猜他的<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>路径 呵呵</P>
<P>拉下<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>后 唉 md5的<a href="http://hackbase.com/hacker" target="_blank" >密码</A> 我还没跑过md5呢 </P>
<P>主页我的机子还是c3的 慢 懒的跑了 这次没办法了 跑~</P>
<P>去网上找了个 MD5Crack V2.2 和 md5.exe </P>
<P>前者window下的 先用他了 跑跑跑</P>
<P>6位数字。。。7位数字。。。8位。。。没用 </P>
<P>5位字母。。。6位。。。没用 </P>
<P>唉 实在不想在加下去了 我可没时间挂机跑呀 </P>
<P>不知道有没有这样一种跑md5<a href="http://down.hackbase.com/" target="_blank" >软件</A> 可以把破解进度分开</P>
<P>给几台机子一起跑的 有的话一定要告诉我哦 </P>
<P>我有个同学开<a href="http://bbs.hackbase.com/forumdisplay.php?fid=18&sid=t82vV5P1" target="_blank" >网吧</A> 30多台机子 呵呵 这样搞的话就n快了</P>
<P>各位 有一定要告诉我呀 先谢了 不 万分感谢!</P>
<P>(4).</P>
<P>或许你看了我前几篇文章你会说我思路太死了 只知道上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A> </P>
<P>唉 确实是如此 也不是思路死的问题 想我这个刚入道1多月的菜鸟 </P>
<P>能知道几种方法?</P>
<P>哪能跟你们这班混了几年的high手比呀 呵呵 </P>
<P>但其他的方法还是有的 那当然是注入了 混了一个月的人也应该而熟能详了</P>
<P>注入的文章也看过n多了 原理也基本懂了 但像我个懒人是不会去手工住的</P>
<P>那可要我的命呀 于是亮出wis wed 开始干~</P>
<P>有人会问为什么不用nb呢?其实我也想用呀</P>
<P>nb强大的功能我又不是不知道 可是...nb在我机子上确不能用 晕死了</P>
<P>老是提示xx错误 所以只好用wis了</P>
<P>先wis...........看着dos窗口下一行一行的字网上升 确实蛮酷的 </P>
<P>难怪☆萧筱☆说他喜欢用dos下的<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A> 运行的时候会给mm一种神秘感....(汗</P>
<P>注入点查出2个 是某个<a href="http://hackbase.com/News" target="_blank" >新闻</A>的连接 从news=xx可以看出 </P>
<P>接着wed.............不一会 明文显示的<a href="http://hackbase.com/hacker" target="_blank" >密码</A> 用户也搞出来了 哈哈哈</P>
<P>爽~ 想着我的目标也已经实现一半了 好开心~~~~</P>
<P>最后一步是wed http://xxxxxx /a 扫描登陆页面 </P>
<P>黑底白字继续往上升... ```````.........````````</P>
<P>结果出来了 是test。asp 晕 有这种登陆页面?</P>
<P>感觉怪怪的 不管 上</P>
<P>和预料中一样 没用 唉。。。。。。</P> <P>也好 太容易实现 我反而学的少 </P><P>想想 如果我在第一步扫描到ftp弱口令之后就溢出成功</P><P>我也就不会去学脚本方面的<a href="http://hackbase.com/network/zs" target="_blank" >知识</A>了 呵呵</P><P>wis扫描无非是在url后面加入它字典里面的asp页面 </P><P>test碰巧在里面 不管有用以否 程序肯定返回给我啦</P><P>所以听好多朋友都说注入容易 得后台地址难呀</P><P>不过这次也有些许的收获 得到了管理员帐号和<a href="http://hackbase.com/hacker" target="_blank" >密码</A> </P><P>我保存了 这个对我以后用社会工程学时或许会有帮助的
</P><P>(5).</P><P>NB就是nb 做的<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>nb <a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>里的字典也nb </P><P>上次说用NB不能运行 于是我把字典放在wis里面</P><P>当时也没报什么希望 想不到希望就是你不想她的时候她就会想你 ^<a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A>^</P><P>后台出来 恭候多时的帐号<a href="http://hackbase.com/hacker" target="_blank" >密码</A>终于有了用武之地...</P><P>登陆进去后看看 原来只是主页<a href="http://hackbase.com/News" target="_blank" >新闻</A>发布的后台 可以对主页标题等做些修改</P><P>一阵狂喜~想当初我要在学校主页写下xxx I love you 的梦想不是马上可以实现了?haha 不过... 唉 这里是<a href="http://hackbase.com/network" target="_blank" >技术</A>板块 先不写这些 我会把那方面的写到MyPrinces里..</P><P> 现在我得重这个后台提升权限.. 