這幾天挺無聊的，沒什么事情做，恰巧朋友新做了個(gè)網(wǎng)站，讓我去看看，順便測試一下站點(diǎn)的安全性。 
先看了看網(wǎng)站的結(jié)構(gòu)和布局，感覺整體上用了整站程序，細(xì)細(xì)分析猜想可能是FreePower3.6，偶還是比較熟的，還有個(gè)論壇是LeadBBS的，“敵情”先檢查到這，開工！ 
小提示：入侵前收集信息是非常重要的，它可以幫你決定入侵的過程、思路。 
通過Ping得到目標(biāo)網(wǎng)站的IP，在IE中打開這個(gè)IP時(shí)，卻是另外的頁面，估計(jì)是虛擬主機(jī)。在http://whois.webhosting.info這個(gè)網(wǎng)站上查詢該IP地址綁定了78個(gè)域名，好家伙，真多呀，到其它的站點(diǎn)轉(zhuǎn)了轉(zhuǎn)，大多數(shù)是ASP站點(diǎn)，有少量的PHP的。本來想通過別的網(wǎng)站進(jìn)行跨站攻擊的，可是小菜我水平不行，基礎(chǔ)不牢，沒辦法，換換思路吧。 
首先在網(wǎng)站上找到了這個(gè)連接： 
http://www.xxxxx.com/Article_Show.asp?ArticleID=7 
感覺有問題，隨手加了個(gè)分號(hào)，顯示出錯(cuò)頁面；換成點(diǎn)號(hào)，頁面正常顯示了，說明很有可能存在SQL注入漏洞，用工具注入吧。打開NBSI2，填上注入頁面地址，顯示暫未檢測到注入漏洞，然后在特征字符里寫上ID，再次檢測，顯示發(fā)現(xiàn)漏洞， 
依次破解出用戶名和md5加密密碼，跑MD5得到密碼是kignpl。 
由于主頁上有現(xiàn)成的后臺(tái)管理地址，省掉尋找的麻煩了。直接進(jìn)入后臺(tái)后，開始上傳我的ASP木馬，仔細(xì)翻看每個(gè)功能，雖然上傳文件管理不能使用，但是文章管理能用的。在本地先把海陽2005版的ASP木馬改名成GIF文件，然后在文章管理中上傳，提示我上傳成功后文件的相對地址是“uploadfiles/2005-2/2005217193345303.gif”，可是我怎么把它變成ASP文件呢，小菜我又卡殼了，郁悶！突然記得羽藝在黑防介紹過使用備份恢復(fù)數(shù)據(jù)庫的方法來對付DVBBS不能上傳ASP文件的問題，正好適合我！馬上找到數(shù)據(jù)庫管理部分，把我上傳的GIF文件恢復(fù)成ASP文件，。 
木馬地址是http://www.xxxxx.com/database/8.asp，總算有點(diǎn)成就感了，呵呵。馬上登錄我可愛的ASP木馬，得到WebShell，大致看了看主機(jī)的信息：IIS6.0，Windows Server 2003，還好支持FSO，高興得我樂開了花——要知道，這可是我的第一次呢！ 
小知識(shí)：FSO（File System Object）是微軟ASP的一個(gè)對文件操作的控件，該控件可以對服務(wù)器進(jìn)行讀取、新建、修改、刪除目錄以及文件的操作，是ASP編程中非常有用的一個(gè)控件。 
本來想就此打住的，但是在雜志上看到別人都提升權(quán)限了，我也來湊湊熱鬧吧。在WebShell里瀏覽了一會(huì)，發(fā)現(xiàn)當(dāng)我瀏覽這個(gè)站點(diǎn)的C盤時(shí)，居然做了權(quán)限限制 
沒想到主機(jī)上僅有的3個(gè)盤，我都不能瀏覽其根目錄，被限制在網(wǎng)站的主目錄里，向上跳轉(zhuǎn)也不可能，而且管理員還禁止了WSH，由于我是Internet來賓賬戶，只有user權(quán)限，所以抱著一線希望試了試CMD，結(jié)果不能執(zhí)行，看來管理員又設(shè)置了不能訪問Cmd.exe。沒有了CMD，沒有了WSH，目錄沒有執(zhí)行程序的權(quán)限，我怎么混啊…… 
帶著郁悶的心情，再來試試上傳，心想，你不讓我用CMD，我自己傳個(gè)上去吧！依然失??！把本地的Cmd.exe換名成1.gif上傳，還是不行；改成HTM文件，一樣不行！納了悶兒了。這樣看來是什么程序都不能運(yùn)行了！真有點(diǎn)想放棄，不能寫文件，不能讀網(wǎng)站目錄外的文件，以前高手們的方法怎么都不行了，反向連接也沒用了，更別說什NC和木馬了。 
對了，還沒檢查端口呢！我趕緊拿出SuperScan掃描端口，結(jié)果讓我這個(gè)小菜絕望了，只開放了21和389端口，估計(jì)對方有防火墻或者做了TCP/IP篩選過濾，389端口又不熟悉，21是FTP服務(wù)的默認(rèn)端口，連接上去看看Banner怎么樣？興許是Serv-U呢？ 

