我是个菜鸟,此文也没有什么高深的技术,也就是多了一分细心,高手就可以略过。这次瞄准的目标只是一个大站,以前就偶尔听过大名,今天看电视,居然还可以在电视上看到他的广告,看来越做越好,随手就在电脑上输入了他的网址看看,魔王教导说他看到搜索的站就会输入XX找好片子,像我们这样学黑客的,看到一个站点就会and 1=1看网站的安全性。那我们就来看看这个站的安全吧。
先上我的灰鸽子,找个可怜的人做成代理,代理登陆他的网站,毕竟安全要紧。初步的看了看,大体是个分三个部分,新闻二手信息,人才数据,论坛,看了看前2个,随便找了个asp?id= 的输入 and 1=1,结果提示说该IP已被记录,记录语句是and,我晕,过滤了。典型的防注入通用程序,看了看论坛,动网7.1,打了最新的补丁。郁闷。一看表,就忙忽了半个小时了。
大站就是大站,程序做的好,于是拿出明小子的旁注入工具,怀着侥幸心理去看看。好家伙,一去查询,上面虽然才不到十个站,估计是客户的站,但是几个站有上传漏洞,一搞3个webshell就到手了。
2003的服务器,IIS 6.0 Wscript.shell,shell.application,Wscript.network组件全部给删除了。
查看系统服务信息提示Server.CreateObject 失败,查看服务器相关数据提示缺少对象,哎。想什么就没有什么,现在配置服务器可都是这样,接着用FSO浏览下c盘的文件,c:\winnt\system32\inetsrv\data\权限不足,C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\权限不足,cscript没有执行权限,等等,权起我头晕。看了aspx木马,也不行。正在失望的时候看了一下他的本地路径。
D:\web\ddfgfhghdfrtraghgs\www.21100.com\upfile 可以想到,他的其他的网站都是丢到web目录下的,于向上跳,看可不可挑到上级目录。不可以。可是他的ddfgfhghdfrtraghgs 就觉得有点希奇,和魔王讨论了一下,魔王说会不会是IIS单用户?一提醒就觉得很有可能,因为他设置ddfgfhghdfrtraghgs 就是乱输入的,估计管理员也不知道路径,如果权限设置没有问题,其他的网站路径找不到,就算是IIS单用户也是白搭。
暴库,大家都知道,可以暴出本地路径,于是又回到目标站点,可是找了半天也没有暴出什么东西,页面的程序做的太好了。但是为了测试是否真是IIS单用户,结果暴了另外一个服务器上小站的数据库。
D:\web\eiroqgngivnihanh\www.XXXX.net\ 在原来得到的木马地址输入“暴”出来的地址,哈哈,可以访问,果然是IIS单用户。可是怎么找路径,这时候想到了杀毒软件的日志文件,可以泄露他的绝对路径。测试了偌顿,瑞星,等杀毒默认路径,最后确定他的杀毒是VirusScan
C:\Documents and Settings\All Users\Application Data\Network Associates\VirusScan。
开心啊。马上就把他DOWN 下来。又搞了2个站的路径,但是仍然没有搞到我要的目标站点,陷入郁闷。搞了半天这个服务器上的八九个站都被搞了五六个,他的服务器都快被黑完了。还没有搞下目标站点。
问魔王要了部电影休息了一下,想了一下,既然他可以杀毒,就可以让他继续杀,他不是有动网论坛吗?我们可以再现一下“动网论坛的上传漏洞”,马上纠集所有的asp木马和网页木马,通通改成为gif,在头文件加入GIF89a ,把以前脱壳后还没有改造的垃圾木马也传。我传,我传,我统统上传上去。我看你杀毒查不查杀。传完后,继续把刚才的电影看完。Ok,现在我们去看我们的杀毒日志,D:\web\trttnmjkwfdgtyythg\www.XXX.com OK。太开心了。
哈哈。改主页。留上老大和我的名字,然后走人。(魔王:汗,不要拉我下水,别人报警了。)
对于防范只要管理员不要偷懒,设置一个IIS用户只能访问一个站的权限就可以了。多建立几个就可以了。
