危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18790356

友情检测波尔远程控制官网

某日在群里听人闲聊,谈到木马,有人说波尔远控的免杀不错,但是收费云云。危险漫步好像没听过有这么一款远控,谷歌了一下,很给力的找到了其官方网站。

 一、拿下旁站

一时兴起,决定对这个网站来次友情检测,一般来说这样的站算是黑客站了,主站的安全性都没话说的,大致看了下,几乎都是静态页面,有个phpwind程序的论坛还关闭了。老思路,开始旁注,用吐司的旁注工具查询了下,同服务器上有31个站点。

一般旁注的时候都喜欢挑软柿子捏,比如说挑企业站来人手,这样的站安全性都不怎么样。这里直接选择第二个结果网站来开始,打开后找了一个动态页面,随手加个测试。

熟悉的报错,可能存在注入,丢到啊D中成功跑出账号密码。

MDS上查询得到密码明文,找到后台顺利登陆之。

后台比较强大,但是没有常见的数据库备份和上传之类的,最后通过ewebeditor添加样式拿到了shell,这都是比较简单的手法,我就不多说了。

二、提权无望

登陆shell,首先查看下组件信息。  

可以看出来ws组件不可用了,以前危险漫步看到ws组件不可用时就放弃了提权,现在我先用探针看看支不支持aspx或者php等其他的脚本运行,因为这样的脚本运行权限可能会大一点,很幸运的发现支持aspx脚本,上传了一个大马,成功访问。

直接用默认的cmdshell配置来执行命令,提示拒绝访问,看来系统目录下的cmd.exe做了权限限制,这里我们找个可写的目录上传一个cmd.exe试试看。在asp的shell下点击查看磁盘,发现E:\recycler目录可读可写,于是我们上传一个cmd.exe到该目录下,成功执行了简单的命令。

我笑了,到这里,希望大了很多。能执行命令,我们就来尝试下溢出提权,前段时间不是出了提权大杀器么,还有以前的巴西烤肉等等,为了执行溢出exp方便,我反弹了一个cmdshell到本地。

接着就开始尝试溢出提权了,在把几乎市面上所有的提权exp都测试了一遍后,我笑不出来了,没有一个可以成功提权,看来管理员很勤快,执行systeminfo看了下,服务器已经打了200多个补丁了。简单扫下端口,看看服务器上敏感目录,也没有发现一些对提权有帮助的Serv-u或者radmin之类的软件存在,看来提权无望了。

三、跨目录攻击

换个思路,既然没法提权,那么我们要是可以跨到目标站目录的话,不也就达到目的了吗。有人会说,哪有这么简单,是啊,一般服务器上每个站的目录都会做权限设置,直接跨肯定不行的。我们来试试看,先得到目标站的物理路径再说,使用aspx大马自带的IIS Spy功能,提示拒绝访问。

我们换个Vbs脚本来获取IIS的相关配置信息。

把代码保存为l.vbs上传到服务器上,执行cscriptl.vbs,又提示拒绝访问。其实这里,我们只要自己上传一个cscript.exe-般就可以解决问题,这个程序默认位于系统文件夹下,是win32控制台下的脚本宿主引擎,用来执行vbs等脚本程序的。OK,我们上传一个,再次执行。

这个脚本程序列出了IIS下所有网站的ID,名称和物理路径三种信息,这里我们找到目标站的ID: 778和物理路径:d:\vip\wxyhj2\web。随手尝试下,发现竟然可以使用TYPE命令来读取显示该目录下的文件内容。

这下有的玩了,我们试试看能不能读取到网站的数据库配置文件,Asp程序的话一般是conn.asp或者是config.asp文件,存在于mc目录下,这个就看大家的经验了。试试看执行type d:\vip\wxyhj2\web\inc\conn.asp,成功得到目标站的数据库配置文件内容如下。

这里通过变量前缀我们可以看出来目标站使用的是Sdcms程序,但是这里还无法判断出目标站使用的是Access数据库还是MSSQL数据库,因为代码中Is_sql的值无法确定,而且数据库信息都是通过变量来传递的而不是明文,这里我们继续读取同目录下Const.asp文件的内容,因为这个文件被数据库连接文件所包含了。执行命令,成功读取到Const.asp的源码。

Ok,到这里通过Sdcms DataType=True我们就可以知道,目标站使用的是Access数据库,且数据库路径和名称也暴露出来了:data/4Fu7Lc15dgKa.mdb(挺变态吧!这数据库名称),直接尝试下载数据库试试看。数据库并没有做防下载处理,轻松下载到网站数据库,得到网站管理员账号密码。到这里我觉得距离拿下目标不远了,其实又错了一一随后我花了一个多小时的时间,都没有找到网站的管理后台,入侵再次陷入僵局。

四、重整思路

整理了下思路,刚刚因为发现可以使用TYPE命令让入侵计划打乱,其实我们获得了目标站ID等信息以后就可以使用Adsutil.vbs(Windows 2003的IIS服务自带的基于命令行下的ns管理脚本)来获得目标站的IIS账号密码。如果服务器开启了Windows验证的话,就可以直接使用BloodSword大牛的Darh:BLade木马来跨到目标站的目录下了。那么开始吧,上传该脚本文件,执行cscript Adsutil.vbs enumw3svc/778/root,这里的778就是上面我们获取到的网站ID,OK,成功得到目标站的ns账号:wxyhj2,到这里,我们还需要获得相应的IIS密码。

Editplus打开Adsutil.vbs,搜索”If (Attribute= True)Then”会找到代码。

这里我们把两个变量IsSecureProperty的值互换下。

好了,保存为vbs文件上传,继续使用上一步的命令,得到密码:12116287。

好,到这里我们就获得了目标站的IIS账号和密码,接下来是BS大牛的那款很牛的shell登场的时候了,在使用该神器的跨目录功能前,我们先在shell代码中搜索”Const bOtherUseFFalse”将其改为”ConstbOtherUseFTrue”,保存后上传到我们已经拿到的站的目录下,访问。

这款木马会在首次使用之前提供一个伪装功能,不管他,直接点击OK,一会就弹出登陆界面,我们输入刚刚得到的ns账号密码。

不幸的是,登陆不成功,看来可能是服务器没有开启Windows验证,也可能是拿下的这台旁站的目录权限不是everyone可读,总之我们的跨目录攻击宣告失败。

五、拿下日标

不甘心啊,已经获得了目标站这么多的信息,但就是拿不到网站权限的感觉真的很不好。这时候我突然想到了社工,虽然我们没有目标站后台,但是我们有数据库,里面也有网站管理员的账号密码,那么这个账号密码会不会也是FTP的账号密码呢?试试看。

这里我们看到网站使用的ns自带的FTP服务!哈哈,得来全不费工夫,不用社工了,直接使用IIS账号密码,成功登陆。

拿到ftp,直接上传一个shell,至此,成功拿下波尔远控官方网站的权限。

呵呵。本文没有什么技术含量,危险漫步在这里博各位看官一笑了。

相关推荐