分享
 
 
 

webshell下的一次得到终端账号和密码的尝试

王朝other·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

文章作者:LvHuaNa[F.S.T] 文章来源:http://lvhuana.blogchina.com/ 发布时间:2005-04-01 10:40:13

今天老婆相中了一个音乐网站,里面有很多混音,可能听上去很棒吧,谁知道呢,俺又不喜欢那些东东。由于我整天吹牛说我黑过一些站点,老婆非要我把那些混音搞下来,没办法了,为了婚姻幸福,为了我的后半生的衣服有人洗,饭有人做,我就上去看看了。。。。。

首先来到http://www.spmix.com/这里看看,嘿嘿,.asp脚本做的网站,不错的样子。看到还有论坛呀,赶快上去瞧了瞧,LeadBBS v2.88,晕了,这个版本怎么没有见过,为了节省时间,我撤退到其他的分站找漏洞去,嘿嘿。

看了看站内留言分站也没有找到数据库或是conn.asp漏洞什么的,看来我又要找其他的地方突破了。然后找到http://www.spmix.com/all/dj/这个分站,随手打开里面的最新热门档案,一看url http://www.spmix.com/all/dj/ArticleShow.asp?ArticleID=379,ArticleShow.asp?ArticleID=379好熟悉呀,就是忘记是什么系统了。郁闷下,呵呵。and 1=1和and 1=2一下先,返回了不同页面,基本判断有注入存在了,拿出啊D跑一下吧,嘿嘿,俺人懒,只爱用工具。一会时间,管理员账号和密码就出来了(图一),郁闷的是密码是md5加密的16位密码。再拿出可爱的动网md5破解器来跑md5密码吧。跑密码的时候顺便用啊D来猜解一下网站的后台登陆地址,嘿嘿,合理的利用时间很重要。不出几分钟,密码和后台地址都跑出来了(图二,图三),高兴中,今天运气真好,md5都跑出来了。拿着账号密码成功登陆进后台一看,傻了,原来是大类管理员,只能添加审核文章,并没有可爱的上传或备份一类的功能应用。。再仔细找找吧,突然看到常见问题这里(图四),有默认的数据库名称,试验一下吧,如果数据库名字再被改动了,那我看来只能向老婆承认以前我纯数吹牛了....在ie里面输入http://www.spmix.com/all/dj/database/article.asp这个默认数据库地址后,我狂喜起来,看来他并没有更改数据库名字,而且数据库是.asp后缀的,没有做任何的防下载处理,这下我想到了插库(嘿嘿,可以直接得到webshell的一个简单办法)。回到首页去注册一个id先,根据经验,一般注册那里都不会做什么处理就直接把数据写进数据库的。密码问题这里填上蓝屏的一句话木马(图五),然后点注册,然后拿出蓝屏一句话木马的利用页面向数据库提交数据试试看能不能插库成功。提交真顺利,呵呵,可爱的webshell出现了(图六)。然后再用得到的这个webshell写进去一个大的webshell,我喜欢用海阳系列,功能强大,就写进去最近新出的2006a吧,呵呵。写进去后登陆2006a后在硬盘里面到处浏览了一下,发现这个机器对权限配置的挺严格的,不能浏览本网站以外的目录,并且没有发现老婆想要的那些混音音乐,汗,连webshell都有了,找不到那些音乐不是要丢人了......再转到执行cmd那里试试能不能执行cmd命令吧,如果有权限了,那不论他把音乐放在什么地方我们都可以得到它们了。

进入到WScriptShell命令行操作模块随手输入了net start后惊喜的发现可以执行cmd命令,并且看到了可爱的serv-u ftp服务器也在开放的服务里面,嘿嘿,这下很有可能要提升权限成功了,不但看到了serv-u服务,还看到了可爱的Terminal Services终端服务也开放了,嘿嘿,又阴笑了两声,又有可能得到一个3389肉鸡了。执行一下netstat -an后察看一下端口先,发现tcp里面真的有43958端口在开放着,这个管理员看来还没有来得及更改一下这些serv-u的默认的并且是危险的东西。再回到FSO文件浏览器这个模块里面上传serv-u本地提升权限的su.exe去,这里我把su.exe改了一下名字,改成test.jpg上传上去(不要着急,呵呵,在shell模式下,不论什么后缀都是要当作.exe可执行文件来执行的^_^),传完后,再回到WScriptShell命令行操作模块执行:

