数学建模社区-数学中国

标题: 漫长的渗透 [打印本页]
作者: 韩冰    时间: 2005-1-16 11:31
标题: 漫长的渗透

作者:幻刃 来源:http://www.hackblog.com/

) r! E7 N- Q+ r) x8 ~

(1).

& A3 l' K, k& x k% m) _

最初想当黑客的想法,来自于企图渗透学校的主机

2 L# s j+ C4 K0 p1 D

虽然刚入hack道不久 还是一个很菜很菜的小鸟

8 C( _# m( S+ {9 E

但我有信心 也有决心走我的路

6 K4 _4 C6 o. s

入hack道时间--2004年10月9日

* ?. M5 o, ], B& q

当前目标--渗透学校主机

R" e2 j/ t2 @

start:

- v9 m& o7 Q; O9 g* @ w

扫描结果

# T/ X+ |4 a( x+ \

开放服务: 21/tcp 5 \, z* ]2 |+ I; O) `7 W+ \开放服务: 80/tcp! y' K3 I, C3 x- p 开放服务: 3306/tcp9 y7 o" L/ `& _ d3 \& w 21/tcp - A FTP server is running on this port.* @2 r! x, k5 |. ]0 y+ I 80/tcp - A web server is running on this port . v4 m* [5 |4 n5 U" Y+ x3306/tcp - Maybe the "MySql" service running on this port. 4 V3 q: ]% a( m/ C6 X$ ?$ {; mRemote OS guess : Novell NetWare 3.12 - 5.00* l* R/ l" s; s2 g% i "开放服务"扫描完成, 发现 3.! f1 Z( t4 n5 l$ t 发现FTP弱口令 "ftp/1234567"& Y3 n) @8 ^- ~! R/ x4 { 发现FTP弱口令 "anonymous/[空口令]" 3 _4 W7 Q- T: y( ]9 j" W- i. v"FTP弱口令"扫描完成, 发现 2.0 B- X7 D& g4 p0 v) H1 B/ o5 e 21/tcp - FTP Server type and version+ H* a- {# ` W# a 3306/tcp - 尝试远程登陆MySQL服务) m2 C/ {1 s" ]( r2 Z/ p: } 21/tcp - attempts some buffer overflows 9 }8 l* D4 \- L( a21/tcp - Checks if the remote ftp server accepts anonymous logins % j' ?1 q2 E! J- x1 P80/tcp - HTTP Server type and version 3 K7 e- h0 ]9 P, l- j, k0 I"Nessus攻击脚本"扫描完成, 发现 5.

% u3 S: G m% T& \

21端口放在第一位 就先44ftp溢出吧

7 e; R. G3 ?" U2 I

dos下登陆ftp 发现它的banner是serv-u5 喜~

$ J7 Z% T# C; v

昨天刚看玩一个su5的溢出动画 很简单

K1 s, l& t% P& X

上~

7 u% b4 F* E4 Z7 X

晕 返回 may be it has got a patch

2 J& e9 L- o( {* V

溢出不行 可能已经打布丁了 -暂时放弃

0 R5 g0 p6 j9 x. ]8 S7 Y

又看过一篇文章 说ftp里面可以使用命令添加权限

, c& ~5 b5 ?6 m/ j0 o% _- C0 }; @

命令记不清了 反正4了 没用 -暂时放弃

5 g/ j3 o6 P, {4 F% T3 j- g1 b

下面是80端口 可以溢出吗?还不知道 没看过这方面东东 先搁着

g* Y0 n; W$ p; `: i `

3306 晕 mysql 好像跟php搭配的 不懂 先搁着

: h6 ]3 l4 b' q, u, }, G

端口就这些 评我目前的能力没的搞

7 @: y5 b7 i) A5 h1 [. s* A

上主页逛逛

' @: n" ]6 ~9 i) |( @

呵哈 dvbbs7 sp2 一看dvbbs大家都会联想道上传 我也不列外

0 {& T) M+ b/ q6 k) J

当初在校盟的时候 最先接触的web入侵就是dv上传漏洞

# u+ [0 b; I' \. S: ]! w

找上传头像 没有..

0 \0 U: z K3 u( U

软件上传 没有..

! v2 Y6 k- k5 `7 x; q

晕了 先搁着

2 H7 f+ N: M' i, k

今天到此为至 呵呵 # s& P5 S k5 o" I* Y

! _- g$ J5 b3 v, R

(2).

