入侵国内某知名出版社全记录
二.轮番轰炸
既然已经被人挂了马,那就是有人进去过了(废话),大体观察了一下,它的网站是ASP+MSSQL的,没有什么论坛,看来想拿webshell不是很容易。
还是看看它开了什么端口吧!
小提示
菜鸟:为什么很多文章中都提到扫描端口,扫描端口到底有什么用呢?
小鱼:理论的东西我不想多讲了,通常说的扫描端口是指扫描TCP端口,系统中的每个网络服务要与外部通信就必须用到端口,什么意思呢?就好比你跟聋哑人沟通用的是手语,不同的系统服务会用到不同的端口,比如开网站的服务器,就肯定开放了80端口,根据端口的开放情况可以判断对方开了哪些服务从而方便我们找对应的漏洞或者溢出!
手头刚好有流光那就用它吧,一会儿功夫扫描结果就出来了,图2
开了80,110,25,1433,3389这几个端口,110和25是发送邮件时用到的,3389不知道是先前的入侵者开的还是管理员自己管理用开的!IIS版本是5.0可能是win2K的服务器,我们登陆3389看看,为什么要登陆3389?你还没有权限怎么登陆啊?登陆3389的目的主要是看看对方系统版本,图3
是windows2000服务器版的!知道了目标主机的一些基本信息,现在我们就针对这些信息来想出对应的入侵方案,110和25端口好像没什么重要的漏洞,所以先放一边,1433是MSSQL服务开放的端口,默认帐户sa不知道有没有弱口令,试试看,用SQL综合利用工具连接用户SA,密码为空试试,图4,
提示连接失败,看来密码不为空,想想也对!管理员怎么能傻到那种程度?再试试sqlhello-SQL溢出看看对方MSSQL打没有打SP3(现在国内很多你无法想象的超级大站还存在这种低级漏洞呢!具体,我可不敢说!呵呵),图5
正向和反向的溢出都试过都是不行,看来这个漏洞是没有了!剩下的只有80端口了,一般这个都是找脚本漏洞,在网站上找形如“xxx.asp?id=1"这样的页面,这个站上有很多,随便试一个在后面加个单引号看看,图6
一般出现像“错误 '80040e14' ”这样的都是说明存在SQL注入,那句“ODBC SQL Server Driver”一般有“ODBC”的说明是MSSQL数据库的,要是提示“JET”那就是ACCESS数据库了!我们再用工具找找看,拿出“啊D注入工具”扫扫,然后我用“HDSI”注入(完全是个人习惯!),在啊D中的“注入点扫描”中输入网站的URL,点击右边第一个按钮就会自动检测了,图7
高兴ing,连接数据库的用户居然是SA这下发财了,一条思路马上展现在眼前,就是用HDSI找到web目录,然后通过数据库备份上传ASP木马,hoho!点击HDSI左边的“列目录”开始寻找网站目录,我找啊找...终于被我找到了,图9
d:xxxxhome下,马上将一个ASP木马的后缀改为txt用HDSI上传到web目录下,郁闷,图10
提示“上传文件不成功!”怎么办?没事既然是sa的权限不能这样上传还有别的办法,试了试用xp_cmdshell直接加用户,TFTP上传,写脚本上传统统失败了!我郁闷,真想一头撞死算了!到嘴的美味吃不上,别提多难受了555...怎么办?我想...我再想...有了,既然这个站已经被人入侵过了,那么肯定会留下一些ASP木马要是能找到一个小的ASP木马不就可以上传大马了?虽然比较笨,不过黑猫白猫能捉到老鼠就是好猫了!我找...我继续找...再次来到网站目录下挨个看文件夹,突然看到一个MDB的目录,心情开始激动了,颤抖的手点了下去(哈哈!有点夸张)。哇塞!,图11
里面有个guestbook.asp还有个a.asp,看看路径写着d:xxxxhomeliuyanmdb,各位读者猜到这是什么了么?对了留言板!看到留言板有什么好高兴?我们知道了默认数据库路径而且数据库以ASP结尾,如果在留言中插入那个一句话的ASP木马提交这样就会记录在数据库中,而数据库又是ASP结尾的这样就跟一个ASP木马一样了,访问数据库web地址页面出现了乱码,图12
- 2006-04-18
- 2005-12-22
- 2005-11-23
- 2005-10-31
- 2005-10-31
- 2005-10-14
- 2005-10-14
- 2005-09-29
- 08-31
- 08-28
- 08-28
- 08-24
- 08-24
- 08-22
- 08-21
- 08-20
- 08-20
- 08-17