作者:海东青 个人论坛:http://www.dirtysea.com/ 前段时间听说sohu的一个分站被人黑了我还看了,是真的,
。所以我也对这种门户网站动动手,我上了www.sina.com.cn, 又跑到了它的广东分站。东西太多了,找个注入点也很难,大多是html,shtml的页面。于是我查看源文件,搜索asp. 总算找到了一个可以asp的页面,找到了一个注入点http://gzguide.gd.sina.com.cn/news/newdetail.asp?id=2807 提交单引号, Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。 /news/newdetail.asp,行 5 提交 and 1=1 返回正常,提交and 1=2 出错。呵呵,典型的注入漏洞。 and 1=(select%20@@VERSION) 返回结果表明是sql2000的,windows2000的服务器 and 'SA'=(SELECT%20System_user),返回错误,看来不是sa帐号连接 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell') 返回正常,表明xp_cmdshell存在手工注入太麻烦,用nbsi吧,想到nbsi老发生意外出错,用教主的HDSI吧,它还支持php注入呢!结果出来了,显示连接帐号为dbo,SA权限,这下好了。因为权限比较高,所以用HDSI能够直接执行系统命令,省得在浏览器里面用xp_cmdshell执行。如图01执行ipcongfig -all命令,看了一下ip,确定sql数据库和网站是在同一台机子上。用net start命令看了一下,有诺顿,serv-u,sql,终端服务也开了。先加个帐户。 net user zuoai /add, net localgroup administrator zuoai /add 再执行net start telnet. 先连它的终端试试,这个我只抱着40%的希望,
《
入侵新浪分站服务器实战》(
https://www.unjs.com)。可喜的是能连上去,可是当我输入帐号和密码后出现如下提示框。图1 guest$虽然是
管理员权限,却没有远程登陆的权限。再试试telnet,这个我只抱着20%的希望,果然,出现“正在连接到211.155.23.118...无法打开到主机的连接 在端口 23 : 连接失败”,这种错误很常见,可能是由于telnet服务没有成功开启或者_blank">防火墙屏蔽了对23端口的访问,这里应该属于前面一种情况!那就试试ipc连接吧,,发生错误53,这种错误一般是自己的lanmanworkstation服务未启动或者目标删除了ipc$,这里应该属于前面一种情况。现在我关键是把木马传上去,怎么办呢?得到webshell,再上传图片,得到webshell。用HDSI把所有的表都猜出来了,实在太多了,根本找不到管理员密码在哪个表里面。于是跨库查询,看到了一个bbs库,一个leadbbs2的库。我立刻访问http://gzguide.gd.sina.com.cn/bbs,果然是个论坛,估计是他们自己开发的(后来才知道是leadbbs). 我接着猜解bbs这个库,希望把管理员密码帐号都跑出来。希望不是md5加密的,如果用md5加密了的话就只好用updata把密码改为自己的了. 再用HDSI猜后台地址,很快猜出来了,http://gzguide.gd.sina.com.cn/bbs/manage/default.asp 可是着个库里面还是没有重要东西。这个bbs应该对那个leadbbs2库,密码跑出来了,是md5加密的。如图02 ;update leadbbs2.dbo.leadbbs_User set pass='4621d373cade4e83' where username='admin';--,4621d373cade4e83是md5加密后的test.应试试帐号:admin,密码:test登陆却出现提示"此用户已经开启IP绑定访问,您无权使用此用户!".一阵狂晕,管理员登陆限制了ip!看来用这种办法得到webshell是不行了。其实现在可以先找到web的绝对路径后在HDSI中用echo写个小马上去,可是用echo的时候有写字符要用"^"来转义,比如写个冰狐浪子服务端要这样写 echo ^