0 K! ^4 H7 ?! P* K

上传漏洞可谓是风靡全国呀:)

/ ~0 I0 s3 J! C4 o# ]6 z; \0 |

上次虽然没有找到图片和软件的上传功能

" Q# J, s `, V

不过dv7的插件很丰富 呵呵 现又来了个虚拟形象设计功能^_^

( r+ {5 \- v E

其中有个很不显眼的地方可以上传图片

: H+ p9 F* g8 |3 ?. w

个人形象设计-合影-背景上传

) k# d0 \# m9 j

老方法拉~ 上传图片-抓包

! N: V8 ?5 g: s) {7 ^# a( C8 F

md 先不看抓包内容 就浏览器里返回了

, Z* R: M. m/ p" k

----- 服务器对象 错误 'ASP 0177 : 800401f3'

/ s7 E6 i& X/ ?) P! v4 ^5 v

虽然不懂什么意思 但有预感是没希望了

0 z7 A( [& }: I7 Q

管不了这么多 继续传 找上传的页面

' r7 |. l5 H& g ?+ N2 ?

这回更晕 在wse里面翻便了也找不到asp上传页

4 G3 y" T* b- @$ V2 U4 P2 Y

我推测那个返回的错误信息就是没有存在上传asp页的意思了

8 { ]# E& [* G6 f1 Q

总之上传漏洞没的搞了:(

0 |" V& j* J! Q9 T- v1 T

(3).

8 c, H/ Y- H' n9 F* R) o5 s" \

-初恋是难忘的

. g$ h# W5 t- x9 e+ M, s0 V! p. F

初恋的情人更是难忘的

+ o. c- b- ~ q; c, t

-第一次挂黑页是难忘的

+ v1 I) m& \. r. g6 C9 B

第一次挂黑页用的方法更是难忘的 :):)

3 P) L* k2 Q+ u+ N! `! V/ J

dv上传漏洞 使我第一次尝道了hack的味道

0 {9 U3 L* l @4 l3 K

难忘~ 绝对的难忘.........

9 I1 g8 L- C i( J( y8 F

对我们学校的渗透 在没有找遍整个服务器的论坛上传漏洞后我是不会罢休的

- Q6 o; G! E% _0 }0 t# z6 m2 X; t

继续

! @3 Q3 `) b* N7 f! f# w

用旁注44 呵呵 在此先谢谢hakban

3 h& ^/ k4 e+ V: J/ |

用老兵的domain上

. t" p+ W2 l& |) L# c/ y

我靠......¥......%※ 整个服务器就一个玉米 没的注了:(

) ?9 K2 P$ C8 P5 O* c

我可爱的上传漏洞 难道没法了吗??

- f* ]7 z% b J1 d) G

突然想到 学校的网站应该包含很多子站的吧

+ o6 W" X, \8 M% D# h+ y4 G

比如什么什么系的主页 或者什么什么协会的主页 呵呵 又有的玩了

j1 q: y# g9 ]* M

一番搜索 终于被我找道一个 "计算机协会" 用dv6的论坛

/ ]+ Q& z2 M6 `' j* B$ j

晕死了 本人还是计协技术部的副部长呢

+ R+ C5 n. V5 t" d1 v. E" |) m

不过这个站我还是第一次见 .....汗

3 B( ]/ p! O& {

平时我们搞的都是其他的表面工作 呵

0 `: a3 K' m& {6 C. W. B" Q# l

论坛逛逛 唉 真是年久失修呀 最后发的帖子还是去年的

8 ~0 b$ M& v3 o

不管了 俺来个大义灭亲÷

6 o* z4 N+ x: F- J) r

upfile....既然没用###

! J {9 q$ Z2 v' j2 m

tongji.....既然还是没用%%%%

4 e) C- ]+ e2 m) Q1 y, H

烦躁了。。

6 z8 [5 ^ s/ G: s" y2 X# I4 O

从初恋到结婚的可能有多大?

$ e* I$ F2 S9 t7 D9 j" P

从第一次hack站的方法到用这个方法成为hacker的可能有多大?

4 ~" i: Z V, s6 f# F; F

哈哈呵 这么想着 心也就释然了

& K7 d2 F9 `) z( w) `( d9 ?

rain老大曾经提醒过我 要有发散的思维..