D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "cacls.exe c: /e /t /g everyone:F"

D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "cacls.exe d: /e /t /g everyone:F"

D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "cacls.exe e: /e /t /g everyone:F"

把C,D,E盘都设置成everyone可以浏览控制。OK,执行顺利进行了(图七)。然后在各个盘里仔细找了一会,终于在D:\Mp3.Spmix.com\dingshi\文件夹里面找到了所有的.mp3音乐,再上传一个rar.exe(这里我改名为test1.jpg了,上传到D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下),回到WScriptShell命令行操作模块执行打包命令:

D:\SpMix.com\Www.SpMix.Com\all\dj\database\test1.jpg a -r D:\SpMix.com\Www.SpMix.Com\all\dj\database\mp3.rar D:\Mp3.Spmix.com\dingshi把D:\Mp3.Spmix.com\dingshi\文件夹下所有的音乐文件打包到D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下,命名为mp3.rar。执行时间比较长,因为文件比较多,超出了脚本运行的最长时间,不过没有关系,等一会再到D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下一看,嘿嘿,mp3.rar文件已经静静的躺在那里了,可以下载了。任务完成!以后看来我又可以好好在老婆面前吹牛一番了^_^。

想了想之后,我决定再突破一下,得到终端管理的账号和密码多好呀,那样不是又多了一台肉鸡么,说干就干,首先在D:\SpMix.com\Www.SpMix.Com\all\dj\database\文件夹下新建一个1.bat的文件,内容为:query user >D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.txt

然后返回到WScriptShell命令行操作模块执行:

D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.bat"

这样做的用处是可以看到query user命令执行的回显,如果有连接用户的话,我就可以再传上去token.exe和findpass.exe来得到连接的用户的账号和密码了。执行完命令后回到FSO文件浏览器下看到已经有一个1.txt躺在那里了,点"编辑"看看里面的内容,不出所料,果然有终端用户lognic在上面连着呢(图八)。再上传token.exe和findpass.exe(我改名上传为t.jpg和f.jpg了),上传完后再编辑一下那个1.bat文件,内容编辑为:D:\SpMix.com\Www.SpMix.Com\all\dj\database\t.jpg >>D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.txt

然后返回到WScriptShell命令行操作模块执行:

D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.bat"

执行完后FSO文件浏览器接着看那个1.txt文件的内容,嘿嘿,那个终端用户lognic的pid值和域都出来了(图九),我们可以执行findpass.exe来得到他的密码了。接着编辑1.bat文件,内容为:

D:\SpMix.com\Www.SpMix.Com\all\dj\database\f.jpg PER-71E34D73E lognic 952 >>D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.txt

然后返回到WScriptShell命令行操作模块执行:

D:\SpMix.com\Www.SpMix.Com\all\dj\database\test.jpg "D:\SpMix.com\Www.SpMix.Com\all\dj\database\1.bat"

最后我们在返回FSO文件浏览器接着看那个1.txt文件的内容,哈哈,lognic的密码也出来了(鉴于个人隐私,我就不再捕图了)。大功告成,得到了账号和密码了,又多了一台终端肉鸡了。清理掉所有的文件后就可以撤退了,webshell也清理掉了,反正知道了他的数据库地址了,以后管理员改密码了我就再插库就可以了。这里给大家演示的只是webshell下的一些小小的操作,大家可以举一反三来进行更多的操作,要知道有serv-u漏洞的话,我们在webshell下可以进行的操作是和他本机的cmd.exe上进行的命令是一模一样的,无非就是多了.bat和.txt文件而已。

不说了,该让出电脑来让老婆来欣赏那些混音音乐了。大家再见。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有