從返回的信息來判斷，雖然它修改了FTP Server的Banner，但是從“user name okay，need password”這句可以大膽的猜測它就是Serv-U！雖然它的版本我現(xiàn)在還不知道，但是這也許會(huì)多條通向成功的途徑，試試！ 
經(jīng)過仔細(xì)的思考，眼下有兩個(gè)思路可以走：第一個(gè)是通過這個(gè)IP上的其它站點(diǎn)來滲透，我就不信，77個(gè)虛擬主機(jī)都是這么BT，應(yīng)該有些用戶權(quán)限能大點(diǎn)，可是說得容易做起難，都黑上一遍第二天我就是有兩黑眼圈的國寶了；第二就是Serv-U，不是開了21嗎？于是我拿起前輩們的遠(yuǎn)程溢出攻擊武器，輪番轟炸，可是人家21陣地堅(jiān)若磐石，絕望了…… 
回過頭再想想：服務(wù)器不是支持PHP腳本嗎（這個(gè)IP上有PHP網(wǎng)站的）？雖然我的權(quán)限很小，但也不是一無是處，EXE上傳不了，來個(gè)PHP的，誰知還真的能正常解析！趕緊上傳個(gè)PHP木馬，可惜PHP木馬的權(quán)限也是很低的，與ASP木馬一樣幾乎沒有任何有用的權(quán)限。不過這給我了啟發(fā)：要是有個(gè)PHP腳本能實(shí)現(xiàn)Serv-U的本地權(quán)限提升不就能成功了嗎？說干就干，我可是不會(huì)PHP語言的，自己編是不行了，去網(wǎng)上找找，可惜沒找到合適的。后來把這個(gè)想法跟羽藝說了說，他說他正好有個(gè)這樣的腳本，我拿回一看說明，這不正是我想要的嗎？哈哈，看來要柳暗花明了。 
趕緊把它上傳到Web目錄里，地址是：http://www.xxxxx.com/database/servu.php，這里我改成了Servu.php。IE中直接運(yùn)行. 

我們只要在Serv-U里加個(gè)超級(jí)用戶！說說它的使用吧：主機(jī)IP中填上提供虛擬主機(jī)的服務(wù)器地址；主機(jī)FTP管理端口要根據(jù)情況來修改；添加用戶名和密碼這個(gè)根據(jù)自己的喜好來修改，這里默認(rèn)是wofeiwo，密碼是wrsky；用戶主目錄一般是C:\。其它的一般不需要進(jìn)行修改。 
好了，我根據(jù)我的情況修改了IP、添加的用戶名與密碼后，點(diǎn)擊添加按鈕，Serv-U本地提升權(quán)限腳本將在服務(wù)器端被解析執(zhí)行，需要一些時(shí)間，有點(diǎn)慢，等滾動(dòng)條走完后即執(zhí)行成功，將添加一個(gè)Serv-U用戶admim，密碼是admim，并且它的權(quán)限是system，方框里有命令執(zhí)行的回顯，我的回顯是（看到以下的信息基本上執(zhí)行成功）： 
220 Serv-U FTP Server v5.2 for WinSock ready... 
331 User name okay, need password. 
230 User logged in, proceed. 
230-Switching to SYSTEM MAINTENANCE mode. 
230 Version=1 
900-Type=Status 
900 Server=Online 
900-Type=License 
900-DaysLeft=0 
…… 
900 MinorVersion=0 
200-User=admim 
200 User settings saved 

注意在這里，由于我沒有辦法查看處于防火墻之后（假如有）的主機(jī)開放的真實(shí)端口（技術(shù)太差了，呵呵），所以我假設(shè)它的本地Serv-U管理端口沒有被修改，有點(diǎn)蒙的味道了。哈哈！成功了！是Serv-U 5.2，連版本都顯示出來了！結(jié)果是歪打正著了！ 
現(xiàn)在局勢已經(jīng)明朗了：直接FTP過去登錄，切換目錄到system32下，然后執(zhí)行以下命令添加用戶“mdj：Quote site exec net.exe user mdj 123456 /add” 
怎么回事？提示我執(zhí)行失?。?nbsp;
ftp> quote site exec net.exe user mdj 123456 /add 
501 Cannot EXEC command line (error=0) 
細(xì)想了一下，既然net.exe存在說明可能管理員對net文件做了訪問限制，測試cmd也是一樣。這樣我來上傳net.exe，改名為200.exe，然后執(zhí)行添加管理員用戶命令. 
命令執(zhí)行成功！說明具有系統(tǒng)管理員的權(quán)限！可以利用Serv-U進(jìn)行遠(yuǎn)程管理、上傳免殺木馬等等。大家都是行家，小菜我這里就不廢話了，滲透到這里也就結(jié)束了。 
Serv-U.php對所有Serv-U版本均通用的，本地權(quán)限提升工具的話，我還是個(gè)小小的user權(quán)限，可見它在這次滲透過程中起到了至關(guān)重要的作用?，F(xiàn)在有的服務(wù)器還是允許執(zhí)行程序的，這樣一開上傳一個(gè)提升Serv-U權(quán)限的exe就一切搞定！但如果你在Web測試中遇到了和我一樣或者類似的情況，不妨試試這個(gè)腳本，會(huì)有驚喜的哦！最后感謝羽藝哥的大力支持！ 

最新評論