一.“战争”序幕的拉开
首先祝大家肉鸡多多,技术进步!最近在学习汇编,朋友推荐了一本不错的书,跑遍了附近的书店都没有找到,于是在baidu搜到了该出版社的网站,刚一打开,你猜杂着?偶地KV网页监控马上报告“发现病毒已经清除”如图1
真是晕啊!这种网站都会被人挂马,哎...现在国内的网管...不说了!幸好偶打过补丁了,要不小命就此玩完了,呵呵!
小提示
网页木马的原理都是利用一些IE的漏洞来运行程序(一般都是木马程序),现在流行的网页木马如:XP+SP2的网页木马,最近新出了一个利用'Help Control Local Zone Bypass"的网页木马,需要的朋友可以去网上搜搜,一般黑客站点都有的。勤打补丁的话像市面上公布出来的网页木马就算打开了也没有关系的!
看了一下这个网站支持在线购买图书,要是那样的话...呵呵!进去了不就可以免费买书了?反正也没事干,那么就开始吧!
二.轮番轰炸
既然已经被人挂了马,那就是有人进去过了(废话),大体观察了一下,它的网站是ASP+MSSQL的,没有什么论坛,看来想拿webshell不是很容易。
还是看看它开了什么端口吧!
小提示
菜鸟:为什么很多文章中都提到扫描端口,扫描端口到底有什么用呢?
小鱼:理论的东西我不想多讲了,通常说的扫描端口是指扫描TCP端口,系统中的每个网络服务要与外部通信就必须用到端口,什么意思呢?就好比你跟聋哑人沟通用的是手语,不同的系统服务会用到不同的端口,比如开网站的服务器,就肯定开放了80端口,根据端口的开放情况可以判断对方开了哪些服务从而方便我们找对应的漏洞或者溢出!
手头刚好有流光那就用它吧,一会儿功夫扫描结果就出来了,图2
开了80,110,25,1433,3389这几个端口,110和25是发送邮件时用到的,3389不知道是先前的入侵者开的还是管理员自己管理用开的!IIS版本是5.0可能是win2K的服务器,我们登陆3389看看,为什么要登陆3389?你还没有权限怎么登陆啊?登陆3389的目的主要是看看对方系统版本,图3
是windows2000服务器版的!知道了目标主机的一些基本信息,现在我们就针对这些信息来想出对应的入侵方案,110和25端口好像没什么重要的漏洞,所以先放一边,1433是MSSQL服务开放的端口,默认帐户sa不知道有没有弱口令,试试看,用SQL综合利用工具连接用户SA,密码为空试试,图4,
提示连接失败,看来密码不为空,想想也对!管理员怎么能傻到那种程度?再试试sqlhello-SQL溢出看看对方MSSQL打没有打SP3(现在国内很多你无法想象的超级大站还存在这种低级漏洞呢!具体,我可不敢说!呵呵),图5
正向和反向的溢出都试过都是不行,看来这个漏洞是没有了!剩下的只有80端口了,一般这个都是找脚本漏洞,在网站上找形如“xxx.asp?id=1"这样的页面,这个站上有很多,随便试一个在后面加个单引号看看,图6
一般出现像“错误 '80040e14' ”这样的都是说明存在SQL注入,那句“ODBC SQL Server Driver”一般有“ODBC”的说明是MSSQL数据库的,要是提示“JET”那就是ACCESS数据库了!我们再用工具找找看,拿出“啊D注入工具”扫扫,然后我用“HDSI”注入(完全是个人习惯!),在啊D中的“注入点扫描”中输入网站的URL,点击右边第一个按钮就会自动检测了,图7哈哈!有了!马上将注入点复制到HDSI中进行注入,点击“开始”,图8,
高兴ing,连接数据库的用户居然是SA这下发财了,一条思路马上展现在眼前,就是用HDSI找到web目录,然后通过数据库备份上传ASP木马,hoho!点击HDSI左边的“列目录”开始寻找网站目录,我找啊找...终于被我找到了,图9
d:xxxxhome下,马上将一个ASP木马的后缀改为txt用HDSI上传到web目录下,郁闷,图10
提示“上传文件不成功!”怎么办?没事既然是sa的权限不能这样上传还有别的办法,试了试用xp_cmdshell直接加用户,TFTP上传,写脚本上传统统失败了!我郁闷,真想一头撞死算了!到嘴的美味吃不上,别提多难受了555...怎么办?我想...我再想...有了,既然这个站已经被人入侵过了,那么肯定会留下一些ASP木马要是能找到一个小的ASP木马不就可以上传大马了?虽然比较笨,不过黑猫白猫能捉到老鼠就是好猫了!我找...我继续找...再次来到网站目录下挨个看文件夹,突然看到一个MDB的目录,心情开始激动了,颤抖的手点了下去(哈哈!有点夸张)。哇塞!,图11
里面有个guestbook.asp还有个a.asp,看看路径写着d:xxxxhomeliuyanmdb,各位读者猜到这是什么了么?对了留言板!看到留言板有什么好高兴?我们知道了默认数据库路径而且数据库以ASP结尾,如果在留言中插入那个一句话的ASP木马提交这样就会记录在数据库中,而数据库又是ASP结尾的这样就跟一个ASP木马一样了,访问数据库web地址页面出现了乱码,图12
这样就是没有做防下载处理,然后马上在留言板中留言在“主页”还有其他地方都输入了“ <%eval request("#")%> ”提交成功,用海洋c端连接发现还是不成功(可能是被过滤掉了吧!)!怎么办呢?郁闷...于是用迅雷下载了这个ASP数据库改名为MDB后打开,找出管理员账号密码,图13
登陆留言板,经过测试发现在管理员页面的公告中可以插入木马,图14
这回成功拿到webshell了(图15 )
对了忘记告诉大家刚刚跟guestbook.asp同一目录下的那个a.asp就是别人留的海洋2006的asp木马!
小插曲
访问那个a.asp将html代码保存下来,这里的代码就是海洋2006的登陆界面,然后用我的木马编辑那个a.asp将里面的代码全部清空掉,粘贴上刚刚复制的登陆页面的html代码,再在最下面挂上我的网页木马!哈哈!这样只要那家伙访问自己的webshell虽然看到登陆界面了但是怎么也登陆不进去,而且还中了咱们的木马!一个字爽!
三.拿下目标
我用的也是海洋2006不过是加密免杀的,现在就是提权了,用海洋的“服务器相关数据”看了看开的服务,发现并没有安装serv-U,很多菜鸟看到这里可能就会放弃了!其实没有serv-u也没关系,毕竟条条大陆通罗马么!还记得刚刚注入时是SA的权限么?这就说明数据库连接用的是SA,到网站主页下随便打开一个ASP文件看看,图16
“common/inc_const.asp”这个就是ASP被打开后先调用的数据库连接文件了,我们马上到该目录下的common找到inc_const.asp对它编辑,图17
怎么样?是不是有大发现了,其实提权就是这么简单!SA密码暴露无疑啊!
现在该怎么办呢?拿出SQL连接器输入密码连接上去,哈哈成功了,选择“利用目录”==》“执行DOS命令”加个用户试试,图18