3 X; @9 m% c9 m, Q X$ ?

发散。。。发散。。。。。

5 @! z! G+ W" M8 o

44默认数据库。。。。。。。。。没用

9 |" R% Z+ a, S5 o ?

默认不行。。。。。偶暴了他。。。。

8 v: k' i8 u3 r+ K# | ^/ x

yeah!

) q+ i$ T5 P+ I$ J

Microsoft JET Database Engine 错误 '80004005'

) }" A' _5 t2 v# L1 ~

'd:\mysql\xgb\tuanwei\qs\data\jdjsjxh.mdb'不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。

3 A/ D, o0 n3 n

/qs/bbs/conn.asp,行12

B# N! ~1 \: g3 d

够变态的数据库名 幸好我没 发散 到去猜他的数据库路径 呵呵

" {: x; Z9 h$ |6 x

拉下数据库后 唉 md5的密码 我还没跑过md5呢

% E* i' K# ~0 m% O3 E' d8 ?

主页我的机子还是c3的 慢 懒的跑了 这次没办法了 跑~

% w9 U" S- C a: i0 [( U

去网上找了个 MD5Crack V2.2 和 md5.exe

+ l- P& F& q- S3 t, U, M

前者window下的 先用他了 跑跑跑

6 r5 Z9 I4 l" c2 \0 i5 ?0 j3 s0 M

6位数字。。。7位数字。。。8位。。。没用

8 F' g5 i0 i6 j$ l# ]" M& P

5位字母。。。6位。。。没用

# s: g6 A N' d* F+ q

唉 实在不想在加下去了 我可没时间挂机跑呀

6 z# L6 Q) s d" F. p

不知道有没有这样一种跑md5软件 可以把破解进度分开

3 F6 p( h6 X, P$ r2 ]6 \

给几台机子一起跑的 有的话一定要告诉我哦

8 F2 X/ p$ r o6 R, ^

我有个同学开网吧 30多台机子 呵呵 这样搞的话就n快了

' g0 y. ?9 n" L+ f

各位 有一定要告诉我呀 先谢了 不 万分感谢!

9 e1 s; K, Q0 A, E" D! u

(4).

% T% l/ M3 }, b+ `

或许你看了我前几篇文章你会说我思路太死了 只知道上传漏洞

, @$ |" l: ]; |1 A) W* ]2 w/ m5 t

唉 确实是如此 也不是思路死的问题 想我这个刚入道1多月的菜鸟

! b/ m$ w/ U, G, e: Z

能知道几种方法?

" U8 ~0 @+ b0 ^6 @" w4 \, o/ W+ T

哪能跟你们这班混了几年的high手比呀 呵呵

0 V6 T( ~% s- D; ^$ \: N

但其他的方法还是有的 那当然是注入了 混了一个月的人也应该而熟能详了

2 y) h+ `9 ]& @! o' C+ [

注入的文章也看过n多了 原理也基本懂了 但像我个懒人是不会去手工住的

( H9 c. v b! G/ W( b7 h& u5 T$ h

那可要我的命呀 于是亮出wis wed 开始干~

A4 I* G$ ^9 A( Q$ D! k+ S

有人会问为什么不用nb呢?其实我也想用呀

; }1 ]# O6 J$ k2 V

nb强大的功能我又不是不知道 可是...nb在我机子上确不能用 晕死了

I8 ~! _4 S$ W9 G5 h, l$ b

老是提示xx错误 所以只好用wis了

% C6 [+ X Z- c/ J0 R) r( C6 `

先wis...........看着dos窗口下一行一行的字网上升 确实蛮酷的

* ~) Y, L8 Z+ l$ s# n1 D( [

难怪☆萧筱☆说他喜欢用dos下的工具 运行的时候会给mm一种神秘感....(汗

1 f, g% u J4 s$ v

注入点查出2个 是某个新闻的连接 从news=xx可以看出

" S! q, T, h- ~5 D

接着wed.............不一会 明文显示的密码 用户也搞出来了 哈哈哈

' G) L1 ^ n& _

爽~ 想着我的目标也已经实现一半了 好开心~~~~

* O. @! r5 D+ u5 D* j4 w

最后一步是wed http://xxxxxx /a 扫描登陆页面

& c! ~. L# J9 \( {. X

黑底白字继续往上升... ```````.........````````

$ [% s9 v; w, C9 K' x4 o: i/ S

结果出来了 是test。asp 晕 有这种登陆页面?

