对母校的一次渗透测试

2013-05-16 00:33:59 37 1706
BY:风之传说
  
先声明下,后面的域名用 www.hacker.com 代替

主站 www.hacker.com ,由于分站比较多。

于是用jsky扫扫。。扫到如下信息。当然你也可以用别的扫扫。

http://www.hacker.com:80/rsc/guestbook/write.asp?Nsortid=9   可尝试XSS
http://www.hacker.com/service/wall/default.asp   留言墙可尝试XSS
http://jdx.hacker.com/showinfo.a ... AB%B8%E6&id=486  (机电系)
http://jy.hacker.com:80/onews.asp?id=189'      (就业)
http://pj.hacker.com:80/onews.asp?id=182'  (评促建网)
http://wyx.hacker.com:80/onews.asp?id=199'  (外语系) 三个貌似是一个系统
http://bbs.hacker.com/  论坛。 aspx的  下面版本显示DZ

哎,不扫不知道,一扫。。就发现这么多注入,尼玛的这么多年过去了,安全竟然还这么经不起考验啊。。看来我们学校的那些计算机的娃子,技术都不咋样呢。。还好我不是计算机系的,不然脸丢大了。。

上面有如此多的信息,我们先看哪一个呢,先来看
http://jy.hacker.com:80/onews.asp?id=189'
(就业)的吧。这个貌似是第一个扫到的。

好吧,来看看这个注入点。。在看注入的同时我也在扫。。

PS:啊D出马,天下无敌,哈哈,不过这次啊D失利了。


没有猜出任何表来。。当然有人肯定要说啊D字典不全,用别的可能扫的出来。在这里我也尝试过其他工具结果一样。后面我们会看到他改的表名。

那么我们来看看都扫出一些什么?

扫出来了如下信息。



其实还扫出来一个。



大家看到神马?有人会说,这不是大马里面的探测是否支持aspx的页面么。。答对了。。一看就被人入侵了。。于是,打开扫出来的 http://jy.hacker.com/simple.asp 看到如下页面。



挖,gesong大黑客,虽然木见过面,但是早有耳闻啊。于是,在膜拜大牛的同时,在感慨学校网站安全的同时,也得想办法进去不是。。有一丝线索就不要放弃,而且这样直接拿SHELL的机会,我们可不能放过。

于是,拿着溯雪,直接载入字典,开扫。。



我的字典,都是一些常用的,就十几K吧,所以一会结果扫出来了。



结果出来了,爆破失败。。哎,蛋疼,放弃又太可惜了。。

于是不甘心啊,继续尝试,看到他的后缀为 simple.asp 又看到,马的标题为 gesong ..  又一次提到歌颂大黑客,N年前就听过的黑阔啊。

尝试了密码  spmple,gesong,ge,song,s,p,m,p,l,e,只要是单子,双字,三字,都试试了,最后想到。

黑客的密码一般都不复杂,因为自己要进去,没必要这么复杂,于是,最后 尝试 gs(gesong)成功进入。。



嗦嘎寺内。。好吧,搞进去了。。那么第一件事,就是做好事,帮学校清理木马。。

但后来又想了下,花这个时间清理马,还不如看看能不能搞下主站。。因为2年前,我是没搞下主站的。那时候只支持asp并且,执行不了命令,而且还不在一个服务器。。

与此同时,想到刚才注入点注不出东西,啊D神器不管用了,于是跑数据库来看看。。

看到那个B把管理表名改成 :nnnnnn



好吧,虽然表很简单,但是尼玛的,也是非人类能才出来的。坑货。

好了,好了,吐完槽了,继续搞站。。

不习惯别人的马,于是传上自己的马。。刚才看到了,支持aspx直接上大马吧。。
一进来就看到



Sseru +  sql  估计是mssql。等下扫一扫。。然后查看 IISspy



我操。。这么严重。。。神马机电系,计算机系,团委,外语系,各种系都在一个服务器上。。。看到这里我内心堪忧啊。。。我们学校那些货拿工资不办事啊。安全啊安全。

然后试着访问下主站的目录。。。想染不到的是,竟然直接跨目录。。



然后怀着万分激动的心情,试试可不可以写东东? 你没有看错,随便写,各种跨。于是shell成功写入。。挂个txt装下B。于是不得不感慨,2年前的我,跟现在还是有点差距的。。



到此。。主站就拿下了。。哎。。完全木挑战。。。这就一个简单的突破口,其他的还有XSS神马注入的各种都没看。。。

扫下端口。。
127.0.0.1 : 21 ................................. Close
127.0.0.1 : 80 ................................. Open
127.0.0.1 : 1433 ................................. Open
127.0.0.1 : 3306 ................................. Open
127.0.0.1 : 3389 ................................. Close
127.0.0.1 : 4899 ................................. Close
127.0.0.1 : 5631 ................................. Close
127.0.0.1 : 43958 ................................. Open
80  1433  3306  43958

我们的猜测果然没错,mssql.+su。那么,提权思路基本就来了。。1.sueru  2.mssql  3.mysql  4.溢出提权。。

这个配置这么差,估计安全也好不到哪里去,就不提权了。。

后来想了下,貌似其实,要是我不是通过爆破拿到webshell的话,别人注入也注不出什么东西。其他的地方看都没看,主站就拿下了。那么,身为学校的一员,我还是做点好事帮他清理下木马吧。。

清理了大概5,6个左右的马。。擦擦。。然后碰到一个大马。。如下图:



没有权限。。Aspx都没权限删除asp的马,那么可能性如下:

他是用管理权限,上传的木马。。他吗的,有必要入侵了服务器还要去特别上传一个大马?

看到这里,我决定,提权把这个马干掉。。于是。。

找可写,上传,exp,然后执行,开始找个目录不可执行,后来换了个目录成功突破。。

截个图。。


然后删除他的木马。



然后访问了看下,竟然删不掉。。系统权限都删不掉,哥怒了。。不搞定你,我不信邪了。
因为是学校的网站,又是内网,我登陆会有日志,我不想引来不必要的麻烦,所以决定命令行下干掉他,没进服务器。。

于是,我去询问了很多大牛,然后在吐司翻看老帖子。。。尝试了各种办法。。无果。

首先,主流的一些畸形目录,畸形文件。。但是这个在根目录,如果他改成畸形目录的话,估计iis都没法识别,另外文件名没任何的出奇之处,也不是系统自带的一些不能删除的后缀。。畸形文件也排除了。。

经过和sincoder大牛的探讨之后,问题解决了。。他的方法是,直接进那人的shell,然后删除他的大马。。擦擦。。自己的马,有权限删除。。系统权限都没。。感觉比较坑。。以后大家遇到删不掉的马,这也是一种方法吧。。

当然还有一种方法删除此马,sincoder大牛没发言,我不敢放出。。

好了,到此我们学校的网站的马,就此清理完成。。

关于作者

评论37次

要评论?请先  登录  或  注册