畅游福建房地产,我也来!

    [晴 March 10, 2008 22:05 | by ]
文章作者:冰sugar[J.S.T]&[E.S.T]
此文章已发表在《黑客X档案》08年第3期杂志上后经本文作者冰sugar友情提交到邪恶八进制论坛,如需转载,请务必保留此信息.

前言

中国的房子日益增长,房产商也赚得不亦乐乎。特别是大过年,买房子的也多了,高兴的是房产商在背后数钱数到手抽筋,特别是厦门这个美丽鹭岛。哎,现在想买房子都难呀,只能看房子的份了,看看可恶的房地产商,生在福建当然岛福建要了解福建楼市咯,百度搜搜输入“福建楼市”,跳出了第一个就直接进去了,如图

Highslide JS


来到这个房地产站转转。看看域名还很气派,意思:我就要房子。心里起毛了想看看,这站安全不,搞不好找个漏洞叫老总送我套房子住住,下半辈子就不用愁了。(本人纯粹是做白日梦)。冲着这个梦想,说干就干。

初试牛刀

找下首页,那些新闻都是静态页,没什么可以利用的

Highslide JS


也没有什么IIS设置漏洞,又逛荡了一下到论坛,论坛好像是动网asp版本

Highslide JS


至于什么版本没有去看,在最下面而且修改了版权

Highslide JS


没有关于一些介绍,找了各个版本的默认数据库都不对,管理员应该也没笨到这种程度,又用默认的账号密码登陆,管理员一一改了,这也很正常。毕竟这么大型的网站,入侵不能向喝水一样。查了在线人数也不是很多,才一两百个。试遍了动网所有版本的所有漏洞还是没有起色就放弃了这个论坛回到了主页。主页又个搜索页,看看能不能XSS 下,输入了跨站的代码,还真跨!如图

Highslide JS


Highslide JS


又输入挂马的代码,还真能语句还真能执行,看来是没有进行过滤造成的,看来还是能利用的,但是今天这不是主题,就不利用了。在主页又找到一个可以利用的,一个动态页,且还能注入,就拿起了明小子的工具

Highslide JS


注就注吧,让强大的工具猜出帐号密码,还真的猜出了账号密码。用了明小子,啊D,教主的和小竹的都扫不到也找不到就不想再利用了,放着把,实在不行再利用吧,保存好帐号密码,MD5该破了也破了留在硬盘里也不费多少空间。

Highslide JS


后来网上找找,又找个了留言板,如图

Highslide JS


Highslide JS


输入了XSS跨站语句,
<srcipt>alert(“跨”)</srcipt>,
结果没有动静,只是把输入的文本保存在下面的留言。后来想下搞XSS也没什么用。还是找写有用的东西吧,反正放着这么多的东西还怕搞不下来不成。找了个页就跳进去。不知不觉跳到了这个页,就随便选一个进去,结果还是一块一块的静态页,还是那句话没有用,但是后来证实静态页并不是没有用,不小心点进了静态页,看到了图片,想到照片,要上传,那就有上传页。还是来看看图片的属性吧。上面有个图片连接地址,有个 cmseditor,引起了我的注意,editor不是在线编辑吗?那如果有在线编辑就可以搞下webshell了。就找了地址,果然是在线编辑器

Highslide JS


Highslide JS


用admin的默认密码进去还真进了,看来这站不怎么安全啊,在样式管理——新增样式,添加个asa的文件类型,然后设置个工具栏,在打开开上传页,把我们的脚本木马上传到服务器,就这样拿到了webshell。

Highslide JS


Highslide JS


Highslide JS


服务器提权

搞了webshell不提权好像对不起自己,貌似这样也枉费了我拿webshell,呵呵,我们要有黑客精神,不怕困难勇往直前,貌似又说多了。原来服务器是内网的,最近怎么就这么衰,都是内网的,限制很多,不过我们不能就此放弃。在程序目录下看看,发现装了360安全卫士,诺顿杀毒软件,其他的就没什么了。

Highslide JS


查查〖服务信息-组件支持〗

Highslide JS


服务器支持WSRIPT.SHELL,说明可以运行CMD,能执行操作,而且WEBSHELL的权限不小,还能浏览D盘整个盘符,而且服务器还挂着其他的站 www.housemedia.cnwww.6house6.com

Highslide JS


也能进去目录,看来这几个都是同一个公司的,到D:\Program Files\,发现有serv-u,这下可喜出望外了,如图

Highslide JS


Highslide JS


虽然装了serv-u,我们就试试看是否真开着,或者是管理员没用了。发现ser-u的版本是6.0的,看来提权有望了,不是前一段时间出了个ser-u的EXP0day,通杀所有版本,不要所6.0 这个版本,其他版本照样干掉。说干就干,利用serv-u来添加个系统账户看看,这东西他不管成功不都显示提权完毕,反正我们也已经习惯了。

Highslide JS


接下来查询一下有没有添加账户进去了。再用本地扫描器,证实了确实开着43958,且把帐号也添加进去。

Highslide JS


就这么容易添加上了管理员,最后当然用LCX,本地监听,就利用LCX把服务器的3389转发到我们本地,然后我们连接127.0.0.1,我们本地的主机,输入我们刚刚提权的帐号密码。

Highslide JS


尾声

简单的拿下了服务器,也就到了尾声了,这次的入侵很满足,拿下了终端权限,同时也通知了管理员,希望管理员不要疏忽这些漏洞,特别不要忘了serv-u默认安装的危害,有什么问题到我的Blog:qq3389.cn 下留言。
Technology | Comments(0) | Trackbacks(0) | Reads(7844)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive