隐者安全小组[Hermit Security Group]于2009年02月28日正式成立,我们是一个致力于研究网络安全的组织,我们远离繁华,追逐本色!我们都在为自己的理想而努力着,致力于研究各种安全问题专注于其中,主要致力于web开发以及安全方面!欢迎各位有识之士加入我们,与我们一起为自己的理想而奋斗,我们永不止步,为自己的理想而奋斗,用行动去说明一切!希望有志者能加入我们,一起为H.S.G做出奉献!
我的鸡肉卷,哪里跑?
作者:上帝之爱
来源 :Www.3hsg.Net
前言:话说,某日我高中时候的同学刚参加工作,跟网络有关的!
他们需要某网站的一套程序作为参考,而此程序网上不提供下载可能他们自己写的,
让我帮忙说事成之后,请我“啃得起”管够,日,最近日子不好过,冲着鸡肉卷我也得干了!
此网站粗略的看了下,安全做的还可以,无注射漏洞,无上传之类的低级漏洞!
而且同服务器上面就几个网站,一个目标站,phpwind7.5论坛之类的,其他的一两个站,还有一个企业站!
很快的拿下了那个企业站,我以为很快搞定呢!发现权限恨死,不支持aspx,支持php,
all user进不去,temp也是,注册表不可读,WS组件被删除,旁注是米有戏了!
于是乎,C段ARP!hscan扫描,发现基本都是用的Serv_U6.4,并扫到了几个ftp弱口令,然后登陆,同时找到网站,上传shell!
首先去看all user能否跳进去,是否能执行命令,注册表是否可读!发现有的权限都设置的有点死,日,几个SU提权都提不鸟,估计su默认都改了!
注册表asp aspx都不可读,只有一个支持aspx,其他的都不行,不过支持aspx的这个可以执行命令!2003的那玩意不行,被补了!
后来发现某盘里面有网站备份文件夹,于是下载,翻mssql数据库信息,找到两个mssql账号密码,用其中一个测试sa密码能连接上!
于是恢复存储过程,建立账户,终于进入了终端(A)!
同时saminside抓取哈希,以防万一!下载cain,进行嗅探,测试登录目标服务器ftp,未能嗅探到信息!fuck!防arp?
于是,用以前日黑狼时候某个带B开头的黑客教偶的方法,直接去日IDC,目标机器前后20个之内找IDC网站,
半天之后,成功找到了XX_IDC,继续旁注,费了半天劲拿下一个网站(汗一个),同上su提权不行鸟,估计是LocalSetupPassword,
且不支aspx,c:\windows\temp虽然能进去,也找到了Session记录,
但米有找到有用的记录信息!不过后来在bbs的目录里面翻到了mssql的账户信息!
于是mssql连接上去,列出了IDC的目录,log备份到IDC的目录里面一个shell,发现IDC是用的HZhost的程序,
找到incs\constr.asp,翻出hzhost的库,连接执行语句,把hzhost的后台用户admin找出来,md5破解进入后台!
进入后台之后,FTP主机, 数据库, 虚拟主机等地方翻了又翻,找到了那个目标网站!直接FTP上传,
fuck,好像密码不正确,无奈我准备修改其密码,但是一修改就好像返回出错信息!
于是,先把服务器日下再说,支持.net,传了个aspx的大妈,读取注册表hzhost的信息,
然后按照以前XXJ同学的文章,mssql连接那里SELECT * FROM [hstlst] 找到一个
用户记录下id ,然后UPDATE [hstlst] SET h_ftppss='加密串' WHERE h_ID=记录下的ID。
后台里面找到对应的,查看,发现老是出错,问了XXJ童鞋,他竟然说这个hzhost是盗版,我日!
这下郁闷了,可能前面一心想着hzhost后台还原,忘记了其他的东西,又列目录时候发现了radmin,
于是读取,然后用网上 那个vbs转换的,找出端口,用radmin哈希版本的登录,于是权限到手了!
终端端口改了,用radmin远程telnet执行TASKLIST /SVC ,找到DcomLaunch, TermService对应的PID,
然后netstat -anb 找到PID对应的端口,即是远程端口,成功进去!
既然是IDC的机器,不知道上面保存米有他们的其他的服务器等之类的信息,于是D盘新建一个1.txt
里面内容:
d:\*.txt
d:\*.doc
e:\*.txt
e:\*.doc
f:\*.txt
f:\*.doc
然后C:"\Program Files"\WinRAR\WinRAR.exe a -r "d:\down.rar" @1.txt
将他们所有盘里面的txt和doc打包,拖到web目录下载,可惜并米有找到其他的机器信息!
