一 起因
同学说,只要我拿下他们学校的服务群,就请我吃一顿大的.
到北京这么久了,整天日夜倒,整个人瘦得像....
哎,能吃则吃,自己也很久没写东西交给黑板了,故这篇就当交差吧.
另,这篇文章送给BCT的成员,还有我的高中的铁四角,阿棍,君明,溥卿,还有经伟,老大......
转载请保留这段话,thx
二 开动
初步看一下,整个学校的网络分布在IP段:1.1.1.xx,学校在上层做了些手脚,故只能访问整个段的80.
就国内来说,最容易入手的地方当属论坛了(个人见解),所有的程序全做了通用防注入,扫描了半天没看到什么默认数据库,phpmyadmin,上传页面等.
三 突然点
学校的论坛是dvbbs的,程序最新的,删掉了boke,这样boke 0day就没法用,改了默认数据库和默认的备份数据库路径,从论坛数上看90%是Access+dvbbs,因为注册人数才几百人,吼吼~~~
注册一个用户,查一下管理员的资料,找到管理员的id,mail,qq等资料.
再接下来的思路就是google管理的id,mail,qq等资料,查一下管理员在哪些地方注册过会员,然后再把其注册的那个站搞定,查一下管理员注册时的密码,再用注册的密码来登学校论坛.
这里只说一下思路,用这个方法我把其学校论坛的管理员的QQ,邮箱,还有他的十八代祖宗都找了出来,一层一层查嘛,上次动易出漏洞的时候,黑鹰某管理员的祖宗就是这样挖出来D,QQ密码全都偷过来了,搞几次黑鹰都是利用其密码没改的"bug".很多时候,整理管理员的密码档和了解管理员习惯,往往是最大的后门.
先把自己当成管理员,想想我是管理员我会怎么做,再以一个黑客的角度去想想管理员那样做会存在什么样的漏洞,结果常常是事半功倍...
切回正题,进后台后,可以先查一下数据库的dv_log,有的时候有同道中人先备份过了,所以很多时候,我们可以看到其备份后的shell地址,直接拿,省点功夫,吼吼~~~~
拿下shell了,再说提权了...
三 提权
主机环境是NTFS,CDE盘,做的还算BT,但FSO,wscript.shell没删,另外当前目录有执行权限,扩展方面只支持asp.开了终端,改了默认端口,读一下键值
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp/
发现改成了520.
主机没装其它第三方程序,打全补丁,目录除了当前目录外,其它目录权限和万网做的一样,估计是参考万网的配置文档.
踩点一下net localgroup administrators,默认的administrator,没办法只好先踩一下密码,先用弱口令试了一下,不通,再把论坛整理的密码档试了一下,发现中标了,hoho.
在shell下执行net use //127.0.0.1/ipc$Content$nbsp;"pwd" /user:"administrator",命令执行成功,hoho
先接下呢,就是转发一下端口,登上了终端,中上了后门.
四 步步渗透
再扩大东西就没什么好说的了,完全的老东西了,在dvbbs后台上马啦,整个网段扫啦,字典ipc$扫啊等等.
最后利用后台挂马意外的拿了某管理员的机子,偷登了一下Q,在他们群共享传了个小马,说好东西,结果又上了一批,再经过一些处理,整个段被搞得差不多了,也收工了,本来想测试一个东西的,因为看到一个小工具
思路如下:
arp攻击加会话劫持,每台机子都会跑到MS官方去打补丁,打补丁肯定要下东西并安装D,也就是说,最后肯定会下载并执行一个可执行程序.exe类的,那么,如果我们结果arp攻击,把其.exe文件给替换掉呢?嘿嘿
拿下一个网络不是轻松多了嘛.所以说,Bill的僵尸网络是最牛X的
五 总结
如有雷同,实属巧合,文章拙劣,博君一笑!!!
文章错别字较多,看得懂就可以,吼吼吼~~~~~
Linzi aT Bug.Center.Team 07.03
……