|
|
有些朋友对我和云中鹰搞华东的过程比较感兴趣,其实那个很没技术含量+ N, d6 f. F$ L/ i: b/ e3 S
今天闲着无聊,把手上的项目葛一下,来论坛放松一下,顺便说说上次搞华东黑客联盟到装B的过程
! q5 `4 \$ d( p8 V+ t这天云中鸡说华东的某人很牛X,利用JPG黑站大法把恶灵战队黑了,还发了个demo出来
5 Z" V/ i1 }& {' @# F0 H8 z# {) ~我去看了一下demo,感觉很黑客,于是就和云中鸡搞了一下华东6 L1 ~9 z4 E9 n' |. B
首先,我记得华东只被人搞过一次(记性不好,原谅下~~),所以应该防护还是比较好的% f, V0 [# ]. U8 ~, ~# C$ |
服务器应该防ARP,不过这还只是猜测
- W# ]9 v- W0 E: U云中鸡说先不搞C段,PZ一下再说
2 H" d( L7 r z4 g+ n8 }然后我就打开了链接标记[url=http://www.3hack.comwww.3hack.com[/url[/url]]6 j% b1 o! d) C) d" k. u
一看,我晕,怎么网站变了................以前我比较喜欢到华东去看动画,现在怎么变成这鸟样了,晕..............- z$ R- M) ]5 d) N% ?
这时候云中鸡丢了一个同F的站过来,说进了后台搞不了shell- c9 m# U, J, S: i
我看了下搞到了一个webshell出来(这里涉及点技巧,不过不是重点,故省略....),登上webshell后发现服务器的权限很BT* _" Z1 _4 P& V6 M1 U/ q
然后我就把shell丢给云中鸡去提权,过了一会儿找到了一个二级玉米的站shop.xiahack.cn: S+ p/ q3 L! b1 v- `
看着是用eshop来架设的网店,虽然不是同F,但还是想搞下他看有什么可利用的地方,用了几个0day去搞发现不是最新版,0day用不鸟+ t" O! ^+ ]" u' M1 U; A
问了下云中鸡提权怎样了,他说还在努力,装不鸟B就不睡觉,晕了,这下入侵陷入了僵局............... x8 g3 f, j7 d
无聊到网上乱逛,这时无意中发现一个阿拉伯XXXXXX,具体就不说啥鸟,呵呵~~% b' e3 r5 g7 ^
然后阿拉伯黑客发现了链接标记[url=http://www.3hack.comwww.3hack.com[/url[/url]]上有个xia的目录很可疑,于是我就去看看是什么
; }8 ?8 B# n$ ]4 J. D ]打开一看,如图1所示。
1 L l1 b4 \/ i6 R, X2 E1 S$ k3 u6 B y. ?3 I& ]6 o. ]" G5 R
http://00day.cn/forum/attachment/thumb/6_1_a8d665f343765b2.jpg; M+ K: u7 C& u# {) d; o: O
我靠~~这啥东西?这么帅?点进去一看,如图2所示。+ ]* k. w6 c: n
1 v" N' \" P9 t" S1 ?& g! \
http://00day.cn/forum/attachment/thumb/6_1_d741c5c7b6b8a48.jpg9 P# W/ L, \( d" s
太帅了,真YD!!
: H: W# _9 h H) e- P这个页面应该是一套个人主页程序,而且还挺炫的!
9 o1 r6 T# B$ A5 q5 I h这个页面有发表日志的地方,应该可能存在登陆页面,找了一轮后发现当鼠标放到网页顶端的时候就会弹出登陆页面,如图3所示。
# ^' R* w9 U5 R" E
|% @3 u+ j" l/ B. W% s+ ^" A http://00day.cn/forum/attachment/6_1_b03700cb2fe5d52.jpg) Z1 B0 j" J8 ?
