漫长的渗透

韩冰

作者：幻刃 来源：http://www.hackblog.com/

) P: P( B; R' Q! w5 p

（１）．

+ O$ b3 n* g/ U; [* X# \% d7 O

最初想当黑客的想法,来自于企图渗透学校的主机

& L* B# H* }5 |- B/ H' e. W5 F: \' T

虽然刚入hack道不久 还是一个很菜很菜的小鸟

但我有信心 也有决心走我的路

8 @3 h8 T2 ^8 N+ p6 ?" U2 \

入hack道时间－－2004年10月9日

3 n( p; d& v4 e/ J

当前目标－－渗透学校主机

# |/ @7 e% W Q

start：

/ \: Z: Y3 j, \2 M5 @

扫描结果

开放服务: 21/tcp 开放服务: 80/tcp 9 M) n/ ]" \& g5 `$ W7 k开放服务: 3306/tcp 2 B9 {1 X7 g+ O: P21/tcp - A FTP server is running on this port. 80/tcp - A web server is running on this port 6 M* w) a$ }$ O$ l* {: k3306/tcp - Maybe the "MySql" service running on this port. Remote OS guess : Novell NetWare 3.12 - 5.00 "开放服务"扫描完成, 发现 3. 发现FTP弱口令 "ftp/1234567" % N- g$ c) L8 q0 |" ^7 A. R' m0 U发现FTP弱口令 "anonymous/[空口令]" "FTP弱口令"扫描完成, 发现 2. 21/tcp - FTP Server type and version 3306/tcp - 尝试远程登陆MySQL服务器 & N- ~% V, z+ [2 ~' J& Y21/tcp - attempts some buffer overflows 0 m5 F: X2 F4 ?" {0 [8 m21/tcp - Checks if the remote ftp server accepts anonymous logins 80/tcp - HTTP Server type and version "Nessus攻击脚本"扫描完成, 发现 5.

) k: R" d U% Q( g" E2 c

21端口放在第一位 就先44ftp溢出吧

% Z2 t8 \0 b6 j1 W

dos下登陆ftp 发现它的banner是serv－u5 喜～

- M( f, o. h' k# A/ s

昨天刚看玩一个su5的溢出动画 很简单

2 `' Y$ j o7 I7 G- X+ i' r' W

上～

$ A/ `6 L# z0 [2 f6 Q

晕 返回 may be it has got a patch

\4 T+ @" z Q' y& x1 i

溢出不行 可能已经打布丁了 －暂时放弃

# c1 w# `% L- D6 b8 @* F

又看过一篇文章 说ftp里面可以使用命令添加权限

8 w2 R$ _" M7 o) [; R

命令记不清了 反正4了 没用 －暂时放弃

下面是80端口 可以溢出吗？还不知道 没看过这方面东东 先搁着

9 }. R! m9 D( A0 G

3306 晕 mysql 好像跟php搭配的 不懂 先搁着

, a; M4 P7 r, f3 w g) h

端口就这些 评我目前的能力没的搞

3 f% P8 p% Y8 j! W+ G

上主页逛逛

7 z" Z' o8 f4 g' ^/ ~0 o: k

呵哈 dvbbs7 sp2 一看dvbbs大家都会联想道上传 我也不列外

9 W: d7 n8 m+ g$ e" y7 n% `8 F, ?

当初在校盟的时候 最先接触的web入侵就是dv上传漏洞

找上传头像 没有..

8 i7 c. g. r$ D5 m/ H0 M* b2 e

找软件上传 没有..

' p4 s; w# `9 d

晕了 先搁着

今天到此为至 呵呵

（２）．

9 ?, V& o, \0 d% A8 q- N

上传漏洞可谓是风靡全国呀：）

上次虽然没有找到图片和软件的上传功能

4 X: Y6 c$ \$ t9 S3 D6 N

不过dv7的插件很丰富 呵呵 现又来了个虚拟形象设计功能^_^

其中有个很不显眼的地方可以上传图片

个人形象设计－合影－背景上传

& @+ I! R) H2 [% X9 {/ b1 ^6 {3 g9 }& F

老方法拉～ 上传图片－抓包

, c; J- @1 ]) m

md 先不看抓包内容 就浏览器里返回了

' k( @$ L* l9 x; d$ Z" a* g5 `

－－－－－ 服务器对象 错误 'ASP 0177 : 800401f3'

虽然不懂什么意思 但有预感是没希望了

管不了这么多 继续传 找上传的页面

8 R' b2 H2 r0 S3 p

这回更晕 在wse里面翻便了也找不到asp上传页

/ _ t5 h; q9 N0 o Y5 l; \/ b& k0 |

我推测那个返回的错误信息就是没有存在上传asp页的意思了

- C0 K3 C: I4 c: t

总之上传漏洞没的搞了：（

, k# I/ D C7 P1 v" I j. l# h; G

（３）．

－初恋是难忘的

初恋的情人更是难忘的

: h {) |( f1 D& t! L

－第一次挂黑页是难忘的

第一次挂黑页用的方法更是难忘的 ：）：）

dv上传漏洞 使我第一次尝道了hack的味道

' }7 r( f! F) v$ ?+ g9 A

难忘～ 绝对的难忘.........

