文章作者：Andyower 天使娃娃

注：本文已发表2005年9月的黑客防线.如有转载,请注名

    近日,朋友说要我帮他弄一个站点,说那个站点有许多他想要的资料,他给出了站点www.***d.com,由于一些原因，所以本文有很多的截图都不能提供,希望大家可以谅解.

第一次渗透
    先从主站入手,登陆上去看看,主站上面几乎都是静态的,只有一些新闻,而那些新闻是的注入点是连接到另外的一个IP,220.194.*.*/news.asp?id=111,试一下提交and 1=1,and 1=2,还有"news.asp?id=1'11","news.asp?id=11;1","news.asp?id=11 1","news.asp?id=11--1",全部返回正常,也就是说"'",";","--"," ",已经全部被过滤了,再去220.194.*.*去溜达一下,看见一个论坛,动网的,是前几天刚刚装上去的,注册人数不到50人,为了避免对方是骗人,把建站的日期修改,还是把最新的漏洞测试一下,都不能成功,想跨站?管理员就没有上过论坛.
    这个时候,对www.***y.com扫描的报告出来了,开放21,80,3389,试着ftp上去看看.返回了信息如下:

C:\Documents and Settings\Andyower>ftp www.***d.com
Connected to www.tnbfriend.com.
220-Microsoft FTP for WinSock ready...
220 (欢迎您使用中国万网虚拟主机服务，本空间禁止使用聊天室，江湖游戏，在线视频播
放，专业下载等严重耗用服务器资源的程序,谢谢您的合作!)
User (www.tnbfriend.com:(none)):

显示的是"Microsoft FTP for WinSock ready",小样的,"serv-u',你以为你换了马甲我就不认识你啊,原因是因为出现了"220",一般来说,返回的信息有"220"的,就多半都是"serv-u"了.是万网的虚拟主机,听说万网的虚拟机被人搞过很多次了,不知道现在有没有学乖点呢.先不管这个，既然是虚拟主机,就几乎可以肯定的,一定可以旁注.
    打开Domain3.5,设置好参数,过了没多久出来结果,上面捆绑了非常多的网站,看得我都不想看了,纯粹属于体力活,还好有天使娃娃在,这种事情就交给她吧.让她随便找到一个存在漏洞的网站,得到个webshell再说.(天使娃娃:为什么受伤的总是我......)
    不知道是因为天使娃娃的命好还是人品好,才不到10分钟,就拿下了一个年老失修的动网,并且把一句话木马写好了,就等着我去连接了.我比较喜欢海阳顶端木马,配合起一句话非常的好用。连接上去以后,看见了许多的站点.如图1:
随便点击一个进去看看,发现没有权限,也许是为每个用户都提供了一个帐号吧.再看看其他的东西,发现不能执行cmd,自己上传了一个cmd.exe上去,发现还是不能执行.因为现在我用的这个海洋不是最新的版本,所以没有查看组件的功能,在没有查看组件前,很多的东西都是不能确定的.这次,上传了另外一个海洋,查看组件.如图2:
最重要的2个组件可以用:Shell.Application ,WScript.Shell,也就是说WScript.Shell被改名了,

[1] [2] [3] [4] 下一页