不过用这台机器的账号和密码社工进去了相邻着的一台机器(B)!
发现这台机器也有radmin,那么目标站的那台服务器呢?telnet下那台机器的端口,靠也有?
用IDC服务器和B服务器的radmin哈希均进不去!也翻了B服务器上面信息也未能找到有用的信息!
这下困死这里了,索性把IDC旗下的几台服务器一并拿下看看有米有重要信息可以利用,发现相邻的机器中
有一台(C)可以嗅探,于是操起cain嗅探了起来,第二天嗅探到了一个ftp,其他信息米有啥用,按照上面方法,
传了asp aspx马,发现均支持,于是读取radmin哈希,成功连接上去,可惜不能远程telnet ,估计是对cmd做了设置了。
于是我利用radmin把windows\system32\sethc.exe和windows\system32\dllcache\sethc.exe给替换,
终端连接,5下shift ,执行了下命令发现果然是做了设置,这时候可以有几个办法,一个是克隆账户,二是抓取哈希破管理密码进入!
后来在C服务器里面发现了一些文档,恰恰有这个目标服务器上面的信息,于是连接数据库,备份搞定,收工!
作者:上帝之爱
来源 :Www.3hsg.Net
前言:话说,某日我高中时候的同学刚参加工作,跟网络有关的!
他们需要某网站的一套程序作为参考,而此程序网上不提供下载可能他们自己写的,
让我帮忙说事成之后,请我“啃得起”管够,日,最近日子不好过,冲着鸡肉卷我也得干了!
此网站粗略的看了下,安全做的还可以,无注射漏洞,无上传之类的低级漏洞!
而且同服务器上面就几个网站,一个目标站,phpwind7.5论坛之类的,其他的一两个站,还有一个企业站!
很快的拿下了那个企业站,我以为很快搞定呢!发现权限恨死,不支持aspx,支持php,
all user进不去,temp也是,注册表不可读,WS组件被删除,旁注是米有戏了!
于是乎,C段ARP!hscan扫描,发现基本都是用的Serv_U6.4,并扫到了几个ftp弱口令,然后登陆,同时找到网站,上传shell!
首先去看all user能否跳进去,是否能执行命令,注册表是否可读!发现有的权限都设置的有点死,日,几个SU提权都提不鸟,估计su默认都改了!
注册表asp aspx都不可读,只有一个支持aspx,其他的都不行,不过支持aspx的这个可以执行命令!2003的那玩意不行,被补了!
后来发现某盘里面有网站备份文件夹,于是下载,翻mssql数据库信息,找到两个mssql账号密码,用其中一个测试sa密码能连接上!
于是恢复存储过程,建立账户,终于进入了终端(A)!
同时saminside抓取哈希,以防万一!下载cain,进行嗅探,测试登录目标服务器ftp,未能嗅探到信息!fuck!防arp?
于是,用以前日黑狼时候某个带B开头的黑客教偶的方法,直接去日IDC,目标机器前后20个之内找IDC网站,
半天之后,成功找到了XX_IDC,继续旁注,费了半天劲拿下一个网站(汗一个),同上su提权不行鸟,估计是LocalSetupPassword,
且不支aspx,c:\windows\temp虽然能进去,也找到了Session记录,
但米有找到有用的记录信息!不过后来在bbs的目录里面翻到了mssql的账户信息!
于是mssql连接上去,列出了IDC的目录,log备份到IDC的目录里面一个shell,发现IDC是用的HZhost的程序,
找到incs\constr.asp,翻出hzhost的库,连接执行语句,把hzhost的后台用户admin找出来,md5破解进入后台!
进入后台之后,FTP主机, 数据库, 虚拟主机等地方翻了又翻,找到了那个目标网站!直接FTP上传,
fuck,好像密码不正确,无奈我准备修改其密码,但是一修改就好像返回出错信息!
于是,先把服务器日下再说,支持.net,传了个aspx的大妈,读取注册表hzhost的信息,
然后按照以前XXJ同学的文章,mssql连接那里SELECT * FROM [hstlst] 找到一个
用户记录下id ,然后UPDATE [hstlst] SET h_ftppss='加密串' WHERE h_ID=记录下的ID。
后台里面找到对应的,查看,发现老是出错,问了XXJ童鞋,他竟然说这个hzhost是盗版,我日!
