服务咨询热线:

022-88711099

当前位置:

渗透某征婚网

发布时间:2011/11/18 23:02:56 作者:夜风冷 访问量:1247

渗透某征婚网

渗透某征婚网
    本文发表于3年前
    一、缘由
    一天某同志在群里发出一个站,说有空的帮忙弄弄,适逢当时的确很有空,就抱着试一试的心态打开了这个站。一看还真挺认我伤感的,原来是一个征婚网,如图1。想想自己也二十岁了,还没谈过恋爱,挺失败的,唉,人身一世,草木一秋啊!所以我要化悲痛为
    二、郁闷的开始
    打开网站看了下,发现是ASP的。打开一个连接,试着在URL后面加了个单引号,回车,页面返回正常。看来对SQL注入有点意识,过滤了单引号。再试下经典的and 1=1,返回正常,再试and 1=2的时候出现意外了,提示“对不起,该产品并不存在,请返回”,如图2。难道and也过滤了,可恶。难道不可以进行注入?这么看来对我来说就没什么搞头了,郁闷。手工不太信得过,于是用啊D检测了一下刚才的那个URL,发现检测出来是可用注入点,但是用啊D注入的时候也提示该URL无法注入。明明检测出来了,又不可以注入,够郁闷了。工具不能只用一个,只用一个工具的不是好的工具hack,所以决定换NBSI3.0试下。检测一下,发现也是未检测到注入漏洞。可恶,难道真的不可以注入吗?不死心,再打开相应的连接,找了“网站简介”几个作为关键字填入NBSI的特征字符里面,再检测。这回终于出来了,不仅可以注入而且是SA权限呢,如图3。尝试执行cmd命令ver,没有回显,恢复cmd之后再执行还是没有回显!难道xp_cmdshell删除了,可恶。扫描一下3389端口,发现开放,连接一下发现也可以正常连接到远程桌面。不过现在执行不了命令,要加个用户就不能实现了。本来SA下数据库服务器与WEB服务器同在一服务器上的话,而且xp_cmdshell又没有删除的话,是很容易得到服务器权限的。直接加个用户连接上去就可以了,但是现在不能执行命令,就没那么轻松了。用NBSI试着列目录,发现根本不能列出来,再用HDSI也列不出来。无奈再次打开啊D,这次又可以注入了,不过检测出来的结果有点奇怪,注入权限竟然是DB_OWNER,如图4。真不知道是怎么回事了,一会一个样,把我都搞迷糊了。不过好在这一次啊D倒能列出目录来了,看来只用一个工具真的是不行的哦。
    三、更郁闷的继续
    虽然啊D能列目录了,但是发现WEB目录相当BT,找了几个小时才找了出来。本来打算用NBSI直接往WEB目录传个一句话再传大马的,没想到又发生了意外。在NBSI的文本文件上传里试着上传一句话ASP马,如图5。看样子似乎是传上去了,但访问的时候去是无法找到该页,更郁闷了!然后再用啊D、HDSI、明小子的相应功能上传,结果全部失败了。啊D检测来检测去始终是检测出来为DB_OWNER权限,它不成功不怪它。可是其他的NBSI、HDSI、明小子全检测出来是SA权限的,也不成功就要怪它们了。不过其实这些工具都是通过相应的数据库储存过程来达到上传的目的的,不成功的话看来是相关的储存过程被删掉了。更不明白的是工具也是这样检测注入点的,为什么工具的and 1=1和and 1=2就能检测出存在注入,我手工的就不行呢,真是可恶至极了。难道是传说中的人品问题?SA也奈它不何,开什么玩笑,就要过年了,居然出现这种意外。起初我还怀疑是不是WEB目录搞错了,仔细检查了N次之后才确定WEB目录绝对是没错的。于是又用一系列注入工具想把一句话ASP马弄上去,可是不管我怎么弄还是无法找到该页!看来注入工具在这一次渗透中算是功力算是用完了。本来想当它就是DB_OWNER权限,想用LOG备份一句话的,没想到第一步就又提示“对不起,该产品并不存在,请返回”了。唉,看来真的是黔驴技穷了,知道的可行的办法已经全部试过了,就连最拿手的LOG备份也没成功,够郁闷的了!
    四、希望之光