对我们学校的渗透 在没有找遍整个服务器的论坛上传漏洞后我是不会罢休的

O' _+ J# x2 F

继续

7 r1 S: c/ W2 G+ O6 h) V

用旁注44 呵呵 在此先谢谢hakban

9 S j: w! A* m1 h( o

用老兵的domain上

我靠......￥......％※ 整个服务器就一个玉米 没的注了：（

1 L+ F `+ ~8 `1 H5 G3 ]! A

我可爱的上传漏洞 难道没法了吗？？

" H& a' I' X& k+ U

突然想到 学校的网站应该包含很多子站的吧

( ^) j/ T) f: B

比如什么什么系的主页 或者什么什么协会的主页 呵呵 又有的玩了

# ?) t7 H9 ]. c L' y' b" h

一番搜索 终于被我找道一个 "计算机协会" 用dv6的论坛

晕死了 本人还是计协技术部的副部长呢

不过这个站我还是第一次见 .....汗

平时我们搞的都是其他的表面工作 呵

进论坛逛逛 唉 真是年久失修呀 最后发的帖子还是去年的

7 I; r% a4 b2 k" o$ _8 H6 a

不管了 俺来个大义灭亲÷

0 t& K1 ~' H+ J; K

upfile....既然没用＃＃＃

8 U I! z& ^# a9 L2 }# y% R

tongji.....既然还是没用％％％％

, W5 W/ h4 u r. [! `1 j7 A

烦躁了。。

从初恋到结婚的可能有多大？

从第一次hack站的方法到用这个方法成为hacker的可能有多大？

哈哈呵 这么想着 心也就释然了

rain老大曾经提醒过我 要有发散的思维..

* ]# M% R9 k, @" E$ h

发散。。。发散。。。。。

9 O, Z6 x8 B8 \7 N

44默认数据库。。。。。。。。。没用

1 I) R. i6 Z- \

默认不行。。。。。偶暴了他。。。。

yeah！

Microsoft JET Database Engine 错误 '80004005'

7 t! o: q. Y! w8 p

'd:\mysql\xgb\tuanwei\qs\data\jdjsjxh.mdb'不是一个有效的路径。 确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。

