对中国国家XX网的检测
St4nd & SpookZanG[S.C.T]
话说,在这秋高气爽,秋风瑟瑟,秋风送暖,秋阳杲杲的日子里,我感觉应该为建设和谐社会,建立和谐社区,维护世界和平,神9探月旅行,做点贡献,于是来到了中国国家人才网。话说这个网可不简单,是“人事部全国人才流动中心主办”的!这个中心一定非常的NB,因为我没有听说过。
打开网站,发现网站是JSP的。随便打开一个连接,把它扔到穿山甲里,发现是SA的注入点!我感觉JSP搭配MSSQL的比较少见,我到是经常见到JSP+Oracle的。
于是乎我非常高兴,在脑子里闪现出了无数的提权方法:执行命令拉,下载文件拉(SA权限能下载一个不大于8k的文件),写入VBS拉。等等等等。
但是呢,事情往往没有我想的那么简单。首先呢,他是内网,没法从外网连接3389,其次,这个SA不是显错模式,搞起来就比较烦人了,后期列目录,列表明啥的都得一个一个的猜,麻烦!费时!可是我是谁呢,我于是打算找个人来一起搞,先叫33,33说他在拍片,忙!又叫Demon和小T,他们都说我没接触过JSP,让我找33(你们不会是商量好的吧?)。最后终于st4nd的出现,解救了我。跟他打招呼完毕后,问他搞站么,他说搞。于是把网站注入点发了过去。
之后,我发现了一个备份网站的路径,找到了另一套程序,http://www.newjobs.com.cn/city_manager/ ,于是我抱着试一试的心态,输入’or’='or’,但是呢,不成功,返回了500错误。我感觉那个后台的确是能绕开的,没有过滤。于是乎,换成了’or”=’,正常进入。
有在里面发现了ewebeditor,http://www.newjobs.com.cn//tools/ewebeditor/,似乎胜利在向我招手。但是呢,事情网网没有我想的那么简单,通过列那个备份目录发现,他根本没有登录页面,而且他这个ewebeditor全是HTML的,真烦人啊!!(他貌似有个上传的页面,但是我打开是500错误……)
这时,st4nd发来了一个“resin-3.1.5”,这个东西是什么呢?Resin是CAUCHO公司(http://www.caucho.com/)的产品,是一个非常流行的支持servlets 和jsp的引擎,速度非常快。
而在resin-3.1.5下的conf\resin.conf很可能存放着网站的路径,于是找到这个文件,拿出穿山甲,读了出来。
虽然最后没有找到路径,不过找到了SA的密码(为了防止被一些不法分子轻松利用,密码隐藏,想要自己去读。):
1 2 3 4 5 6 7 8 9 10 11 | <database>
<jndi-name>jdbc/mysql</jndi-name>
<driver type="com.microsoft.jdbc.sqlserver.SQLServerDriver">
<url>jdbc:microsoft:sqlserver://localhost:1433</url>
<user>sa</user>
<password>XXXXXXX</password>
</driver>
<prepared-statement-cache-size>8</prepared-statement-cache-size>
<max-connections>20</max-connections>
<max-idle-time>30s</max-idle-time>
</database> |
虽然有了SA的密码,但是因为是内网,无法从外部连接。所以要用剑心写的那个web mssql连接器去搞。但是因为没有路径所以也就放置了。
因为找不到路径,st4nd就说应该用VBS提权,我感觉服务器上如果有杀软的话,VBS提权的成功率很低的。在尝试了一下后,发现服务器上果然有杀软,写上去的VBS被干掉。
到学校的第2天,st4nd发来了消息,说找到路径了,通过备份数据库弄上去了马,不过据说杀软很强大(后来知道,原来是JB金山毒霸2008)。
并给我下了最后通牒,搞下他,渗透服务器!
接到st4nd的命令,我快马加鞭,倍道而进,风驰电掣,大步流星,奔逸绝尘的回了家,打开电脑,连上shell,这个shell是JSP的,33写的,通过33的马,把自己的马弄上去,进入!
还记得那个SA的密码么? 通过他连接!
因为内网,打算上传个LCX反弹出来3389,提权。
但是呢,有杀软,弄不上去……33说他有免杀的LCX。33把LCX给我之后,我发现竟然被杀?!
我打算结束掉那个破B金山杀毒,但是失败了。
真是郁闷… …看来最近得恶补一下免杀了……
文章先发上来把,谁有能免杀的LCX或者反弹马说下,好拿下他,渗透之…….
最后说下,躺谢,趴谢,打滚谢st4nd的鼎力支持。