这下郁闷了,可能前面一心想着hzhost后台还原,忘记了其他的东西,又列目录时候发现了radmin,
于是读取,然后用网上 那个vbs转换的,找出端口,用radmin哈希版本的登录,于是权限到手了!
终端端口改了,用radmin远程telnet执行TASKLIST /SVC ,找到DcomLaunch, TermService对应的PID,
然后netstat -anb 找到PID对应的端口,即是远程端口,成功进去!
既然是IDC的机器,不知道上面保存米有他们的其他的服务器等之类的信息,于是D盘新建一个1.txt
里面内容:
d:\*.txt
d:\*.doc
e:\*.txt
e:\*.doc
f:\*.txt
f:\*.doc
然后C:"\Program Files"\WinRAR\WinRAR.exe a -r "d:\down.rar" @1.txt
将他们所有盘里面的txt和doc打包,拖到web目录下载,可惜并米有找到其他的机器信息!
不过用这台机器的账号和密码社工进去了相邻着的一台机器(B)!
发现这台机器也有radmin,那么目标站的那台服务器呢?telnet下那台机器的端口,靠也有?
用IDC服务器和B服务器的radmin哈希均进不去!也翻了B服务器上面信息也未能找到有用的信息!
这下困死这里了,索性把IDC旗下的几台服务器一并拿下看看有米有重要信息可以利用,发现相邻的机器中
有一台(C)可以嗅探,于是操起cain嗅探了起来,第二天嗅探到了一个ftp,其他信息米有啥用,按照上面方法,
传了asp aspx马,发现均支持,于是读取radmin哈希,成功连接上去,可惜不能远程telnet ,估计是对cmd做了设置了。
于是我利用radmin把windows\system32\sethc.exe和windows\system32\dllcache\sethc.exe给替换,
终端连接,5下shift ,执行了下命令发现果然是做了设置,这时候可以有几个办法,一个是克隆账户,二是抓取哈希破管理密码进入!
后来在C服务器里面发现了一些文档,恰恰有这个目标服务器上面的信息,于是连接数据库,备份搞定,收工!
一炮双飞,岂不快哉
作者:上帝之爱
来源:Www.3hsg.Net
话说2009年底,已知大学时间不长的我,准备在最后的时间搞个国内某著名下载站A,当然此类的大战直接从主站入侵是很难的,只能找分站和二级域名去日,然后去搜集信息渗透主站。
可悲的是我搜索了所有的分站,只有一个分站A-1找到了注射点,windows机器(所有的分站以及主站都是windows服务器),mysql的数据库,由于是root的权限,我们可以抛开注射密码进后台(后台最后也木有找到,悲剧)由于GPC的原因,不能into outfile一个shell,于是只能去loadfile了,读出了mysql 的root密码,但是一般大家都知道很少有能外联的,这个也不例外。经过之前的踩点搜集信息知道这的站的主站分站都用的是某种ftp软件,类似于SU的,他的ftp口令都保存的配置文件里面,也是经过MD5加密的,于是成功读出,但可悲的密码是密码太复杂,破不出尿!
将搞到手的root密码和有可能的几种组合实验ftp密码,也不行,可能密码都是随机生成的,大小写+数字+符号。这时候咋办呢?连分站都搞不定如何去搞主站?陷于困惑之中,过了一两天清晰了思路,想起之前某位刷库大牛的经验,把它八辈祖宗都翻出来,不信日不动他!
由于他的全国各地的分站有一个是和某通讯公司B的各地分站的一个在一起的,我准备从后者的分站下手,由于之前日那一个分站A-1同服务器上B-1也日不动,决定日通讯公司其他分站,搜集信息,再日和下载站有联系的分站B-1。经过搜索确定了通讯公司在某省的分站B-2,从web上面翻了半天,找到了一个注射点JSP+ORA的,以前日站很少碰到jsp+ora的,于是手工猜了一会搞定后台账户密码,用之前T00LS内部的后台扫描工具扫到了后台,他娘的可能是限制的原因,我只要一登陆进去,立马无法显示网页,操,无奈放弃了!