/qs/bbs/conn.asp，行12

3 L: z! g, D5 _3 E3 Q4 Z$ s7 ?

够变态的数据库名 幸好我没 发散 到去猜他的数据库路径 呵呵

$ L- o) }' G$ e

拉下数据库后 唉 md5的密码 我还没跑过md5呢

* E# A1 I4 M; h# u0 G

主页我的机子还是c3的 慢 懒的跑了 这次没办法了 跑～

去网上找了个 MD5Crack V2.2 和 md5.exe

前者window下的 先用他了 跑跑跑

( I8 D% ^! H3 [, T: S j

6位数字。。。7位数字。。。8位。。。没用

5位字母。。。6位。。。没用

0 |" u- N A( C' V

唉 实在不想在加下去了 我可没时间挂机跑呀

7 W8 a; `" O3 [9 V) \: J

不知道有没有这样一种跑md5软件 可以把破解进度分开

给几台机子一起跑的 有的话一定要告诉我哦

* x' ~" h1 L2 y- n/ h; o! P, E. |

我有个同学开网吧 30多台机子 呵呵 这样搞的话就n快了

) ^& K5 u7 D. p( Z/ Z2 B

各位 有一定要告诉我呀 先谢了 不 万分感谢！

（４）．

或许你看了我前几篇文章你会说我思路太死了 只知道上传漏洞

1 I: h4 o1 g/ G0 a

唉 确实是如此 也不是思路死的问题 想我这个刚入道1多月的菜鸟

能知道几种方法？

哪能跟你们这班混了几年的high手比呀 呵呵

& G3 w& V& W" I$ Q" u9 j

但其他的方法还是有的 那当然是注入了 混了一个月的人也应该而熟能详了

注入的文章也看过n多了 原理也基本懂了 但像我个懒人是不会去手工住的

% _1 I) Y, |; @1 s& D! q8 g3 P' F9 }

那可要我的命呀 于是亮出wis wed 开始干～

& {* U- ?9 z6 b: w% b* o" g

有人会问为什么不用nb呢？其实我也想用呀

nb强大的功能我又不是不知道 可是...nb在我机子上确不能用 晕死了

. c* _0 T2 ~- _& ?" Z

老是提示xx错误 所以只好用wis了

, ^7 u0 w$ B" m# w$ N

先wis...........看着dos窗口下一行一行的字网上升 确实蛮酷的

9 U& R$ Q0 W& Q4 w3 l' c2 b& h( M

难怪☆萧筱☆说他喜欢用dos下的工具 运行的时候会给mm一种神秘感....（汗

注入点查出2个 是某个新闻的连接 从news＝xx可以看出

' s! V& @9 H6 f% z. J! ~

接着wed.............不一会 明文显示的密码 用户也搞出来了 哈哈哈

爽～ 想着我的目标也已经实现一半了 好开心～～～～

最后一步是wed http：//xxxxxx /a 扫描登陆页面

' E0 g3 X/ i; ~% \: ?4 F

黑底白字继续往上升... ```````.........````````

结果出来了 是test。asp 晕 有这种登陆页面？

$ D/ |7 `4 k) o6 M' j8 \

感觉怪怪的 不管 上

和预料中一样 没用 唉。。。。。。

韩冰

也好 太容易实现 我反而学的少

想想 如果我在第一步扫描到ftp弱口令之后就溢出成功

我也就不会去学脚本方面的知识了 呵呵

wis扫描无非是在url后面加入它字典里面的asp页面

test碰巧在里面 不管有用以否 程序肯定返回给我啦

所以听好多朋友都说注入容易 得后台地址难呀

不过这次也有些许的收获 得到了管理员帐号和密码

我保存了 这个对我以后用社会工程学时或许会有帮助的 6 V( Y6 J% o, u1 i

（５）．

NB就是nb 做的工具nb 工具里的字典也nb

上次说用NB不能运行 于是我把字典放在wis里面

当时也没报什么希望 想不到希望就是你不想她的时候她就会想你 ^_^

后台出来 恭候多时的帐号密码终于有了用武之地...

登陆进去后看看 原来只是主页新闻发布的后台 可以对主页标题等做些修改

一阵狂喜~想当初我要在学校主页写下xxx I love you 的梦想不是马上可以实现了?haha 不过... 唉 这里是技术板块 先不写这些 我会把那方面的写到MyPrinces里..

现在我得重这个后台提升权限.. 不过这个后台比较简单 提升起来可能对我来说比较困难 呵呵 慢慢来吧 不急 还几年时间~~~

找上传的页面 一开始比较纳闷 怎么没看到这个后台有上传的选项呢

这个是新闻发布的 新闻里面的图片肯定也是从这里来的呀 但在左边栏里面就只有

发布新闻 栏目管理 和系统管理 这几个东东 后来才发现 在发布新闻里面

有个不起眼的小按钮 当鼠标移过去的时候会宣示上传图片 哈哈

就这里4了 首先得找到上传的asp页 先随便点个文件上传 然后抓包

这时跳出javascript提示筐说文件格式不对 我又不想传个无关紧要的图片上去以免管理员怀疑 于是我用tt浏览器关掉网页脚本 再抓包

哈哈 出来了~~~ xxxx/uploadpic.asp 打开这个页面 出来个单一的上传页

到这一步 我就有点盲目了 我不可能向高手那样 找到源代码 然后一点点读出看有什么漏洞 所以只好乱抓一把了 同样用动网的方法44 不行呀 提示文件格式不对

懵 ..................... 哪位高手愿意指点下的? 在下才此恭候 谢谢了______

（６）．

好些日子没写日志了

上次搞到论坛md5密码后 就一直叫Leetl帮我跑 毕竟人家管着一个网吧 呵哈

后来就继续找学校里各个系网站的漏洞

呵哈 这样的网站也真够多的 看来老大说的对 要搞下不难

在这些网页中 我的战果是 得到了几个论坛的数据库

还一个也是新闻发布的后台权限 不过跟我上片写的那个后台是一样的

找到了上传的页面到不能上传 已是我决定抓个包研究研究

抓到的头部是这样的 后面马的代码就省略了

POST /news/admin/uploadPic.inc.asp?upload_code=ok&editImageNum=&actionType=&picName=&editRemNum= HTTP/1.1 + u: g$ x2 E: H j: c0 s1 s# \9 s2 @0 nAccept: */* $ K5 X# y Z3 Q+ OReferer: http://www.xxx.edu.cn/news/admin/uploadPic.asp Accept-Language: zh-cn Content-Type: multipart/form-data; boundary=---------------------------7d41ae3a10021c ; F9 D+ j3 S2 |# ]Accept-Encoding: gzip, deflate 2 j- O" A, n6 h0 R( nUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; TencentTraveler ; Alexa Toolbar) ; B4 j7 N# e$ a- PHost: www.xxx.edu.cn 7 N5 _4 s3 l4 T. ]Content-Length: 1437 , d8 K+ s( k# ^* ~2 ^. QConnection: Keep-Alive ; V; }5 P9 @8 P8 b' \% o' s- }8 {5 ACache-Control: no-cache * U. H) O0 m3 C- d) S wCookie: ASPSESSIONIDCADSTTQC=JOAOJFPBKNJONMGFCKFOJLAD