# j1 F6 f) T8 d3 {. {/ [8 S* M. b4 M6 ]

感觉怪怪的 不管 上

1 ?8 R r# b6 p4 d0 W J

和预料中一样 没用 唉。。。。。。

作者: 韩冰    时间: 2005-1-16 11:32

也好 太容易实现 我反而学的少

想想 如果我在第一步扫描到ftp弱口令之后就溢出成功

我也就不会去学脚本方面的知识了 呵呵

wis扫描无非是在url后面加入它字典里面的asp页面

test碰巧在里面 不管有用以否 程序肯定返回给我啦

所以听好多朋友都说注入容易 得后台地址难呀

不过这次也有些许的收获 得到了管理员帐号和密码

我保存了 这个对我以后用社会工程学时或许会有帮助的) q0 [ m( Y7 {

(5).

NB就是nb 做的工具nb 工具里的字典也nb

上次说用NB不能运行 于是我把字典放在wis里面

当时也没报什么希望 想不到希望就是你不想她的时候她就会想你 ^_^

后台出来 恭候多时的帐号密码终于有了用武之地...

登陆进去后看看 原来只是主页新闻发布的后台 可以对主页标题等做些修改

一阵狂喜~想当初我要在学校主页写下xxx I love you 的梦想不是马上可以实现了?haha 不过... 唉 这里是技术板块 先不写这些 我会把那方面的写到MyPrinces里..

现在我得重这个后台提升权限.. 不过这个后台比较简单 提升起来可能对我来说比较困难 呵呵 慢慢来吧 不急 还几年时间~~~

找上传的页面 一开始比较纳闷 怎么没看到这个后台有上传的选项呢

这个是新闻发布的 新闻里面的图片肯定也是从这里来的呀 但在左边栏里面就只有

发布新闻 栏目管理 和系统管理 这几个东东 后来才发现 在发布新闻里面

有个不起眼的小按钮 当鼠标移过去的时候会宣示上传图片 哈哈

就这里4了 首先得找到上传的asp页 先随便点个文件上传 然后抓包

这时跳出javascript提示筐说文件格式不对 我又不想传个无关紧要的图片上去以免管理员怀疑 于是我用tt浏览器关掉网页脚本 再抓包

哈哈 出来了~~~ xxxx/uploadpic.asp 打开这个页面 出来个单一的上传页

到这一步 我就有点盲目了 我不可能向高手那样 找到源代码 然后一点点读出看有什么漏洞 所以只好乱抓一把了 同样用动网的方法44 不行呀 提示文件格式不对

懵 ..................... 哪位高手愿意指点下的? 在下才此恭候 谢谢了______

(6).

好些日子没写日志了

上次搞到论坛md5密码后 就一直叫Leetl帮我跑 毕竟人家管着一个网吧 呵哈

后来就继续找学校里各个系网站的漏洞

呵哈 这样的网站也真够多的 看来老大说的对 要搞下不难

在这些网页中 我的战果是 得到了几个论坛数据库

还一个也是新闻发布的后台权限 不过跟我上片写的那个后台是一样的

找到了上传的页面到不能上传 已是我决定抓个包研究研究

抓到的头部是这样的 后面马的代码就省略了

POST /news/admin/uploadPic.inc.asp?upload_code=ok&editImageNum=&actionType=&picName=&editRemNum= HTTP/1.1# Q! d3 S, S8 T0 P Accept: */*+ S% p5 G- Z. e9 g) o4 ? Referer: http://www.xxx.edu.cn/news/admin/uploadPic.asp2 Z" |9 X% J+ J( { Accept-Language: zh-cn 5 y+ U7 {' Y3 p& { Y5 d8 _Content-Type: multipart/form-data; boundary=---------------------------7d41ae3a10021c! }. t6 _9 {& \" n0 H/ Q Accept-Encoding: gzip, deflate0 u5 l* f5 w4 ?) v User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; TencentTraveler ; Alexa Toolbar)" n" o# ]1 U a Host: www.xxx.edu.cn & e* X" D0 c9 `) [4 x5 q" KContent-Length: 1437 $ V3 p+ g- R8 NConnection: Keep-Alive- L5 y( \: W% \6 s8 ] Cache-Control: no-cache 2 n. v: Q9 t' k" _6 f1 D% Y1 |Cookie: ASPSESSIONIDCADSTTQC=JOAOJFPBKNJONMGFCKFOJLAD

