利用星外虚拟机的入侵 经验分析
发布时间:2011-03-23 00:56:15 作者:佚名 
我要评论
我要评论近日帮朋友搞一个小站,本来以为很快就能搞定 结果花了不少时间。不得不说能力有限呀。
目标站点是老Y文章管理系统v2.5的。在网上找了下,目前基本上没有什么可直接利用的漏洞,于是开始旁注
上http://ip.468w.cn/ 查了下。服务器上150个站,用super injection导入全部站点后批量扫描注入点,很快拿到了服务器一个asp的shell,可是权限很低.几分钟过后又拿到同服另外的一个.net站的shell,初步看了下,星外的虚拟主机,设置得比较安全,除了当前站点目录和c:\windows\temp可写入,找了许久都没找到一个即可写也可执行的目录。这样信息获取的就比较少了,所幸在注册表里HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11找到了星外虚拟主机配置信息 mssql sa密码 (32位md5加密,感谢sht同学帮我查询收费记录)
,速度连接上去,
却没看到诸如freehost之类的数据库,sa被降权了,mysql 的root密码也是一样的可惜也被降权了,都是独立帐户启动的数据库.mssql backupdata时除了temp目录可写,其它目录都不能写,xp_cmdshell,xp_dirtree,xp_oacreate,等那些存储过程都不可用,上传相关dll文件尝试恢复提示拒绝访问,不过还可以用xp_subdirs列出d:\freehost的所有子目录来。但是目标web路径没有用域名这类的作为名称,花了大半天的时间才找到目标站的路径。大致方法就是通过whois查到管理员的qq邮箱,再通过搜索qq,找到管理员常用用户名xxx336,再在列出的子目录里找到一个xxx336的目录,exec master..xp_subdirs ‘d:\freehost\xxxx336\web’ 的确老y文章管理系统的目录结构不过后台目录被改了这下也暴露出来了,目前知道后台地址,web目录。Qq,常用用户名,把这些整理成一字典 进行后台密码和ftp穷举,也失败了。于是想打数据库的主意,老Y文章管理系统的配置文件为/inc/config.asp,的参数中有数据库路径,于是在网上相关 mssql读取文件内容的方法,总算是找到了,也许牛牛们早就知道了,但我还是第一次用到,拿出来分享下希望对没有接触过的同学有帮助以免走弯路,
用查询分析器执行如下语句
Use xxx120;--(这里是随便选的一个数据库)
drop table cmd;
create table cmd (a text);
BULK INSERT cmd
FROM 'd:\freehost\xxx336\web\inc\config.asp'
WITH (
FIELDTERMINATOR = '\n',
ROWTERMINATOR = '\n\n'
)
select * from cmd
这样就成功读出了d:\freehost\xxx336\web\inc\config.asp文件的内容,很惊讶。
下载数据库后找到管理员表,密码字符串只有14位,下载了套程序看了下相关代码Mid(md5(Admin_Pass,32),4,18),先经过32位md5密码然后从4位开始往后取18位 。密码不可逆,看到这个就蛋疼了。看了看后台验证文件admin_check.asp, 很鸡肋cookies欺骗。利用起来很麻烦。于是在下载到的数据库的普通用户表中查询和管理员表的里密码相似的用户,结果还真找到了个用户,
由于普通用户表的密码是16位md5加密的,把密文拿到cmd5.com很快就查询出来了明文密码,用这个密码尝试登陆后台,还真成功了,
拿 shell 就简单了,后台有数据库备份功能。至此 大功告成!
过程没啥技术含量,欢迎大家指点,但不要指指点点。
以下是增加内容:
针对论坛上某些朋友提出来的一些疑问很感谢。
用aspxspy从注册表中读取出来的md5密码解出来后 用来尝试连接sa连接数据库的。算是rp好吧。因为以前遇到过几次就是样成功的
至于有了sa还那么曲折 是因为服务器分别有sqlrun和mysqlrun独立帐户启动的数据库服务而不是system.所以权限比默认的小很多,其本上除了web目录能读取,temp目录可写,存放数据库文章的目录能写 其它地方没什么权限的,所以备份小马 oacreate之类的都没有成功。
另外推荐两篇文章 希望对大家有帮助
http://www.simple-talk.com/sql/t ... server-using-t-sql/ (在sqlserver中读写文件)
https://www.jb51.net/article/26602.htm (sqlserver中对入侵有用的相关存储过程详解)
上http://ip.468w.cn/ 查了下。服务器上150个站,用super injection导入全部站点后批量扫描注入点,很快拿到了服务器一个asp的shell,可是权限很低.几分钟过后又拿到同服另外的一个.net站的shell,初步看了下,星外的虚拟主机,设置得比较安全,除了当前站点目录和c:\windows\temp可写入,找了许久都没找到一个即可写也可执行的目录。这样信息获取的就比较少了,所幸在注册表里HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11找到了星外虚拟主机配置信息 mssql sa密码 (32位md5加密,感谢sht同学帮我查询收费记录)
,速度连接上去,