嘿嘿,试着'or'='or'居然进去了!!如图4所示。
% C5 [& X3 L, T6 ~3 Y# t
+ _2 P4 E9 U) p' R! T& E5 B http://00day.cn/forum/attachment/6_1_7107004af344a3c.jpg
8 s, w2 z) n8 [2 z$ s: z经过半个多小时的摸索,还是没有发现可利用的地方。# E0 Y* Y4 G7 I" d& C7 n! j) R
这下郁闷了,不管了,把这套程序下载下来看看吧1 y( n7 m9 t- F% M
找了一会才知道这套程序叫做“V时代个人flash主页”8 s, S7 M9 l; m2 `9 G, \3 v
到官方下了套最新版,然后找了一下可利用的地方,不一会,我发现“/html/admin”这个目录很可能可以利用
9 ?! i$ R% D7 B" T- b; L* \8 z于是马上打开链接标记[url=http://www.3hack.com/xia/html/adminhttp://www.3hack.com/xia/html/admin[/url[/url]]* _) @; l0 I8 }6 @
返回的确实找不到页面,郁闷了,输入链接标记[url=http://www.3hack.com/xia/html/http://www.3hack.com/xia/html/[/url[/url]]
n. Y l4 x5 `8 t同样是找不到页面,真晕!再看看!
4 o( j x' ]/ A2 v3 z5 L5分钟过后,我发现后台地址是“/asp”,默认数据库是“/asp/vshidai.mdb”,嘿嘿!这下你不死定了! Q* N8 C2 a9 l) S
马上打开链接标记[url=http://www.3hack.com/xia/asp/vshidai.mdbhttp://www.3hack.com/xia/asp/vshidai.mdb[/url[/url]],我晕!服务器居然设置了mdb后缀映射,下载不了!
: R, D: w6 ?4 w6 W/ e! p% t打开链接标记[url=http://www.3hack.com/xia/asp/http://www.3hack.com/xia/asp/[/url[/url]],发现返回空白,这下我真是服了!6 @0 L+ x4 D9 J) B/ e, i
希望快覆灭了,这时我点到了根目录下的send.asp文件,看到里面存在着一个有意思的东西,代码如下:
" y3 @ [2 d8 E G; ^: ^
( V U! Z9 V8 P& H1 vvar a2 b- f; x$ y7 @" ?0 G8 m, k3 P
var b
4 x% l9 d. b" n s2 K' S [: svar tx
: ?; l0 m" ` {- C; qvar clean: w3 w: b% _$ C& L8 w. `* D) J# [
a=Request("re")) ^& P3 B8 ^9 T" ^/ Q0 o6 ?
clean=Request("clean"); Q# D# ~) [" i4 V
var jian="test.txt"
* \# e% M( D1 }( q6 i& h3 ~& o
if(clean==1){
$ s% Z g* |8 @ F3 ntx="&a="" i% X1 Y5 a3 r, f/ a K8 h
var fs2; v$ z) [+ q' K
var fs2=Server.CreateObject("Scripting.FileSystemObject")
! }0 I6 G6 B! q' d% @6 {; `var newdt=fs2.OpenTextFile(Server.MapPath(jian),2,true)
6 v& }( u& @" @8 L7 r) X9 Knewdt.WriteLine("&a=")) m8 [7 d, }6 {
newdt.close()7 `* g' |# G7 ^5 N8 \
}5 V. |5 y7 ^- J/ ]7 I* j
! T6 {3 i. @- b5 b
if(clean==0|clean==1){
5 d3 ^6 M0 j9 H( Utx="") m" h6 ]! o. u7 F5 S
var fso = Server.Createobject("Scripting.FileSystemObject")
) o7 v4 w' v6 F* F- u5 Qvar file = fso.OpenTextFile(Server.Mappath(jian))
' ^, s, }% c, H) U; L& `9 r8 G' ewhile (!file.AtEndOfStream){
2 W5 p$ {5 K% N5 I- F% Ttx=file.ReadLine()
, n4 Z+ F7 q9 e5 yResponse.write (tx)& L( A* j& g# X6 \6 k
}
$ p( j' Q$ v( `9 L) qResponse.write ("&")
6 E7 F8 E) m& E0 Z- _file.close()/ y. h% Y& K7 C* u6 ]* l9 R& G
