无恶意，无破坏，无缘由的XXOO了一下黑色小亮的博客。
目标：www.blackxl.org
信息：博客程序是最新版的WordPress
直接搞目标站肯定是没搞头的了，所以只能跨站了。
查到不少同服务器的站点，当然，有些站点的域名早就已经指向别处了，所以下一步行动之前一定要先ping一下看看是否是目标服务器。
经逐一排查（站挺多的，比较费时间。）在WVS发现http://xxx.com/存在盲注且该站是用Java开发的，于是乎开始注入…
阅读全文>>

几天前帮朋友检测他们的网站时候，顺便看了看C段上的服务器，发现了一个FTP弱口令，FTP用的是Serv-U6.3，WEB用的是IIS7.0，远程终端连接上去看到是Windows Server 2008。 阅读全文>>

由于去年年底项目一期结束了，正在等客户的需求及使用情况的反馈，所以也就没啥事干。看了看PHP，感觉没啥学的，写了个连接MYSQL的增删改查，我就不知道该干啥了，所谓语言是相通的，读和写基本都没问题，特有的方法或函数则查查API文档即可，但是用则需要熟练度，或许这就是学习的枯燥与乏味吧。 n:-hd
接着帮一个哥们有偿检测了他们的网站，一年没接触过这方面了，不过还好网站比较弱智，几分钟搞定 n:-hx 。
网站是用asp开发的，生成静态页面，当然也有动态页面，不过都做了防注入，Cookies注入也行不通。

现在越来越喜欢火狐浏览器了，网页图片上右键，选择“查看图片信息”，它把当前页面中所有图片的路径都列出来，我一般通过这个来找有没有用第三方编辑器及其路径，很可惜没发现，手工猜了几个也没有找到。

查看图片信息

找到了后台目录是manage，不过就是找不到页面（找到也没密码 n:-gg ）。
网站中有些栏目是二级域名绑定的，有个BBS是DZ7.0的，貌似刚刚上架，一个注册人都没有，不过我也没找到DZ7.0的可利用漏洞。
另一个二级域名下，找到后台admin/admin_login.asp，能试的都试了，放弃。再次查看该栏目下的图片信息，感觉ewebditor有希望了，猜出地址为editor/admin_default.asp。

查看图片信息

一切都是默认的，所以拿到webshell是很正常的。权限都还是很严的，Serv_u6.0，提权失败，43958端口开着，应该是把默认的用户名或密码改了，有wscript但是没用，自己找目录传CMD上去也没用，支持PHP，但是权限也没什么改变。找到数据库连接文件conn.asp，得到一个普通的sql用户，构造了一个注入点然后放到Pangolin里面跑了下，列目录时在D盘中发现了Serv_u，看到ServUDaemon.exe有备份，看来确实把默认值改了。

Pangolin

Pangolin

接着找到主站的目录，backup log了一个一句话，传了个大马上去，OK，结束，拿到外快了，不继续了。

从上个星期起就开始入侵检测这个网站了，当时是一点办法都没有，虽说存在一些漏洞，但是都没有太大的利用价值。尝试入侵了一下服务器上的其他站，用的是独立服务器，上面都是主站的一些分站。经检查也都没啥搞头。

因为事情比较多，就把它扔到记事本里放了一个星期。昨天早上起来感觉心情很不爽，我也不知道是为啥，很是郁闷。于是又把它翻了出来，决定一定要发泄一番。

我知道主站是绝对没得搞的，于是重新查了一下服务器上都有哪些站。查到服务器上又多了一个分站hr.xxx.com，看到这个域名，我还以为是人力资源部的呢（可能前几次人力资源部面试面出阴影了吧）。打开一看是个BBS，一个帖子都没有，注册会员30来个，再看一下程序是用的Discuz!NT2.5.0。眼前一亮，这套程序中的showuser.aspx文件不是有注入漏洞么！

但愿没有打补丁吧。先说说现在的思路吧。

1.注册个会员。

2.利用漏洞构造SQL将会员提升为管理员。

3.登陆后台更改上传附件文件类型。

4.前台传马，后台查看文件路径，得到WEBSHELL。

提交SQL提升boygood为管理员

showuser.aspx?ordertype=DESC;update dnt_users SET adminid='1',groupid='1' WHERE username='boygood';--

提交完后退出并重新登陆，这时boygood显示的已经是管理员了，O(∩_∩)O哈哈~

点击“系统设置”进入后台登陆界面。本来想着已经成功了呢，可是无论如何我都登陆不进去，本来就很郁闷，现在更郁闷了。

思考思考…这些配置信息它都应该是写入到数据库的对吧，那么我如果直接构造SQL把数据修改了不就可以了，结果一样，只是后台是有图形界面的。可是我压根就不清楚它数据库是什么样的啊…于是到官方下载了CHM版的《Discuz!NT2.5.0数据字典》。翻了半天，终于找到了我所需要的信息。

接下来就是依据该数据字典构造SQL了，首先构造修改上传文件类型的SQL。

showuser.aspx?ordertype=DESC;update dnt_attachtypes SET extension='aspx' WHERE extension='jpg';--

将原来的jpg类型改为了aspx类型，现在可以上传aspx马了。

传是传上去了，可是根本不知道文件的具体路径啊。我完全能够看到的应该就是我自己的个人信息了，查查数据字典看看表名和字段名。

>showuser.aspx?ordertype=DESC;update dnt_userfields SET website=(SELECT filename FROM dnt_attachments WHERE dnt_attachments.aid=1) WHERE uid=2995;--

好了，结合用户信息表和附件表已经把我刚才传的附件路径赋值给我的个人网站了，现在浏览一下我的个人信息。

嘿嘿…马儿的位置出现了，至此拿到了当前站的WEBSHELL了。

进到WEBSHELL查看了一下当前的权限和环境，还是比较严的。现在的想法就是，找到目标站的路径，试试看能否跨过去。这个论坛不是用的SQL Server吗，我再构造一个注入点，然后拿个工具去把目录列出来不就可以了。至于如何构造，可参见[构造注入] 一文。

目录有了，也跨过去了，看了目录结构及其命名，原来主站的核心是风讯CMS，可是却没有写权限。- -！貌似人家把不经常改变的目录及文件的写权限都去了。再想，他要发布信息，而且生成纯静态页面，那么存放这些静态页面的目录应该可写吧，打眼一看，就知道那个HTML目录是存放静态页面的，当然也成功的向该目录下写了个马。

至此，入侵结束，我也发泄完毕了。

今天应某朋友之请，对某钢铁公司网站的安全进行了检测，检测结果就是我拿到了服务器权限。整个过程非常简单，也就是说这个网站的漏洞是非常之大的！
如同往常，打开网站先看看程序，嗯…asp的程序，先不急着找什么注入，或许还有其他问题。继续浏览…
突然看到网站底部版权信息旁边有个红色的字样“admin”，好大的胆啊，竟然还给红字突出显示，生怕没人看见啊？
点上去到了后台登陆界面，先试弱口令呗，admin admin888顺利登入。找到发布新闻的地方，看到浏览器左下角的状态栏不停切换着URL，时不时的还冒出webeditor这个单词！嗯，这下估计有门了。于是从webeditor后台拿到webshell一个，一切都是默认的，至于ewebeditor如何拿webshell可查看[HTML攻破西安人口网] 一文。
拿到webshell观察了环境，绝大多数目录有浏览权限，装有su，WSCRIPT未删除，不能执行cmd，使用WSCRIPT执行cmd提示无权限。利用su本地溢出提权失败，于是自己传了个cmd.exe然后使用WSCRIPT可以执行命令，不过问题依旧是不能加用户，于是又传那个Churrasco.exe，接着成功加上了用户

如何使用Churrasco提权，可查查看[Churrasco巴西烤肉很好很强大] 一文。不过我有点疑惑，su为什么没成功呢？重新提升了一下又成功了~晕倒~~然后登录服务器…

在拿到WEBSHELL进行入侵提权经常会碰到可以执行CMD但是却不能执行例如net user neeke /add这样的操作的情况，这一下就把一条提权的捷径封杀了，不过现在有了Churrasco.exe碰到这种事就真的成了捷径了。
今天在“腾讯西安文明群”看到皇子大牛（群签名“父亲”）在说话：

父亲 12:28:53
谁有win2003的 webshell 能执行命令的
父亲 12:29:01
丢来一个 我看看提权
父亲 12:29:25
快点
父亲 12:29:28
刚拿到的东西
父亲 12:31:07
麻痹算了我自己去找shell

竟然没人鸟他，汗~~十分钟后皇子发图：
父亲(543261053) 12:41:40

看看时差！就是10分钟的事，不得不佩服皇子啊！（拍个马屁）
看到这个图，我无语啦，太强大了！以前我碰到那么多可以执行CMD但是提不上去的…赶紧百度搜Churrasco…
不知道是这个名字怪还是真的知道的人很少，找出来的都是葡萄牙语“巴西烤肉”，怪不得皇子说“刚拿到的东西”，不过还是被我Google到了，看来老外还是牛！
拿到了就得亲自试用一下，找了找N久以前的一个可以执行CMD但无法提权的WEBSHELL，结果发现SHELL已经被删了，索性又夺了回来（几个月前的漏洞还在，无语~）。然后传了Churrasco.exe上去，接着执行/c d:\wwwroot\Churrasco.exe "net user neeke /add"竟然真的提示成功了！不敢相信，以为眼花了，又直接执行了/c net user test /add结果啥没反应都没有的，接着又用Churrasco.exe把neeke加到administrators里，然后登录服务器…我没啥要说的了。竟然还免杀！

发个服务器截图
做完项目没事干，那天不小心把我的F盘给格式化了，好多重要资料和网站源码都丢了。。。。哭~~~~~~以前弄的VPN也没了，想玩玩都没得玩了，刚刚走运弄了3个服务器，具体过程就不写出来了，太垃圾了。主要是为了找个机子开VPN用。