却没看到诸如freehost之类的数据库,sa被降权了,mysql 的root密码也是一样的可惜也被降权了,都是独立帐户启动的数据库.mssql backupdata时除了temp目录可写,其它目录都不能写,xp_cmdshell,xp_dirtree,xp_oacreate,等那些存储过程都不可用,上传相关dll文件尝试恢复提示拒绝访问,不过还可以用xp_subdirs列出d:\freehost的所有子目录来。但是目标web路径没有用域名这类的作为名称,花了大半天的时间才找到目标站的路径。大致方法就是通过whois查到管理员的qq邮箱,再通过搜索qq,找到管理员常用用户名xxx336,再在列出的子目录里找到一个xxx336的目录,exec master..xp_subdirs ‘d:\freehost\xxxx336\web’ 的确老y文章管理系统的目录结构不过后台目录被改了这下也暴露出来了,目前知道后台地址,web目录。Qq,常用用户名,把这些整理成一字典 进行后台密码和ftp穷举,也失败了。于是想打数据库的主意,老Y文章管理系统的配置文件为/inc/config.asp,的参数中有数据库路径,于是在网上相关 mssql读取文件内容的方法,总算是找到了,也许牛牛们早就知道了,但我还是第一次用到,拿出来分享下希望对没有接触过的同学有帮助以免走弯路,
用查询分析器执行如下语句
Use xxx120;--(这里是随便选的一个数据库)
drop table cmd;
create table cmd (a text);
BULK INSERT cmd
FROM 'd:\freehost\xxx336\web\inc\config.asp'
WITH (
FIELDTERMINATOR = '\n',
ROWTERMINATOR = '\n\n'
)
select * from cmd
这样就成功读出了d:\freehost\xxx336\web\inc\config.asp文件的内容,很惊讶。
下载 (71.33 KB)
2010-7-1 19:31
下载数据库后找到管理员表,密码字符串只有14位,下载了套程序看了下相关代码Mid(md5(Admin_Pass,32),4,18),先经过32位md5密码然后从4位开始往后取18位 。密码不可逆,看到这个就蛋疼了。看了看后台验证文件admin_check.asp, 很鸡肋cookies欺骗。利用起来很麻烦。于是在下载到的数据库的普通用户表中查询和管理员表的里密码相似的用户,结果还真找到了个用户,
由于普通用户表的密码是16位md5加密的,把密文拿到cmd5.com很快就查询出来了明文密码,用这个密码尝试登陆后台,还真成功了,
拿 shell 就简单了,后台有数据库备份功能。至此 大功告成!
过程没啥技术含量,欢迎大家指点,但不要指指点点。
以下是增加内容:
针对论坛上某些朋友提出来的一些疑问很感谢。
用aspxspy从注册表中读取出来的md5密码解出来后 用来尝试连接sa连接数据库的。算是rp好吧。因为以前遇到过几次就是样成功的
至于有了sa还那么曲折 是因为服务器分别有sqlrun和mysqlrun独立帐户启动的数据库服务而不是system.所以权限比默认的小很多,其本上除了web目录能读取,temp目录可写,存放数据库文章的目录能写 其它地方没什么权限的,所以备份小马 oacreate之类的都没有成功。
另外推荐两篇文章 希望对大家有帮助
http://www.simple-talk.com/sql/t ... server-using-t-sql/ (在sqlserver中读写文件)
https://www.jb51.net/article/26602.htm (sqlserver中对入侵有用的相关存储过程详解)
相关文章
本文来介绍一下thinkphp官方修复的一个getshell漏洞,框架对控制器没有进行足够的检测导致的一处getshell,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随2018-12-12记 FineUI 官方论坛discuz所遭受的一次真实网络攻击
这篇文章主要介绍了记 FineUI 官方论坛discuz所遭受的一次真实网络攻击,需要的朋友可以参考下2018-11-30- 这篇文章主要介绍了Linux 下多种反弹 shell 方法,需要的朋友可以参考下2017-09-06
- 这篇文章主要为大家介绍了基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击,需要的朋友可以参考下2017-05-20
- 这篇文章主要介绍了SQL注入黑客防线网站实例分析,需要的朋友可以参考下2017-05-19
- 这里为大家分享一下sql注入的一些语句,很多情况下由于程序员的安全意识薄弱或基本功不足就容易导致sql注入安全问题,建议大家多看一下网上的安全文章,最好的防范就是先学2017-05-19
- 对于目前流行的sql注入,程序员在编写程序时,都普遍的加入防注入程序,有些防注入程序只要在我们提交一些非法的参数后,就会自动的记录下你的IP地址,提交的非法参数和动作等,2017-04-29
- 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类2016-12-27
- 这篇文章主要介绍了Python 爬虫使用动态切换ip防止封杀的相关资料,需要的朋友可以参考下2016-10-08
- 这篇文章主要介绍了使用爬虫采集网站时,解决被封IP的几种方法的相关资料,需要的朋友可以参考下2016-10-08
最新评论