| 本文来源于:尼克技术博客 http://www.ineeke.cn/ , 原文地址:http://www.ineeke.cn/archives/WebServerDatabaseServerFenLiRuQin/ 还是第一次遇到数据库服务器与WEB服务器分离的情况,刚打开网站的时候觉得挺吓人的,因为觉得这样的大网站对我来说根本无懈可击,等搞定之后再回过头来看,还是觉得是那么的不可思议。 目标:www.xxxx-xxxxxx.com 绝大多数页面都是纯静态的,ASP的很少,不过既然有,那么就要检查一下是否存在注入。检查完所能找到的ASP页面,仅发现了一个注入点。 http://www.xxxx-xxxxxx.com/xxxx/show.asp?userid=107045&id=522  检测结果是MSSQL数据库,权限为DB_OWNER。看到这种情况,第一个想法就是列出网站目录,然后备份数据库LOG得WEBSHELL。经过尝试后失败,根本列不出目录来。 第二个想法,找出管理员信息表,然后查出管理员帐号及密码,登录网站后台寻找办法拿WEBSHELL。 结果顺利的从admin表中发现了37条记录,也就是说有37个管理员哇...头一次见这么多...列了16条我就不在列了,因为感觉已经够用了,O(∩_∩)O哈哈~  有个用户的密码是07ff7c1db094deb9dcf9ddf6bec9e605,在线破解失败。 其他用户的密码都是21218cca77804d2ba1922c33e0151105,破解后的密码是888888。 在网站首页顶部直接就有通往后台的链接。  使用用户名和密码登录结果却是失败,连换了几个帐号都是失败。难道数据库搞错了?数据表错了?好好想了想,这时突然看到登录页的TITLE写着“员工登录”,眼前一亮,一般公司里面都是有员工工号的,那么刚才的字段中有一列的名字是userid,我们若把它理解为员工工号和登录页的用户名会是什么样子? 按照这个思路重新尝试登录,毫无悬念的登录成功了。可是这里的后台并不是我所想想的,左边一棵权限树,右边用来展示操作。对各个模块的功能逐一浏览后,并没有发现任何可以获取WEBSHELL的方法。  OK,再想一想一个网站为什么要有这么多的管理员呢?这时我联想到了我前段时间做的ASP.NET[毕业设计CRM系统] ,当然是为了管理方便,且每个管理员所拥有的权限是不一样的。想清楚了我们就知道下一步该怎么走了。我们再逐一登录其他管理帐号看看。换了一个帐号登录后,后台所显示的能够操作的功能更多了。看来思路正确。  这次一眼就看中了资源中心管理这个栏目,为什么呢?想一想“资源管理”,那么肯定是会提供要上传或者下载的功能吧,当然这里也可以说是纯属瞎猜,O(∩_∩)O哈哈~。 打开之后又接着点了一个添加新资源,然后就打开了个如下图的页面。可以上传资源文件,没错吧?  通过这里直接成功上传了一个ASA文件,看样子是可以上传任何文件,可怕啊... WEBSHELL已经拿到了,可以说已经算入侵完毕了,不过在查看数据库连接字符串的时候,我发现它的数据库在内网的另一台机子上。我还没搞过数据库与网站分离的,这次小试一把。于是自己手工上传了一个CMD.EXE,再次执行OK!不过问题又是不能执行添加管理的命令等等。再次放出Churrasco.exe,执行成功。  这台服务器开启了远程终端,所以也就顺利的登录到了服务器中。  好!接下来搞定数据库服务器。从连接字符串来看数据库服务器的局域网IP为192.168.10.9。用户名(非SA)和密码都比较复杂,一般我看到密码若比较复杂的话,那么其SA密码也有极大的几率是这个密码,因为密码复杂了不好记!偷懒的行为,O(∩_∩)O哈哈~ 帐户使用SA,密码用查出来的密码,数据库选择master然后连接192.168.10.9上的数据库,结果当然是连接成功啦!(不知道这算不算是社工?)也证明管理员偷懒了!O(∩_∩)O哈哈~ 好,接着执行存储过程提权,exec xp_cmdshell '这里写DOS命令'  啊哦...看看提示什么了,从这个提示来看,数据库不是SQL Server 2000而是SQL Server 2005,SQL Server 2005默认情况下是不允许调用xp_cmdshell的,需要手工开启。恰好最近一直在用SQL Server 2005,某天没事干的时候又翻了翻相关的文档,这下正好用到了。 执行EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;即可开启。 启用之后又顺利的通过xp_cmdshell添加了超级管理员。进到刚才刚才拿到的WEB服务器,然后再用终端连接内网的192.168.10.9这台机子,再次登录成功!  至此,入侵结束。WEB服务器与数据库服务器均已被控制。又是一篇没有技术含量的入侵过程,不过还是那句话,思路决定出路。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:30 , Processed in 0.095749 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
