主页 > www.4633333.com > 拐弯入侵虚拟主机
拐弯入侵虚拟主机

  前段时间动网的Upfile.asp文件上传漏洞闹地沸沸扬扬,很多朋友可能利用这个漏洞得到了不少WebShell,我也利用它搞到了很多的WebShell,可是由于事情比较多,没能对已经放置了WebShell的虚拟主机进一步深入,现在空了,赶紧拿出了以前放置的WebShell……

  TIPS:动网的Upfile.asp文件上传漏洞可以上传任何文件至服务器。游客在青岛第一海水浴场游泳,另管家婆彩图,凶器是ASP木马(如海阳顶端网ASP木马,冰河浪子微型ASP木马等),利用上传漏洞上传这些小巧而功能强大的ASP木马来入侵服务器。由于ASP是一种动态网页解析技术,加上黑客往往会破坏数据库造成整个论坛瘫痪、数据丢失,事后,要查出入侵者的IP也是非常麻烦的事。黑防前几期已经有非常详细的介绍,大家可以翻看以往的杂志。

  我的这些肉鸡列表中,就数网站最大,浏览量最高,要搞就搞大的。可惜这个网站的WebShell早已经被发现并删除了,我来看看有别的方法进去没有。

  在网站上转了几圈,发现该网站的动网论坛已经由低版本升级到了最新的7.0 sp2,彻底杜绝了上传漏洞,而且这个网站的整站程序是由后台动态页面产生前台静态HTML页面,根本没有SQL注射的机会,转来转去还是一无所获!拿起扫描器,对这台主机进行了一番扫描,结果就发现了几个常见端口,几乎没有利用的可能。徘徊了好长时间,我还是别死钻牛角,想点别的办法来入侵吧!

  既然正面来不行,那我就拐弯搞一次。据我估计,这个网站所在的主机一定是台虚拟主机,提供WEB空间出售,其中肯定还有别的网站,而这些网站十有八九存在当前最热门的动网论坛,嘿嘿!如果存在动网论坛是7.0 sp2以下的版本,那么就可以上传ASP木马,然后……越想越带劲,抓紧时间干。

  TIPS:2004年第八期黑防上开始出现以“旁注”为内容的文章,实际上就是利用虚拟主机的特点,先利用注入漏洞入侵同一服务器上目标站点“旁边”的主机,然后再迂回攻击目标,这样的入侵路在最近的网络攻击事件中非常盛行。

  要探测虚拟主机中的其它网站,在有些朋友看来好象有点不可能。其实只要借助这个网站:可以了!它是一家提供高级WHOIS服务的网站,可以对域名,IP等进行WHOIS查询,从而发现其中的大量信息。

  TIPS:WHOIS服务是查询目标IP上有多少个域名指向,并且能查出这些域名的详细注册信息。透天机 刘伯温,这里给大家推荐一款小工具,非常方便而且整合了很多相关功能:桂林老兵网络信息综合查询工具,本期光盘有收录,大家可以试试它的功能。

  打开这75个域名进行浏览,果然发现其中一个网站xxxx:存在一个低版本的动网论坛,这下好办了,开始上传ASP木马!

  动网文件上传漏洞的相关工具非常多,我这里用浪客联盟的工具:DVbbs Exploit。在URL中填写上传文件的具体URL地址:xxxx:上传路径中填写“data(即保存论坛数据库的文件夹)”,在文件名填写1.asp,然后在木马内容中复制冰狐浪子网页木马的内容:,注意:“heidan”是我设置的连接密码。上传成功后,得到的木马地址是:xxxx:

  已经成功上传了冰狐浪子网页后门,那么来探测一下这台主机的基本情况吧!打开控制页面Icyfox007.htm,填写木马地址xxxx:和密码“heidan”进行简单的探测。发现该主机存在5个盘,D盘存在客户网站资料,已经被NTFS严格限制权限,无法浏览。而F盘是系统盘,由于管理员不太重视,所以ASP后门对它有写,读等权限!那我就不客气了,向虚拟主机的主机权限进发!

  我配置了一个灰鸽子服务器端Server.exe,上传到我的网站,得到下载地址/server.exe,下面来把它上传到主机上。使用冰狐浪子网页后门的上传文件功能,在“Input URL”中填写木马的下载地址xxxx://zzz.com/server.exe在“Input Path”中填写本地生成的具体路径名:c:\1.exe,提示上传功能!再利用冰狐浪子网页后门的运行程序功能,在“Input Path”中填写木马的路径c:\,在“Input Name”中填写木马名1.exe,然后运行!等了好长一会时间,提示:运行失败!没看错吧?我又尝试运行了几次,都是提示运行失败!

  没办法,换个后门试试,又尝试上传了几个别的后门程序,结果都提示运行失败,看来十有八九这台主机安装了非常厉害的杀毒软件。经过后门的“环境探测”,证实了我的猜想,果然在F盘下发现了KV2003的字眼,难怪!

  但是同时也验证了那句老话:山穷水尽疑无路,柳暗花明又一村。因为我同时看见在KV2003旁边出现了字眼:f:\ Program Files\Symantec\pcAnywhere(如图3所示),这是远程管理软件PcAnywhere的安装路径。只要把PcAnywhere的密码文件得到,进行破解,那么就可以顺利的拿下这台主机了!

  PcAnywhere的密码文件是以“cif”结尾的,通常保存在f:\Program Files\Symantec\pcAnywhere下。但这样不太好找,有个小诀窍,只要进入到f:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\下,即可轻松发现密码文件。我利用冰狐浪子网页后门的“浏览目录”功能进入到其路径下,果然发现了“cif”密码文件,再利用冰狐浪子网页后门的下载功能,顺利将其下载到本地文件夹中(如图4所示)。幸亏管理员设置的系统F盘可操作,否则这次提升权限的操作可就失败了。

  TIPS:PcAnyWhere是首屈一指的远程遥控软件,安全性高、操作更简易且可自订符合需要的规格。但它的帐户信息是存储在cif或者chf文件中的,拿到文件就能破解它的密码——不过11.0版以上的PcAnyWhere已经解决了这个问题,使用现有的密码破解工具是不能读出密码的。

  在网上下载了Pcanywhere,安装完毕,添加被控主机,在工具拦中选择“主控端”,再选择其中的“添加主控端”,打开设置面板,在“连接信息”标签中选择“TCP/IP”,在“设置”标签下的填写目标主机IP地址,设置完毕!双击添加成功的控制端进行连接!连接上后,提示输入密码和用户,填写已经破解到的密码和用户名,顺利进入主机!

  至此,一次拐弯入侵虚拟主机的过程结束,这次过程主要是利用了o对主机的域名探测,然后使用了Pcanywhere的破解程序,最后获得权限。关键是WHOIS查询发挥出了大作用,大家在入侵的过程中也可以考虑使用它。

  每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、省司法厅领导讲“不忘初心、牢记使命” 主题教育专题党课,内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。