天天在網上轉悠,總看到有網站被黑,我對那些入侵高手的技術佩服得五體投地,敬仰之情如同滔滔江水天上來。這天下午我在和sophia閒聊,他請我搞站,我看心情好就同意了,和sophia一起滲透該網站。一直忙到晚上3點才搞定,搞定了沒事做就想寫點什麼,寫什麼好呢?就把滲透過程寫下來好了,希望能給那些在黑色道路上不斷摸索前行和彷徨的朋友一點點啟發。
http://www.xxx.cn/(ip:xx.103.160.22)是一大型信息港門戶網站。xxx.cn有以下特點:1.二級域名多,至少20個,根據ping完後的結果看。那些二級域名都沒有綁定在一個ip上面,自然也就不在一台服務器上咯;2.支持的腳本語言多,首頁上有jsp,php,asp.net,asp,等等。3.信息量打得驚人,很多東西哦都是鏈接到其它網站或二級域名,單這些就可以把人搞得昏頭轉向。對於這種站,只有搞過的人才知道入侵它是多麼累,多麼痛苦。
個人覺得這種站關鍵還是要找到合適的入手點,找到致命的漏洞。搬出domain旁注一下,發現該服務器只綁定一個域名。就先先具體了解下網站吧?.畢竟 知己知彼 百戰百勝嘛!幾只煙下來,開始有點小暈了.主站上面雖然支持腳本是比較多,但動態頁面似乎少的可憐.其他的都是連接到二級域名的!看來只能從主站入手了我先看下網站有什麼直接的漏洞比如注射啊,上傳漏洞啊。於是開始了慢長的搜尋過程。首先當然是拿比較熟手的asp了,不錯.開了主頁就找到個asp鏈接,後面還帶參數的.哈哈!趕快and 1=1試一下,不爽!這家伙居然用通用防注入程序再仔細找也沒有發現注入點。再試下aspx,提交什麼都返回整頁的錯誤,沒辦法。jsp的頁面也沒有問題。看到有php的頁面,眼前一亮.說不定他開3306了啊。。掃個若口令,不錯!請出nc ip 3306 很快連接了上去.返回信息了4.0.24的版本,首先注射查詢裡使用UNION函數是滿足了.來登陸下先..mysql -hip -uroot .嘿嘿,起碼的先來個空口令嘛。很不幸運,失敗了,順便又猜了幾個常見的若口令,均失敗告終.看來投機是不成了.老實點來吧!又一次鑽入主站,開始搜尋傳說中的php注射點,終於找到個看起來有點問題的頁面!
http://it.xxx.cn/publicpress_content.phpid=96/**/and/**/1=2/**/union/**/select/**/1,1,1,1,1,1,1
由於系統過濾了空格,就用/**/代替好了,可是連字段數也沒辦法也猜不出來,估計猜表名也很困難,只好放棄了。
找到http://gongqiu.xxx.cn/fabuinfo.asp,這是發布供求信息的地方,注冊後可以上傳圖片( 限 jpg 格式 )。我正准備抓包,卻發現上傳一個正常的圖片也不行,看來上傳的地方出了毛病。
最後在http://www.xxx.cn/life/lifehtm/pro_list.asp下面找到個搜索的框框,輸入關鍵字反探測'返回:
Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80040e14'
[Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: '%' 附近有語法錯誤。
/life/lifehtm/pro_list.asp,行94
接著輸入“反探測' and 1=1 and '%'='”和“反探測' and 1=1 and '%'='”返回不一樣,這就證明有注射漏洞。手工注入累死人,抓包嗅談地址,如:http://www.xxx.cn/life/lifehtm/pro_list.asp?protype=%C6%E4%CB%FC%CE%EF%C6%B7 ,用nbsi注入不了,用啊D工具檢測還是DB_owner權限,支持多句執行,權限雖然不大,但是還可以列目錄,在他的3個盤裡面仔細查找,只發現一些數據庫備份,沒有任何網站目錄,想到數據庫和web分離的,也不知道這台數據庫機器的ip,備份得到webshell的思路估計是沒門了。猜解表名沒找到諸如admin啊,manager之類的表.又在主站上面搜索了回後台,沒有找到.看來這注射點利用價值也不多了.列出還有C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/目錄,但配置文件現在又拿不到。
這時候sophia的掃描結果出來了,superscan掃描速度真是快啊,看來只有從內網入手了,並不一定是arp嗅談啊,那東西得看運氣,十有八九會出現Spoof的錯誤,這個問題曾經在E.S.T裡面熱烈討論過,但是一直沒有人很好地解決。 掃描同一網段機器的端口。
仔細分析了一下這些內網機器所開的端口,讓偶發現了點小秘密。大部分機器都開ftp的21端口了,觀察之後發現連接信息是諸如xxweb,xxdatabase之類的,另外返回信息裡面看不到ftp的用什麼,但有個220.好家伙!聰明點人的不難發現那些代表什麼意思了!當然是serv-u了啊。.還有積聚、就是是很多機器都開了5631的pcanywhere端口,一個內網為了方便應該裝點遠程控制軟件來管理主機吧?連了好幾個3389都沒成功.這時候我感覺5631能夠帶給我們好運氣。這麼多機器ftp信息是有規律的,pcanywhere也應該多少有點聯系的..社會工程學?嘎嘎! 大概的思路已經出來了,先拿幾台機器的webshell提權或者直接下他的pcanywhere的配制文件,之後運用社會工程學or嗅談(當然嗅談是最壞的打算了)來拿到目標站.ok!和sophia開工了,先得拿到一個webshell再說。
12下一頁閱讀全文