不过这个后台比较简单 提升起来可能对我来说比较困难 呵呵 慢慢来吧 不急 还几年时间~~~</P><P> 找上传的页面 一开始比较纳闷 怎么没看到这个后台有上传的选项呢 </P><P>这个是<a href="http://hackbase.com/News" target="_blank" >新闻</A>发布的 <a href="http://hackbase.com/News" target="_blank" >新闻</A>里面的图片肯定也是从这里来的呀 但在左边栏里面就只有</P><P>发布<a href="http://hackbase.com/News" target="_blank" >新闻</A> 栏目管理 和系统管理 这几个东东 后来才发现 在发布<a href="http://hackbase.com/News" target="_blank" >新闻</A>里面 </P><P>有个不起眼的小按钮 当鼠标移过去的时候会宣示上传图片 哈哈</P><P>就这里4了 首先得找到上传的asp页 先随便点个文件上传 然后抓包 </P><P>这时跳出javascript提示筐说文件格式不对 我又不想传个无关紧要的图片上去以免管理员怀疑 于是我用tt浏览器关掉网页脚本 再抓包 </P><P>哈哈 出来了~~~ xxxx/uploadpic.asp 打开这个页面 出来个单一的上传页 </P><P>到这一步 我就有点盲目了 我不可能向高手那样 找到源<a href="http://hackbase.com/hacker" target="_blank" >代码</A> 然后一点点读出看有什么<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A> 所以只好乱抓一把了 同样用动网的方法44 不行呀 提示文件格式不对</P><P>懵 ..................... 哪位高手愿意指点下的? 在下才此恭候 谢谢了<a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A><a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A><a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A><a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A><a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A><a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A></P><P>(6).</P><P>好些日子没写日志了</P><P>上次搞到<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>md5<a href="http://hackbase.com/hacker" target="_blank" >密码</A>后 就一直叫Leetl帮我跑 毕竟人家管着一个<a href="http://bbs.hackbase.com/forumdisplay.php?fid=18&sid=t82vV5P1" target="_blank" >网吧</A> 呵哈</P><P>后来就继续找学校里各个系网站的<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A></P><P>呵哈 这样的网站也真够多的 看来老大说的对 要搞下不难</P><P>在这些网页中 我的战果是 得到了几个<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>的<a href="http://hackbase.com/hacker" target="_blank" >数据库</A> </P><P>还一个也是<a href="http://hackbase.com/News" target="_blank" >新闻</A>发布的后台权限 不过跟我上片写的那个后台是一样的</P><P>找到了上传的页面到不能上传 已是我决定抓个包<a href="http://hackbase.com/hacker/leak" target="_blank" >研究</A><a href="http://hackbase.com/hacker/leak" target="_blank" >研究</A></P><P>抓到的头部是这样的 后面马的<a href="http://hackbase.com/hacker" target="_blank" >代码</A>就省略了</P><P>POST /news/admin/uploadPic.inc.asp?upload<a href="http://www1.hackbase.com/hacker/aggress/200501169559_1.htm#" target="_blank" >_</A>code=ok&editImageNum=&actionType=&picName=&editRemNum= HTTP/1.1
Accept: */*
Referer: <a href="http://www.xxx.edu.cn/news/admin/uploadPic.asp" target="_blank" >http://www.xxx.edu.cn/news/admin/uploadPic.asp</A>
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d41ae3a10021c
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; TencentTraveler ; Alexa Toolbar)
Host: <a href="http://www.xxx.edu.cn/" target="_blank" >www.xxx.edu.cn</A>
Content-Length: 1437
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDCADSTTQC=JOAOJFPBKNJONMGFCKFOJLAD</P><P>-----------------------------7d41ae3a10021c
Content-Disposition: form-data; name="codefilename"; filename="D:\Trojan\carolyn.asp"