    菜菜贵在学习,现在知道的办法似乎的确不可能拿到webshell了,更不用说什么系统权限了。既然暂时没办法的话就先放一放,于是又上了八进制的论坛到处逛了逛,发现有位同志遇到的情况和我虽不一样,但也有相同之处。在后面的回复中看到一个工具??MSSQL上传漏洞利用工具 V1.0。这个东西以前还没有见过,不知道管不管用。不管了,下载回来再说,打开后界面如图6。才发现原来是啊D的作品!再看看原理,原来是利用sp_oacreate来写入一个VBS文件来下载WEB上的文件来达到上传的目的的。而且还支持exe文件上传呢,不过有两个必须条件:一是要数据库MSSQL数据库类型,二是要SA权限,好在这两个条件都满足,不然真的没搞了。嘿嘿。这回又有得玩了,HOHO!虽然只支持小于8K的文件上传,但是我的一句话ASP马远远小于8K。注入连接当然就是填注入点了,注入类型是数字型的了(这个工具检测的时候会显示出来的),下载位置就是相应文件的WEB地址了(这里要注意的是后缀要是txt,如果你的一句话ASP马放到WEB上是asp后缀的话下载到服务器上的文件会是空的,因为一句话ASP马在访问的时候已经执行了,根本不能读取到代码。),保存位置就是在目标服务器的WEB路径了(记得要带文件名哦,后缀要是asp的),全部填好之后如图7。然后点“上传文件到服务器上”,很快就返回:发送下载命令,偿试下载文件并保存到服务器上,请稍候....命令已发送.请自行验证是否成功!如图8。再访问指定页面,哈哈,是空白的,太好了,成功传上去了。因为我的一句话代码改成“”这样的,所以页面不会出错,就显示空白的,不会有什么类型不匹配之类的错误的。现在当然就是用一句话客户端连接了,提交环境变量,成功返回了服务器相关信息,如图9。再接着就上传了大马站长助手,如图10。
    五、终结颠峰权限
    有了webshell办事就方便得多了, 试着执行net start,发现“拒绝访问”,想上传本地cmd.exe发现“不允许操作”!传不上去,郁闷,难道悲剧还要上演?不让传我就不传,在查看系统服务列表的时候发现有个ASPNET用户,支持aspx哦。既然不能上传,那我就用ASP马编辑算了,打开一个ASP文件,把ASPX马的代码复制过去,保存为hack.aspx,访问。哈哈,出现了可爱的登录界面,接着当然是登录进去了。这回能执行命令了,如图11。net start之后发现装有Serv-U,又开了3389,连接一下发现可以正常连接上。这回倒是好事不断了,嘿嘿。不过跳到Serv-U的安装目录才发现FTP配置文件没有修改权限,ASPX马也是一样,看来这块肥肉还设置过了访问权限呢。那我们就来试一下Serv-U的ASP马权限提升吧。上传了相应的ASP提权马,执行命令,提示成功了,不过这个马无论成不成功都是提示成功就不太好了。再在ASPX马里执行net user命令发现已经成功添加了一个用户名为goldsun的用户,并且属于管理员组,如图12。现在已经具有至高无上的权限了。再下来还等什么,登录3389呀。成功登录进去了,配置还不错呢,4个CPU哦,如图13。至此服务器最高权限已经顺利得到了,渗透也结束了。不过有一点还是要提一提的。大家应该还记得注入权限是SA的吧,那么说数据库连接文件里面放着的可以有SA权限的用户和密码啊。于是找到存在注入的文件,查看源码,找到数据库连接文件名,再跳到对应目录找到该连接文件,顺利得到了SQL连接用户和密码信息。再用SQLTools连接后发现是不可以执行命令的。看来组件真的被删掉了,再用得到ASPX马的方法弄了一个sqlrootkit上去,用得到的用户和密码登录,检测一下组件,发现xp_cmdshell组件是不存在的了,于是恢复组件,再检测的时候已经存在该死组件了,在SQLTools里执行命令也有了反应,如图14。就算没有Serv-U提权也是不成问题的。在数据库连接文件里发现有相关的过滤代码,看了一下发现没有过滤掉and的,可是我手工检测的时候却不行,原因就不清楚了。不明白为什么过滤掉了还能注入,可能过滤是过滤了,但是过滤得还不够严格吧,而且有办法可以绕过一些过滤继续注入的,具体就不是很清楚了。大家一定要记住sqlrootkit哦,在有SA权限的SQL连接用户和密码的时候它就是系统权限啊!文中不当之处还请大家批评指正,X的论坛我也会经常上的,有问题就到论坛了探讨探讨吧。
    

这篇为批量导入文章,以下为之前站内评论!

  • 夜风冷发表于 3年前