渗透本地网通-红色黑客联盟

站点相关

没有相关文章


	您现在的位置：红色黑客联盟 >> 教程 >> 黑客技术 >> 脚本攻防 >> 正文

渗透本地网通

文章录入：7747.Net 责任编辑：7747.Net

【字体：小大】

作者：晓华[岁月联盟] xiaohua@syue.com
适合新手朋友学习

前言:
最近换上了网通4M的线路，速度就是那个安逸呀。出于网络信息安全的兴趣爱好，就检测下此站的安全系数
首先在百度搜索，得到本地网通站点的域名地址。打开命令提示符，输入CMD指令：ping 域名，得到如图一信息：

我们请求的数据报文，没有得到回应，全部丢失。应该是目标服务器安装了网络安全防火墙，或者做了网络安全访问限制，以预防我们对它进行任何危险的信息刺探和扫描，保障网络安全。打开我们的扫描利器SuperScan,我比较喜欢用3.0版本的。填入IP地址或者域名，如果是域名软件会自动解析为IP地址的。选择好相关的选项，点击开始。很快就得到扫描结果。如图二：

扫描的信息，只开放了三个端口，给我们利用的东西很少。110 和8080端口溢出的可能性太渺茫，现在我们只有从80的web端口撕开一个入口。

站点的入侵测试

打开后发现站点是asp程序的站，结构很简单，没有论坛。对于这样的站我们先找下常规的漏洞，首先找注射漏洞。打开阿D的注射工具浏览该站，没有发现注射点。打开百度网，输入：site: cnc-nj.com inurl:asp,搜索asp的页面，结果发现没有数据传递的页面。找注射点的这条路阻断了。我们来输入数据库连接文件的地址，inc/conn.asp 提示无法找到，多试了几个地址也不行，看来是管理改掉了的。看来爆库的方法是不行的。猜了一下常见的数据库路径，也不行。输入ewebeditor和admin/ewebeditor都未找到。现在只有看有没有上传的漏洞了。输入up.asp upfile.asp .都无法找到最后输入admin/upload.asp返回了主页。那说明admin的管理目录没有更改，输入admin/login.asp来到登陆页面，尝试经典的’or’=’or’万能密码登陆，提示密码错误。继续尝试常用的肉口令的密码，最后admin admin登陆后台系统。看来管理的安全意思很差，密码强度太弱。扫描器扫描服务器的结果相比，相差甚远。

看来仅凭服务器的安全是不够的，应该做到服务器网站程序第三方软件等各个方面的安全最重要是管理者的安全意识，不然只是外强中干，不堪一击。

如图三：

通过我们查看后台服务器的参数信息得知用网站环境是IIS6.0，那么推断服务器应该是微软的WIN2003的服务器的系统版本。

艰难的得到webshell

后台的功能很简单，没有数据库备份的功能。尝试使用网站的配置文件写入木马的，结果页面被删了。这对于我们拿webshell是很不利的。点击添加新闻，是个发布新闻的页面，有个上传文件和编辑文字的地方。发现使用的是ewebeditor的，这样路就好走多了。

选择查看源文件搜索”eweb”得到路径是./ewebedit/ewebeditor.asp，路径是改了的、怪不得刚没猜出来。来到管理页面，输入默认的密码登陆，提示密码错误。不用急，还有数据库呢。很自信的输入db/ewebeditor.mdb,竟然提示无法找到。看来数据库路径是改了，猜了几个也不行。看来今天的运气不好。还有个统计系统没有看呢，说不定有可以利用的。统计系统使用的是IT学习者的统计系统，在网上下载了一套回来研究。这样的系统拿webshell一般就二种：1.数据库插一句话木马，客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录，发现数据库扩展名是asp的，默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb，用明小子的数据库工具打开，发现有防下载的表。管理员的默认密码是：ITlearner。数据库插一句话木马这条路是走不通了，现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码：查找<td><input name="RecordNum" type="text" id="RecordNum" value="100" size="40" maxlength="3"></td> 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 <form name="form1" method="post" action="?Action=SaveConfig">处修改为action="http://www.cnc-XX.com/admin/cutecounter/admin?Action=SaveConfig">，

存为html文件打开后在最后详细来访信息记录多少条记录，默认为100条框输入100:eval request(chr(35))，点击保存。提示无法找到，结果发现。仔细检查也是同样的结果。可能是修补了漏洞。搞到这里，我想很多朋友都要放弃了。另外这个站是独立的服务器。旁注的不行的。我们要发扬黑客精神，永不放弃。现在我们回来ewebeitor上面来，要是把密码搞到。就很有希望拿下webshell,于是我就想该站的这套代码是不是下载人家的修改版的呢？一般下载的东西都有使用说明等介绍信息和密码的配置情况。于是尝试访问ewebedit目录下的 readme.txt 说明.txt 警告.txt 用户手册.txt 安装说明.txt。。均提示无法找到，功夫不负有心人。终于在使用说明.txt找到了登陆密码。如图4

新增样式添加上传的扩展名为asa…最后上传webshell.利用ewebeditor拿后台的方法我就不具体阐述了，相信大家都很精通。

成功上传的免杀脚本后门如图6：

服务器没有SU 也没有pcanywhere 没有安装 MSSQL 和 MYSQL 不支持PHP JSP脚本解析。终端是开启了的，端口改成了45678。网站同目录写入一个aspx的后门，竟然无法解析。C盘可以浏览，放网站数据的D盘，除网站目录可以浏览。其他均不能浏览。面对这样的服务器提权是难，尝试了几个几率高的EXP溢出工具，其中包括最近很火的本地溢出的MS08025.也不行，看来管理的补丁打的很勤快。实在要想拿服务器就只有写个Autorun文件，和上传个免杀远控软件等服务器从新启动后，管理打开磁盘，来运行你的木马了。这只是个思路。这篇文章已经结束了，其实技术就是那么几招，关键是看你要有耐性不放弃思维灵活运用都很重要！最后感谢大家对我们四川灾区的支援

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力

上一篇文章：黑客网络入侵大型网站的完整思路

下一篇文章：没有了

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】