一 起因 同學(xué)說,只要我拿下他們學(xué)校的服務(wù)群,就請(qǐng)我吃一頓大的. 到北京這么久了,整天日夜倒,整個(gè)人瘦得像.... 哎,能吃則吃,自己也很久沒寫東西交給黑板了,故這篇就當(dāng)交差吧. 另,這篇文章送給BCT的成員,還有我的高中的鐵四角,阿棍,君明,溥卿,還有經(jīng)偉,老大...... 轉(zhuǎn)載請(qǐng)保留這段話,thx 二 開動(dòng) 初步看一下,整個(gè)學(xué)校的網(wǎng)絡(luò)分布在IP段:1.1.1.xx,學(xué)校在上層做了些手腳,故只能訪問整個(gè)段的80. 就國(guó)內(nèi)來說,最容易入手的地方當(dāng)屬論壇了(個(gè)人見解),所有的程序全做了通用防注入,掃描了半天沒看到什么默認(rèn)數(shù)據(jù)庫(kù),phpmyadmin,上傳頁(yè)面等. 三 突然點(diǎn) 學(xué)校的論壇是dvbbs的,程序最新的,刪掉了boke,這樣boke 0day就沒法用,改了默認(rèn)數(shù)據(jù)庫(kù)和默認(rèn)的備份數(shù)據(jù)庫(kù)路徑,從論壇數(shù)上看90%是Access+dvbbs,因?yàn)樽��?cè)人數(shù)才幾百人,吼吼~~~ 注冊(cè)一個(gè)用戶,查一下管理員的資料,找到管理員的id,mail,qq等資料. 再接下來的思路就是google管理的id,mail,qq等資料,查一下管理員在哪些地方注冊(cè)過會(huì)員,然后再把其注冊(cè)的那個(gè)站搞定,查一下管理員注冊(cè)時(shí)的密碼,再用注冊(cè)的密碼來登學(xué)校論壇. 這里只說一下思路,用這個(gè)方法我把其學(xué)校論壇的管理員的QQ,郵箱,還有他的十八代祖宗都找了出來,一層一層查嘛,上次動(dòng)易出漏洞的時(shí)候,黑鷹某管理員的祖宗就是這樣挖出來D,QQ密碼全都偷過來了,搞幾次黑鷹都是利用其密碼沒改的bug.很多時(shí)候,整理管理員的密碼檔和了解管理員習(xí)慣,往往是最大的后門. 先把自己當(dāng)成管理員,想想我是管理員我會(huì)怎么做,再以一個(gè)黑客的角度去想想管理員那樣做會(huì)存在什么樣的漏洞,結(jié)果常常是事半功倍... 切回正題,進(jìn)后臺(tái)后,可以先查一下數(shù)據(jù)庫(kù)的dv_log,有的時(shí)候有同道中人先備份過了,所以很多時(shí)候,我們可以看到其備份后的shell地址,直接拿,省點(diǎn)功夫,吼吼~~~~ 拿下shell了,再說提權(quán)了... 三 提權(quán) 主機(jī)環(huán)境是NTFS,CDE盤,做的還算BT,但FSO,wscript.shell沒刪,另外當(dāng)前目錄有執(zhí)行權(quán)限,擴(kuò)展方面只支持asp.開了終端,改了默認(rèn)端口,讀一下鍵值 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp/ 發(fā)現(xiàn)改成了520. 主機(jī)沒裝其它第三方程序,打全補(bǔ)丁,目錄除了當(dāng)前目錄外,其它目錄權(quán)限和萬網(wǎng)做的一樣,估計(jì)是參考萬網(wǎng)的配置文檔. 踩點(diǎn)一下net localgroup administrators,默認(rèn)的administrator,沒辦法只好先踩一下密碼,先用弱口令試了一下,不通,再把論壇整理的密碼檔試了一下,發(fā)現(xiàn)中標(biāo)了,hoho. 在shell下執(zhí)行net use //127.0.0.1/ipc$Content$nbsp;pwd /user:administrator,命令執(zhí)行成功,hoho 先接下呢,就是轉(zhuǎn)發(fā)一下端口,登上了終端,中上了后門. 四 步步滲透 再擴(kuò)大東西就沒什么好說的了,完全的老東西了,在dvbbs后臺(tái)上馬啦,整個(gè)網(wǎng)段掃啦,字典ipc$掃啊等等. 最后利用后臺(tái)掛馬意外的拿了某管理員的機(jī)子,偷登了一下Q,在他們?nèi)汗蚕韨髁藗�(gè)小馬,說好東西,結(jié)果又上了一批,再經(jīng)過一些處理,整個(gè)段被搞得差不多了,也收工了,本來想測(cè)試一個(gè)東西的,因?yàn)榭吹揭粋�(gè)小工具 思路如下: arp攻擊加會(huì)話劫持,每臺(tái)機(jī)子都會(huì)跑到MS官方去打補(bǔ)丁,打補(bǔ)丁肯定要下東西并安裝D,也就是說,最后肯定會(huì)下載并執(zhí)行一個(gè)可執(zhí)行程序.exe類的,那么,如果我們結(jié)果arp攻擊,把其.exe文件給替換掉呢?嘿嘿 拿下一個(gè)網(wǎng)絡(luò)不是輕松多了嘛.所以說,Bill的僵尸網(wǎng)絡(luò)是最牛X的 五 總結(jié) 如有雷同,實(shí)屬巧合,文章拙劣,博君一笑!!! 文章錯(cuò)別字較多,看得懂就可以,吼吼吼~~~~~ Linzi aT Bug.Center.Team 07.03