阅读提示：     学校一位朋友租用了一台服务器，做WEB服务器，大款啊……

    某日，本人无所事事，于是准备看看朋友服务器的安全性如何。我知道他的服务器上除了自己公开的网站之外，还放了几个正在建设中的站点。

    敲上一个他新买的域名地址，发现网站也是新做的，并且非常漂亮。于是就想down一个看看。当然程序我是有的，但是版本比较老，其实直接向朋友要也没有问题，但是本着 “自己动手，丰衣足食”的指导思想，再想想咱们“所谓Hacker”的精神，还是自己拿吧，顺便把这次的测试结果告诉朋友，也算是补偿。呵呵

    首先下载桂林老兵的“虚拟主机站点查询工具”，看到主机上放着如下几个网站：


依次打开网站看有无漏洞，有如下总结：

1、两个新手从网上下载的整站程序没有修改默认用户名和密码admin，但是这两套程序的admin也只能添加文章、软件，没有更多的权限，无法利用。

2、主要的程序经过手工探测和NBSI v2的测试，确认没有SQL Injection漏洞，这样子就无法拿到一些帐号可以上传等的权限。

陷入僵局中。

空虚浪子心

网站以前曾经进去过，所以如果他没有修改服务器名称并且修改物理路径的话 ^_^ ——我现在知道站点的物理路径，以及他的机器名。既然上次进去过，也许有缘，就再来一次吧！

还是要刺探信息。网站论坛的目录是www.xxxxx.com/bbs，还有/bs,/bbs1，这两个是我事先知道的，因为他刚装了yuzi，怕不能正常运行，所以留下了一个动网/bbs1（已经打了补丁，后门也不在），/bs一直是站点维护并不使用着，看起来站长不打算用它。

先看看他的权限吧，随便找了个比较简单的站进去webshell，发现权限设置还比较严格，不能浏览其他盘.(什么？问我怎么进去的？是我疏忽——DVBBS 6数据库默认,下载之后暴力破解密码,然后在后台更改注册信息,随便写个东东进去——剩下不用我废话吧？)现在是要进一步通过这个webshell得到一些信息。推荐砍客联盟的asp木马,很牛的!(图二)这台计算机的进程表就出来了看看他都运行什么服务


gram Files\Symantec\pcAnywhere\awhost32.exe是pcanywhere的进程

gram Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe这是Symantec AntiVirus杀毒软件

Serv-U--Serv-U FTP 服务器--2  gram Files\Serv-U\ServUDaemon.exe

SQLSERVERAGENT--SQLSERVERAGENT--3  OGRA~1\MICROS~1\MSSQL\binn\sqlagent.exe

W3SVC--World Wide Web Publishing Service--2  WINNT\System32\inetsrv\inetinfo.exe

MySql--MySql--2  mysql/bin/mysqld-nt.exe

别的信息没什么用，现在要想得到系统控制权，还是从MS SQL入手，x-scan扫描了一下，没有弱口令。陷入僵局，打算另找途径。

网路游侠

X-Scan的扫描结果非常要人郁闷——MySQL的口令是空哦！典型的默认安装！(后来我问管理服务器的朋友，他说有密码，看来他是把MySQL Admin的密码当成MySQL的密码了)。既然得到这些，就可以用牛族的SMysql-v1.7连接了。

郁闷，天不早了，准备睡觉，明天还要忙呢！

空虚浪子心

用牛族的东东，必须要得到web物理路径才行。这就有点麻烦，上次得到站点路径在d:\wwwroot\下，但是这次我又找的站点却在g:\user\*****下，这可不好分析了，那么我们要的站点到底在哪个目录下呢？那个站点只有一个bbs，站点域名是一排数字，仍然不敢断定站点路径。

又到处看着站点，翻了一段时间，突然在浏览它的站点时发现"感谢**网站提供托管主机服务！"这下，全明白了！这个站长，除了自己的站点之外，还把别人站放上去自己赚钱！那么d:\是他自己的站点，而g:\user\就是来找他要空间的站点了，也就是说可以确定，我要的东东就在g:\user\*****下（请注意，这个*****，可不代表上面的都一样），我再看一下得到的讯息，又提取出来这些。

我已经入侵的站点从webshell的讯息：

--------------------------------------------------------

机器名 ***R2MQGH 帐号 CUS_X*** WEB路径 G:\user\xi***\ 

用cmdshell得到用户（虽然不能添加，但是可以查看）

Administrator            ASPNET                   CUS_***                  

CUS_****                 CUS_*****                CUS_**gi                  

CUS_changan              CUS_cra**              CUS_**hudie             

CUS_fen**              CUS_he**              CUS_ima**               

CUS_LB**                   CUS_lc**                 CUS_L**                  

CUS_Ltgm**                 CUS_mail                 Cus_p**                 

CUS_Qun**                CUS_s**                  CUS_s**                  

CUS_us**                  CUS_Xi***             

--------------------------------------------------------

可以推断：不管是哪一个站点，用户都是CUS_开头之后是他的申请时候用户名比如CUS_changan里面并没有数字的站（我要的程序就是数字域名），但是他的名称却是“长安***”，所以，这个CUS_changan 就是我要的！根据他的习惯G:\user\xi***\ ，推断我要得路径就是G:\user\changan\

既然得到路径，我就顺便把使用牛族的教程+牛族的SMysql-v1.7过程大略说一下：

----------------------------------------引用牛族教程附加修改

得到密码后，用牛族SuperMysql连接器 V1.7连上去，接着输入：

use mysql;

进入mysql这个数据库

create table shuangfeng(cmd TEXT)

选择在名叫mysql的库中建一个名叫shuangfeng的表，这个表只有一个字段名叫cmd，数据类型为TEXT

insert into shuangfeng values("")

就是在shuangfeng的表里写入

相信明眼人一看就知道，冰狐浪子，一句话，而且还不用过滤什么"号

select * from shuangfeng into outfile "g:\\user\\changan\\kxlzx.asp"

很明显，是把表中的内容输出到g:\user\changan\kxlzx.asp

-------------------------------------------引用结束

查看果然有了kxlzx.asp，成功！赶快用其他数据库连接器连接，把那个表删除。我就不抓图了。关键是后面。

现在已经差不多了！在告诉网路游侠的同时，我也上传了方便一点的木马。但是用webshell下载这东东不方便。的确，要想得到方便的传输，最好是放个radmin上去，或者开3389，因为3389动作太大，我还是想用radmin.这就要得到系统控制权，而上传文件可以用webshell，不是问题。要想用MySQL得到权限，我还没找到相应办法，不过既然拿到了这个webshell，可以利用的，前面已经说了，它MS SQL数据库。（图三）


找到了数据库连接文件Password=sa1;" & "Persist Security Info=True;User ID=sa

晕倒。。。这么弱的密码！我的扫描器还刚好没有！于是SqlExec连接（图4），连接成功。


利用webshell上传radmin服务端。然后移动到c:\winnt\system32下，执行。

再一看！端口4899打开！连接后找到了我说的g:\user\目录！（图5）


好的，这下入侵才算完毕了！

网路游侠PS

在入侵的的过程中，空虚浪子心发现了SQL Server密码之后，我在本地装了一个SQL Server，连接上了远程的SQL数据库，用查询分析器测试：

xp_cmdshell "dir c:\"”

显示初了C盘根目录下面的文件！呵呵，接下来可以用他执行一些命令了，别忘了，sa的权限可是system的哦！写木马、拷文件……都不在话下！

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力