入侵飞龙网某分站全记录

  • 来源: 77169.com 作者: lixiangjing   2008-07-02/13:13
  • 拿着啊D 在胡乱的扫站,扫到一个飞龙网的注入点,权限为db_owner,如图一,轻车熟路的通过日志备份获得到一个webshell,这个具体过程就不再废话了。

                   

                                                                                                       图一

        进了webshell大体看了下,权限非常低,于是上传了个php的马上去,因为在刚才用啊D列目录的时候看到有个php文件夹,所以想到服务器是支持php脚本的,php比asp权限高的多,找了个免杀的php大马传上如图二。

                                           

                                                                                                图二

    php默认是以\network service身份启动的,netstat –an看了下3389是开放的,而且外网可以直接telnet上,如图三:

                         

                                                                                                 图三

    所以直接加个用户服务器就搞定了^0^,直接执行shell命令加用户失败,于是想着通过mysql提权,这次根本没看SERV-U,整天用它提权早就提厌了,首先在服务器上找到一个php连库的配置文件,打开得到mysql的账号和密码,如图四                   

                       

                                                                                          图四#p#副标题#e#然后上传个免杀的mysql本地提权小马,如图五,提交连接后我们就要到处udf.dll为我们待会创建函数做准备,导出目录为windows的目录如图六。

                                            

                                                                                              图五

                

                                                                                    图六

    由于我刚才已经导出一次了,所以出错提示已经存在,下面我们在sql里创建函数,执行create function cmdshell returns string soname 'udf.dll',然后我们就可以通过select cmdshell('net user user password /add');来执行命令了,如图七。显示完成,但是现实往往是残酷的,下面的过程才是鼓动我写这篇文章的“罪魁祸首”。

                  

                                                                                             图七

    net user下并没有我建的用户,如图八 ,郁闷中,mysql本来就是用system的身份启动的,怎末会加不上呢,原因只有一个,那就是这个变态管理员把net.exe的权限设置成刺猬了,谁都碰不得,包括管理员在内,后面证实了这点,哎,自己不用还不让人家用,管理员太不厚道了,既然是system权限启动的,那就有加用户的权限,但是通过net加用户是不行了,这时很自然的想到了两个api,NetUserAdd()和NetLocalGroupAddMembers(),你管理员可以禁止程序但是我就不信你能连api函数也一块禁了,便三下五除二写了个加用户的小程序add.exe,上传后执行,如图九

                             

                                                                                           图八#p#副标题#e#         

                                                                                                    图九

    net user 查看如图十,正兴奋的连3389时却蹦出来个这样的提示,差点没吐血,如图11,管理员真够变态的,管理员也不让登3389,于是又把刚才那个程序加了句NetLocalGroupAddMembers(NULL,L"Remote Desktop Users",3,(LPBYTE)&account,1)重新编译 了下,上传执行,结果如图12: ,连接3389,成功登陆,如图13: 中间其实还走了很多弯路,甚至把对方telnet反弹到我机器上来了,在那证实的net的权限问题,呵呵总算是拿下了,清日志,补漏洞,走人!

                    

                                                                                                      图十

                    

                                                                                                       图11

                             

                                                                                                           图 12

                                                   

                                                                                                         图13


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多