Content-Type: text/plain</P><P>跟动易文章系统的一样 没有路径"filepath",但它有文件名参数"filename"</P><P>于是便学着改了下 carolyn.asp后面加个空格和允许上传的文件后缀 </P><P>再用winhex把空格的20h改为00h 即/0 </P><P>如果存在<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>的话 上传是会成功的 </P><P>用nc提交后 返回文件格式错误 当时就觉的非常的不爽。。。。</P><P>老大说我们学校用的很多都是网上现成的网站程序 很容易找出<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>的</P><P>我也知道 我们学校我好像还没听过这方面的牛人 能自己写出来</P><P>还有一点是这个上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>打了补丁我觉的也不太可能 这个不知名的程序都打了补丁的话 那注入<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>也应该给补了 这样我也就不能上后台找到上传页面了</P><P>那唯一的理由就是这个<a href="http://hackbase.com/News" target="_blank" >新闻</A>发布程序根本就没上传<a href="http://www1.hackbase.com/News/World" target="_blank" >漏洞</A>。。 晕 (废话 、、</P><P>不过我总觉的不可能 已是我便登上后台 上传一个允许的文件看看</P><P>结果是---------文件格式不对 无论是gif 还是jpg</P><P>我狂日 吗的 被耍了</P><P>究竟怎么回事?</P><P>评我的 "幻想" :我觉的是对ip做了限制 不允许远程提交。</P><P>高手请指点下 谢谢了。。。。</P><P>后来那个问题 我更加的坚信了我的 幻想。。</P><P>Leetl那边传来了好消息 跑出了一个后台管理员的md5</P><P>当时狂喜 想到webshell就要到手了 </P><P>至于前台的<a href="http://hackbase.com/hacker" target="_blank" >密码</A> 呵呵 还是dv默认的 。。(无语。。。。</P><P>已是用默认前台<a href="http://hackbase.com/hacker" target="_blank" >密码</A>登上去后 再用刚跑出后台<a href="http://hackbase.com/hacker" target="_blank" >密码</A>上 </P><P>.....残酷的事实再一次划破了我的喜悦/////////</P><P>4了3次都没登上去 日靠操叼!<a href="mailt!@#$%^%$Content$amp;^^%$" target="_blank" >!@#$%^%$Content$amp;^^%$</A>&</P><P>难道真的是ip做了限制?????????????????</P><P>############期待高手指点迷津##############</P><P>(7).</P><P>今天终于有了突破性的进展了--拿到了webshell </P><P>用的方法是asp<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>插入<a href="http://hackbase.com/hacker" target="_blank" >代码</A> 这方法其实一个月前我就用过了</P><P>大家也应该知道 这个方法最主意的的是得到<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>的路径</P><P>那时我用默认<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>不行 用%5c暴库也不行(其实是可以的)</P><P>问题就出现在这 用%5c时 返回的是</P><P>
Microsoft JET Database Engine 错误 '80004005' </P><P>'d:\vhost\wdx\data\liuqing.asp'不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器。 </P><P>/wdx/guestbook/conn.asp,行8 </P><P>网址是<a href="http://www.xxx.edu.cn/wdx/guestbook/index.asp" target="_blank" >www.xxx.edu.cn/wdx/guestbook/index.asp</A></P><P>当时暴出库来之后 我是这么改的 <a href="http://www.xxx.edu.cn/wdx/data/liuqing.asp" target="_blank" >www.xxx.edu.cn/wdx/data/liuqing.asp</A></P><P>返回的却是404错误 当时也不知道该怎么办 已是就另找方法了</P><P>不过今天无聊透顶时又来到这 还是暴库</P><P>返回的也还是上面的信息 不过下面那句/wdx/guestbook/conn.asp,行8</P><P>引起了我的注意 这是一个留言本的页面 我想在<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器里面应该是在guestbook文件夹里面的 于是大胆的提交<a href="http://www.xxx.edu.cn/wdx/guestbook/data/liuqing.asp" target="_blank" >www.xxx.edu.cn/wdx/guestbook/data/liuqing.asp</A></P><P>哈 奇迹出现了 出现了一堆乱码 成功了!!</P><P>后面的事也就简单了 用蓝屏大叔的一句话<a href="http://hackbase.com/hacker" target="_blank" >代码</A>写进去 上传马马 呵 激动ing。。。</P><P>先传的是那个经典的aspmm 传上去过渡 不过过渡传大马时 却总是不成工</P><P>纳闷了 我想不会时fso被静止了吧? 那就麻烦了 </P><P>已是直接传大马dbm6 登陆后果然什么都没 看<a href="http://vip.hackbase.com/" target="_blank" >服务</A>器信息 fso禁止!!!</P><P>真是不爽呀 不过幸好我还有一个终极武器--免fso<a href="http://hackbase.com/hacker" target="_blank" >木马</A></P><P>哈哈 传上去 ok 可以目录跳转 浏览 修改文件 不错</P><P>改主页吧?哈哈 当初的愿望!! 不过还没想好写些什么 不急</P><P>先提升了权限再说</P><P>后来发现不能跳出web路径 郁闷 </P><P>今天先到迟为止吧 总的来说还是很开心的 哈哈和哈和哈哈哈哈 </P><P>结局:</P><P>04年10月9日至今天05年1月10日</P><P>用这3个月01天的时间里 我实现了我的愿望</P><P>拥有改掉学校的主页能力 虽然很肤浅且被高手不齿</P><P>但我不介意大家怎么看 总之 我实现了!</P><P>从不能到能 切实该令我兴奋 </P><P>我应该高兴 但却高兴不起来。。。。
</P>
页:
[1]