-----------------------------7d41ae3a10021c * _# D" [- {4 s. v) xContent-Disposition: form-data; name="codefilename"; filename="D:\Trojan\carolyn.asp" , d u# I# X8 t% uContent-Type: text/plain

跟动易文章系统的一样 没有路径"filepath",但它有文件名参数"filename"

于是便学着改了下 carolyn.asp后面加个空格和允许上传的文件后缀

再用winhex把空格的20h改为00h 即/0

如果存在漏洞的话 上传是会成功的

用nc提交后 返回文件格式错误 当时就觉的非常的不爽。。。。

老大说我们学校用的很多都是网上现成的网站程序 很容易找出漏洞

我也知道 我们学校我好像还没听过这方面的牛人 能自己写出来

还有一点是这个上传漏洞打了补丁我觉的也不太可能 这个不知名的程序都打了补丁的话 那注入漏洞也应该给补了 这样我也就不能上后台找到上传页面了

那唯一的理由就是这个新闻发布程序根本就没上传漏洞。。 晕 (废话 、、

不过我总觉的不可能 已是我便登上后台 上传一个允许的文件看看

结果是---------文件格式不对 无论是gif 还是jpg

我狂日 吗的 被耍了

究竟怎么回事?

评我的 "幻想" :我觉的是对ip做了限制 不允许远程提交。

高手请指点下 谢谢了。。。。

后来那个问题 我更加的坚信了我的 幻想。。

Leetl那边传来了好消息 跑出了一个后台管理员的md5

当时狂喜 想到webshell就要到手了

至于前台的密码 呵呵 还是dv默认的 。。(无语。。。。

已是用默认前台密码登上去后 再用刚跑出后台密码

.....残酷的事实再一次划破了我的喜悦/////////

4了3次都没登上去 日靠操叼!!@#$%^%$Content$amp;^^%$&

难道真的是ip做了限制?????????????????

############期待高手指点迷津##############

(7).

今天终于有了突破性的进展了--拿到了webshell

用的方法是asp数据库插入代码 这方法其实一个月前我就用过了

大家也应该知道 这个方法最主意的的是得到数据库的路径

那时我用默认数据库不行 用%5c暴库也不行(其实是可以的)

问题就出现在这 用%5c时 返回的是

) }: `! a! J( {$ }Microsoft JET Database Engine 错误 '80004005'

'd:\vhost\wdx\data\liuqing.asp'不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。

/wdx/guestbook/conn.asp,行8

网址是www.xxx.edu.cn/wdx/guestbook/index.asp

当时暴出库来之后 我是这么改的 www.xxx.edu.cn/wdx/data/liuqing.asp

返回的却是404错误 当时也不知道该怎么办 已是就另找方法了

不过今天无聊透顶时又来到这 还是暴库

返回的也还是上面的信息 不过下面那句/wdx/guestbook/conn.asp,行8

引起了我的注意 这是一个留言本的页面 我想在服务器里面应该是在guestbook文件夹里面的 于是大胆的提交www.xxx.edu.cn/wdx/guestbook/data/liuqing.asp

哈 奇迹出现了 出现了一堆乱码 成功了!!

后面的事也就简单了 用蓝屏大叔的一句话代码写进去 上传马马 呵 激动ing。。。

先传的是那个经典的aspmm 传上去过渡 不过过渡传大马时 却总是不成工

纳闷了 我想不会时fso被静止了吧? 那就麻烦了

已是直接传大马dbm6 登陆后果然什么都没 看服务器信息 fso禁止!!!

真是不爽呀 不过幸好我还有一个终极武器--免fso木马

哈哈 传上去 ok 可以目录跳转 浏览 修改文件 不错

改主页吧?哈哈 当初的愿望!! 不过还没想好写些什么 不急

先提升了权限再说

后来发现不能跳出web路径 郁闷

今天先到迟为止吧 总的来说还是很开心的 哈哈和哈和哈哈哈哈

结局:

04年10月9日至今天05年1月10日

用这3个月01天的时间里 我实现了我的愿望

拥有改掉学校的主页能力 虽然很肤浅且被高手不齿

但我不介意大家怎么看 总之 我实现了!

从不能到能 切实该令我兴奋

我应该高兴 但却高兴不起来。。。。# `1 {" U1 S }. y2 |$ |9 |





欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5