图11
用海洋客户端成功连接如图12
图12
2、另类体权
既然已经得到webshell,先看看权限,郁闷,服务器相关数据和WScript.Shell程序运行器 都打不开 看来权限太低了。
图13
打开fso,浏览这个服务器的文件夹终于发现我的最爱serv-u,如图14,看来可以serv-u体权,先连接远程终端试试,结果失败。看来有两种可能A、原创终端没有打开; B、远程终端端口更改,下一步我可以这样执行A、通过serv-u.asp提权加用户,再上传开3389工具
B、看看servudaemon.ini有没有写权限,如果有,就可以得到一个cmd下系统权限;D、传鸽子
图14
也许是上帝的眷顾,幸运之神再次降临,servudaemon.ini可以写,于是我写了一个具有系统权限密码为空的用户进去,如图15
呵呵 ,ftp成功登陆,上传nc反向连接成功,如图16
图16
呵呵,很快先前肉鸡监听的8081有了反应,呵呵,是系统权限哦,成功添加用户如图17,用net start查看发现开了远程终端,传个查看远程终端端口的vbs过去运行,得到端口为9001,成功连接如图18,今夜似乎比较顺利,继续测试,接着又拿下了几台,看了看表凌晨5点多,算了不搞了,看书一会书,睡觉。
图17
图18
3、 总结
IIS写漏洞前段时间闹得很火。但是还是有很多网络管理员不够重视,这也难怪,中国网管对网络安全意识本来就不高,也许他们根本不在乎。通过最近的安检发现nc简直是我们安检的至宝,似乎每时每刻都在用它,嘎嘎。关于nc的强大功能我会在以后的安检文章中通过实例给大家详细讲解!
四、清华未眠夜第三晚——溢出嗅探攻击
由于手中已经有一部分清华大学的主机了,此时此刻想到的当然是溢出了,溢出,是攻击服务器最快、最有效的一种方式,看着自己手中得到的服务器逐渐的多了起来,能够做的事情也就多了,内网溢出成功率高,那就测试一下刚出来的dns溢出吧,从网上搜集一下相关的介绍,下载exp 开始测试.根据介绍先扫描53和445端口,在先前得到的服务器中扫描开53和445端口主机,看来有很多站点开了DNS这项服务,具体图我就不详细的展示给大家看了,看我溢出清华大学软件学院的站点给大家做个演示,根据扫描得知软件学院的ip段大约在166.111.80.*。我们扫描这个ip段开放445和53端口的主机,很快得到可以利用的主机,我们测试漏洞主机的系统端口。如下图19,
图19
开始溢出如图20
图20
Nc 正向连接得到系统权限的cmdshell 如图21
图21
加用户,远程登录,前后不到2分钟,就轻易的拿下,如图22、23
图22
图23
既然已经得到这个网段的一台主机就开始嗅探,关于cain嗅探的使用我就不再浪费纸张了,网上教程多的是,图24是在166.111.80.3上ftp嗅探
图24
3389嗅探如图25
图25
Flashfxp的利用,图26
图26
,就这样溢出、嗅探、通过得到主机中flashxp等等一切敏感信息,成功地拿下清华大学的一部分站点,如图26、图27
图27
图28
五、写在最后
清华大学的主站网段为166.111.4.*,而我也拿到了这个网段的一台主机,也就是说我可以进行arp欺骗和嗅探,郁闷的是嗅探到的尽是一些垃圾信息,我想渗透也应该到此结束了,已经拿下近30台服务器了,我也不会再搞了,毕竟是最崇拜的高等学府,搞得太出格,我怕警察叔叔请我去喝茶,算了,安检到此告一段落。欢迎大家到nohack论坛或者www.fint.cn/bbs&bbs.cbhu.org与我交流
此文章写得很好,重要入侵思路的分析,尽管常用手段一般人都会,但能够做到的却很少.......