-----------------------------7d41ae3a10021c ) M e! u( z/ S2 d; p5 C0 SContent-Disposition: form-data; name="codefilename"; filename="D:\Trojan\carolyn.asp" Content-Type: text/plain

跟动易文章系统的一样 没有路径"filepath"，但它有文件名参数"filename"

于是便学着改了下 carolyn.asp后面加个空格和允许上传的文件后缀

再用winhex把空格的20h改为00h 即/0

如果存在漏洞的话 上传是会成功的

用nc提交后 返回文件格式错误 当时就觉的非常的不爽。。。。

老大说我们学校用的很多都是网上现成的网站程序 很容易找出漏洞的

我也知道 我们学校我好像还没听过这方面的牛人 能自己写出来

还有一点是这个上传漏洞打了补丁我觉的也不太可能 这个不知名的程序都打了补丁的话 那注入漏洞也应该给补了 这样我也就不能上后台找到上传页面了

那唯一的理由就是这个新闻发布程序根本就没上传漏洞。。 晕 （废话 、、

不过我总觉的不可能 已是我便登上后台 上传一个允许的文件看看

结果是－－－－－－－－－文件格式不对 无论是gif 还是jpg

我狂日 吗的 被耍了

究竟怎么回事？

评我的 "幻想" ：我觉的是对ip做了限制 不允许远程提交。

高手请指点下 谢谢了。。。。

后来那个问题 我更加的坚信了我的 幻想。。

Leetl那边传来了好消息 跑出了一个后台管理员的md5

当时狂喜 想到webshell就要到手了

至于前台的密码 呵呵 还是dv默认的 。。（无语。。。。

已是用默认前台密码登上去后 再用刚跑出后台密码上

.....残酷的事实再一次划破了我的喜悦/////////

4了3次都没登上去 日靠操叼！!@#$%^%$Content$amp;^^%$&

难道真的是ip做了限制？？？？？？？？？？？？？？？？？

＃＃＃＃＃＃＃＃＃＃＃＃期待高手指点迷津＃＃＃＃＃＃＃＃＃＃＃＃＃＃

（７）．

今天终于有了突破性的进展了－－拿到了webshell

用的方法是asp数据库插入代码 这方法其实一个月前我就用过了

大家也应该知道 这个方法最主意的的是得到数据库的路径

那时我用默认数据库不行 用％5c暴库也不行（其实是可以的）

问题就出现在这 用％5c时 返回的是

Microsoft JET Database Engine 错误 '80004005'

'd:\vhost\wdx\data\liuqing.asp'不是一个有效的路径。 确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。

/wdx/guestbook/conn.asp，行8

网址是www.xxx.edu.cn/wdx/guestbook/index.asp

当时暴出库来之后 我是这么改的 www.xxx.edu.cn/wdx/data/liuqing.asp

返回的却是404错误 当时也不知道该怎么办 已是就另找方法了

不过今天无聊透顶时又来到这 还是暴库

返回的也还是上面的信息 不过下面那句/wdx/guestbook/conn.asp，行8

引起了我的注意 这是一个留言本的页面 我想在服务器里面应该是在guestbook文件夹里面的 于是大胆的提交www.xxx.edu.cn/wdx/guestbook/data/liuqing.asp

哈 奇迹出现了 出现了一堆乱码 成功了！！

后面的事也就简单了 用蓝屏大叔的一句话代码写进去 上传马马 呵 激动ing。。。

先传的是那个经典的aspmm 传上去过渡 不过过渡传大马时 却总是不成工

纳闷了 我想不会时fso被静止了吧？ 那就麻烦了

已是直接传大马dbm6 登陆后果然什么都没 看服务器信息 fso禁止！！！

真是不爽呀 不过幸好我还有一个终极武器－－免fso木马

哈哈 传上去 ok 可以目录跳转 浏览 修改文件 不错

改主页吧？哈哈 当初的愿望！！ 不过还没想好写些什么 不急

先提升了权限再说

后来发现不能跳出web路径 郁闷

今天先到迟为止吧 总的来说还是很开心的 哈哈和哈和哈哈哈哈

结局：

04年10月9日至今天05年1月10日

用这3个月01天的时间里 我实现了我的愿望

拥有改掉学校的主页能力 虽然很肤浅且被高手不齿

但我不介意大家怎么看 总之 我实现了！

从不能到能 切实该令我兴奋

我应该高兴 但却高兴不起来。。。。 7 N, y1 ?& i" x) M