登陆asp木马后却发现权限设置的真BT啊，在web目录都没法写入，还好我有文件同步，可以写入文件，这样华夏主站的webshell就拿到了（图9）。

看看时间也不早了，4点多了，给兔子发了个留言，也就睡下了。

冲刺3389

第二天早上，我上qq就看见雪给我发的信息，雪真强啊，尽然拿到主站的的权限了，这一时刻终于来到了。

雪让我继续完成接下来的工作，拿下服务器，看了下雪拿下服务器的过程，我也认真看了c:\syn\目录里的文件，一个文件引起了我的兴趣:stop.bat这个批处理文件，是重启iis的命令，这让我想起来了昨天晚上华夏的主站突然不能访问，到底是服务器重启还是iis重启呢?为了确定，在webshell中执行query user，发现管理员登陆时间是几天前，这样就排除了重启这种可能，我就试着对这个文件进行编辑，写入了加管理员的命令，没想到这个文件竟然有权限修改。其实在system32下也有写入权限的，可以用替换服务，然后用3389.exe（3389.exe是开3389的但是有重启功能，而且权限不用很高）让它重启，进行提权，但是这样过于危险，所以选择了前面这种被动的方式。接下来的就是等待。

晚上10点多，雪上线后说服务器怎么加了个用户，我马上打开webshell，查看了下服务器用户，早上加的用户真的在上面，马上和雪一起分析了情况，我们肯定了，那个stop.bat文件应该是计划任务文件，可能是每12小时执行一次，晚上9点多执行，用于重启iis服务的，尽然用户加上了，通过测试，网通的那个ip可以登录3389，于是我们登录上去了，（如图10）

但网速慢了，我就传了个灰鸽子上去，上线的华夏主机(如图11)，

在灰鸽子上执行cmd后返回的信息(如图12)。

但是最后有一点出乎我们的判断，stop.bat并不是计划任务启动的，当然在服务器上我们也没找到它的定时启动方式，希望哪位大虾能给我们指点指点.

尾声

至此，我们的渗透已经结束，本次渗透并没有什么新的技术，只是利用了服务器权限设置上的不当。当然在写文章之前我们已经通知了华夏，但华夏的应急机制似乎……网络安全不是儿戏，希望所有的网管都能尽到自己的责任.联系邮箱rabbitsafe@163.com。

上一页  [1] [2] [3] [4]