文章作者:LvHuaNa[F.S.T] 文章来源:http://lvhuana.blogchina.com/ 发布时间:2005-04-01 10:40:13
今天老婆相中了一个音乐网站,里面有很多混音,可能听上去很棒吧,谁知道呢,俺又不喜欢那些东东。由于我整天吹牛说我黑过一些站点,老婆非要我把那些混音搞下来,没办法了,为了婚姻幸福,为了我的后半生的衣服有人洗,饭有人做,我就上去看看了。。。。。
首先来到http://www.spmix.com/这里看看,嘿嘿,.asp脚本做的网站,不错的样子。看到还有论坛呀,赶快上去瞧了瞧,LeadBBS v2.88,晕了,这个版本怎么没有见过,为了节省时间,我撤退到其他的分站找漏洞去,嘿嘿。
看了看站内留言分站也没有找到数据库或是conn.asp漏洞什么的,看来我又要找其他的地方突破了。然后找到http://www.spmix.com/all/dj/这个分站,随手打开里面的最新热门档案,一看url http://www.spmix.com/all/dj/ArticleShow.asp?ArticleID=379,ArticleShow.asp?ArticleID=379好熟悉呀,就是忘记是什么系统了。郁闷下,呵呵。and 1=1和and 1=2一下先,返回了不同页面,基本判断有注入存在了,拿出啊D跑一下吧,嘿嘿,俺人懒,只爱用工具。一会时间,管理员账号和密码就出来了(图一),郁闷的是密码是md5加密的16位密码。再拿出可爱的动网md5破解器来跑md5密码吧。跑密码的时候顺便用啊D来猜解一下网站的后台登陆地址,嘿嘿,合理的利用时间很重要。不出几分钟,密码和后台地址都跑出来了(图二,图三),高兴中,今天运气真好,md5都跑出来了。拿着账号密码成功登陆进后台一看,傻了,原来是大类管理员,只能添加审核文章,并没有可爱的上传或备份一类的功能应用。。再仔细找找吧,突然看到常见问题这里(图四),有默认的数据库名称,试验一下吧,如果数据库名字再被改动了,那我看来只能向老婆承认以前我纯数吹牛了....在ie里面输入http://www.spmix.com/all/dj/database/article.asp这个默认数据库地址后,我狂喜起来,看来他并没有更改数据库名字,而且数据库是.asp后缀的,没有做任何的防下载处理,这下我想到了插库(嘿嘿,可以直接得到webshell的一个简单办法)。回到首页去注册一个id先,根据经验,一般注册那里都不会做什么处理就直接把数据写进数据库的。密码问题这里填上蓝屏的一句话木马(图五),然后点注册,然后拿出蓝屏一句话木马的利用页面向数据库提交数据试试看能不能插库成功。提交真顺利,呵呵,可爱的webshell出现了(图六)。然后再用得到的这个webshell写进去一个大的webshell,我喜欢用海阳系列,功能强大,就写进去最近新出的2006a吧,呵呵。写进去后登陆2006a后在硬盘里面到处浏览了一下,发现这个机器对权限配置的挺严格的,不能浏览本网站以外的目录,并且没有发现老婆想要的那些混音音乐,汗,连webshell都有了,找不到那些音乐不是要丢人了......再转到执行cmd那里试试能不能执行cmd命令吧,如果有权限了,那不论他把音乐放在什么地方我们都可以得到它们了。
进入到WScriptShell命令行操作模块随手输入了net start后惊喜的发现可以执行cmd命令,并且看到了可爱的serv-u ftp服务器也在开放的服务里面,嘿嘿,这下很有可能要提升权限成功了,不但看到了serv-u服务,还看到了可爱的Terminal Services终端服务也开放了,嘿嘿,又阴笑了两声,又有可能得到一个3389肉鸡了。执行一下netstat -an后察看一下端口先,发现tcp里面真的有43958端口在开放着,这个管理员看来还没有来得及更改一下这些serv-u的默认的并且是危险的东西。再回到FSO文件浏览器这个模块里面上传serv-u本地提升权限的su.exe去,这里我把su.exe改了一下名字,改成test.jpg上传上去(不要着急,呵呵,在shell模式下,不论什么后缀都是要当作.exe可执行文件来执行的^_^),传完后,再回到WScriptShell命令行操作模块执行:
D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "cacls.exe c: /e /t /g everyone:F"
D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "cacls.exe d: /e /t /g everyone:F"
D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "cacls.exe e: /e /t /g everyone:F"
把C,D,E盘都设置成everyone可以浏览控制。OK,执行顺利进行了(图七)。然后在各个盘里仔细找了一会,终于在D:\Mp3.Spmix.com\dingshi\文件夹里面找到了所有的.mp3音乐,再上传一个rar.exe(这里我改名为test1.jpg了,上传到D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下),回到WScriptShell命令行操作模块执行打包命令:
D:\SpMix.com\Www.SpMix.Com\all\dj\database\test1.jpg a -r D:\SpMix.com\Www.SpMix.Com\all\dj\database\mp3.rar D:\Mp3.Spmix.com\dingshi把D:\Mp3.Spmix.com\dingshi\文件夹下所有的音乐文件打包到D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下,命名为mp3.rar。执行时间比较长,因为文件比较多,超出了脚本运行的最长时间,不过没有关系,等一会再到D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下一看,嘿嘿,mp3.rar文件已经静静的躺在那里了,可以下载了。任务完成!以后看来我又可以好好在老婆面前吹牛一番了^_^。
想了想之后,我决定再突破一下,得到终端管理的账号和密码多好呀,那样不是又多了一台肉鸡么,说干就干,首先在D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下新建一个1.bat的文件,内容为:query user >D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.txt
然后返回到WScriptShell命令行操作模块执行:
D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.bat"
这样做的用处是可以看到query user命令执行的回显,如果有连接用户的话,我就可以再传上去token.exe和findpass.exe来得到连接的用户的账号和密码了。执行完命令后回到FSO文件浏览器下看到已经有一个1.txt躺在那里了,点"编辑"看看里面的内容,不出所料,果然有终端用户lognic在上面连着呢(图八)。再上传token.exe和findpass.exe(我改名上传为t.jpg和f.jpg了),上传完后再编辑一下那个1.bat文件,内容编辑为:D:\SpMix.com\Www.SpMix.Com\all\dj\database\t.jpg >>D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.txt
然后返回到WScriptShell命令行操作模块执行:
D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.bat"
执行完后FSO文件浏览器接着看那个1.txt文件的内容,嘿嘿,那个终端用户lognic的pid值和域都出来了(图九),我们可以执行findpass.exe来得到他的密码了。接着编辑1.bat文件,内容为:
D:\SpMix.com\Www.SpMix.Com\all\dj\database\f.jpg PER-71E34D73E lognic 952 >>D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.txt
然后返回到WScriptShell命令行操作模块执行:
D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.bat"
最后我们在返回FSO文件浏览器接着看那个1.txt文件的内容,哈哈,lognic的密码也出来了(鉴于个人隐私,我就不再捕图了)。大功告成,得到了账号和密码了,又多了一台终端肉鸡了。清理掉所有的文件后就可以撤退了,webshell也清理掉了,反正知道了他的数据库地址了,以后管理员改密码了我就再插库就可以了。这里给大家演示的只是webshell下的一些小小的操作,大家可以举一反三来进行更多的操作,要知道有serv-u漏洞的话,我们在webshell下可以进行的操作是和他本机的cmd.exe上进行的命令是一模一样的,无非就是多了.bat和.txt文件而已。
不说了,该让出电脑来让老婆来欣赏那些混音音乐了。大家再见。