}; n2 ~# l# N* t/ H9 F2 H" p
2 z0 F. u5 u+ K" X' P+ U( L
if(clean==2){1 f8 H# y0 z6 m( G
tx=""
' u- e: X' i" C8 _/ ovar fso = Server.Createobject("Scripting.FileSystemObject"). e' [# [7 [' P1 y( G8 c
var file = fso.OpenTextFile(Server.Mappath(jian))0 ]( ^1 f5 D ?7 ^% q6 G( |% F9 J. x2 c
, H& p/ Q+ j* [ Q0 u/ `var fs2
" o1 `+ O8 O: a; E5 q; U( Wvar fs2=Server.CreateObject("Scripting.FileSystemObject"); Q" q+ F$ p( k+ O) k; j
var newdt=fs2.OpenTextFile(Server.MapPath(jian),8,true). X9 D. f" A- p$ l t* A3 }
; o8 w6 {' V) V
' n* l" K0 U8 n/ s6 i% vwhile (!file.AtEndOfStream){3 @1 L: D) v [- T a$ q
tx=file.ReadLine()
8 f1 Q% a$ x7 [# a3 L# MResponse.write (tx)}* W2 W, I# O2 M
7 W' P/ v2 Y/ q
Response.write (a+"&")! v( t9 b6 S; `5 ^2 F
newdt.WriteLine(a)
2 s4 I1 X( L, r! I8 [7 [/ M* C/ c3 `
file.close()8 M; L* {0 C/ A& [, m
newdt.close()
4 t2 n4 V5 d. O6 D7 \}
6 j% K0 ?& ], u a# m, G/ I
' B4 T; B. ~4 U5 \6 I( i' f \7 b: ^
复制代码- F% h1 S8 H5 v) Z8 a% q) X
这下应该可以装B了!从代码看出,我们首先要提交“send.asp?clean=1”来创建一个名为test.txt的文件,文件里面写着“&a=&”! S$ |+ q/ [7 \( b* x. ?
接下来我们提交“send.asp?clean=2&re=H4cked by 落叶纷飞 and 云中鹰....00day.cn全体飘过”
( V$ f9 T& C5 C0 {! O4 p! r' v这样就能在test.txt文件里新建一行并写入“H4cked by 落叶纷飞 and 云中鹰....00day.cn全体飘过”这句话. }; U0 `1 C7 D. e# M8 X7 Z& R
过程如图5、6所示。8 U1 D0 M; B0 [% M& k; G
4 o4 e) C6 z; [4 ?http://00day.cn/forum/attachment/thumb/6_1_cd66a1c03f6682b.jpg
$ b8 _, m' h* b2 \ # j4 I3 j5 R# `9 a2 P# v* t. t
http://00day.cn/forum/attachment/thumb/6_1_942adfb1ce45224.jpg. K; k7 p: G6 z
提交后我们打开链接标记[url=http://www.3hack.com/xia/test.txtwww.3hack.com/xia/test.txt[/url[/url]]看看,如图7所示。
: N" [# ~1 q% l; t( D. ]; _& E+ y" X
http://00day.cn/forum/attachment/thumb/6_1_10f60a12650b618.jpg+ E' |+ z5 {; v w
这下终于可以装到X了,如果不是V时代的作者写的send.asp代码存在问题,拿到shell是不难的
" W) J! W8 _ m0 T/ O/ K/ f$ S. M2 Z如果jian是经过request取值的话,同样也能搞到shell。5 w; o2 Z' I% D! b+ b* y
这次只是装到了X,并没有拿到shell
- O7 t t- \: d已经是凌晨了,跟云中J说了声就睡觉去鸟
$ u6 `$ @& k' Y* J0 t5 y& x估计那B可能搞到了权限,不过我没问他,最近事情比较多,也比较忙 i5 s& e$ v3 a8 O" g- O" v9 S$ X
就到这里吧,没技术含量,纯粹装X,高手们见笑了
' C% q" Y8 r0 y: Y! o7 I5 K; Z另外劝告某些认为上传个JPG就能黑到站的大黑客,你这样自欺欺人吃亏的是你自己
" {6 ~+ U' w0 x自己学不到技术,却还在自欺欺人( k2 n# h* R9 O
不说了,本文到这里,最后感谢一下阿拉伯黑客,原来阿拉伯黑客也是很强大的,好了,猪大家愉快~~
$ O6 m- C( r: t+ ^+ r# I( w, p' U7 d
|
|