刚开始我以为这个分站都是JSP+ORA的,谁知道后来发现了还有MSSQL的数据库,其他的点,但更郁闷的是后来发现数据库和web服务器不是同一个,我血崩了!后来忘记是皇子也不知道是XXB谁说利用xss,我那时候心急没有采取,因为分站这么多肯定有可以日到shell的!又经过几天的搜集发现B-2同C段内还有一些通信分站或者其他用途的站(后来搞到一个B-3服务器),那么这些站有联系,信息会不会有用呢?一个人分身乏术,看见静流个JJ在线让他帮忙下,他最后给我了个同段内的一个服务器,但是这个服务器上面的站点和B-2的分站没有联系,无奈下看看能不能arp?发现有两三个服务器可以arp,但是也貌似发现没有啥联系(后来发现大错特错,发现有B-3管理员在这三个其中一个服务器上开了个跟B-3有一点联系的什么管理系统的web,但是从反域名查询上面没有查询到),当时一看没有联系,本想放弃arp,但是不知道是老天帮忙还是?多余的开了cain一晚上!
第二天发现嗅探到了一些ftp密码和后台密码,习惯的去看了这些自认为没有用服务器上的一些站,发现了那个反域名查询不出来的管理系统的web,其中一个后台用户名密码和之前那个JSP的后台用户名密码都是一样的,难道这两个有联系???赶紧找嗅探的ftp密码,一个个的往上面实验,果然,让我成功进入了B-3的ftp。扔了一个shell,找了半天才找到位置,权限不是特别大,很无奈,只有一个mssql的用户密码,于是备份到启动项,过了好几天发现能够成功登陆上去了,把B-3服务器上面所有能够搜集起来的账户密码全部弄到了一起,一个个的往B-2上面砸,这会没有上次那么幸运了,一个也木有成功!但是却发现了B-3服务器上面一个规律:可能是为了便于管理,有好多数据库或者ftp用户名都是分站二级域名前面的部分+主站B的域名+web下一些内容的英文(例如婴儿的网站就是baby,女性的就是women),密码倒是没有发现什么规律。如果B-2的也是这样,那么我按照B-3的用户名和密码肯定不能成功了,于是打开B-2的web,把所有内容的英文全部记下来,按照B-3的用户名规律组合了下,重新用Hscan扫了下,果然有一个ftp密码能够进去。
花了一个多星期的时间终于没有白费,由于B-2上面支持jsp,服务器权限很顺利的拿到手了,抓了哈希,破了服务器密码,但是不能够登陆B-1,郁闷!这时候只能剩下搜集密码了,可是B-2上面好多ftp密码都搜集了下,发现其中有一个和A-1同服的B-1密码是一样的,但是破不开。我不得已之下,把他arp防火墙关闭了,继续开嗅探,只能靠人品帮助了,希望管理员大爷别发现!第一天没有发现嗅到那个一样的ftp密码,只有其他的两个,第二天还是没有,第三天倒是嗅探到了,但是B-2服务器权限却丢了,ftp密码也改了,估计是发现了,但是他却没有想到我的目的是B-1!成功登陆到B-1的ftp,权限还不错,可以浏览A-1的目录也可以上传shell,到此为止拿到了A-1的shell,顺便也拿到了B-1的shell,这倒不是本意!可惜一直没有办法提权,一直原地徘徊,直到放假,一直在没有机会碰!
由于社会的特性,某一事物与周边必然存在联系,当我们面对目标时候,倘若找不到漏洞,我们不妨把目标对准他身边的人,以此来攻击目标,这一例子在电影里面数不胜数!
作者:上帝之爱
来源:Www.3hsg.Net
话说2009年底,已知大学时间不长的我,准备在最后的时间搞个国内某著名下载站A,当然此类的大战直接从主站入侵是很难的,只能找分站和二级域名去日,然后去搜集信息渗透主站。
可悲的是我搜索了所有的分站,只有一个分站A-1找到了注射点,windows机器(所有的分站以及主站都是windows服务器),mysql的数据库,由于是root的权限,我们可以抛开注射密码进后台(后台最后也木有找到,悲剧)由于GPC的原因,不能into outfile一个shell,于是只能去loadfile了,读出了mysql 的root密码,但是一般大家都知道很少有能外联的,这个也不例外。经过之前的踩点搜集信息知道这的站的主站分站都用的是某种ftp软件,类似于SU的,他的ftp口令都保存的配置文件里面,也是经过MD5加密的,于是成功读出,但可悲的密码是密码太复杂,破不出尿!
将搞到手的root密码和有可能的几种组合实验ftp密码,也不行,可能密码都是随机生成的,大小写+数字+符号。这时候咋办呢?连分站都搞不定如何去搞主站?陷于困惑之中,过了一两天清晰了思路,想起之前某位刷库大牛的经验,把它八辈祖宗都翻出来,不信日不动他!
由于他的全国各地的分站有一个是和某通讯公司B的各地分站的一个在一起的,我准备从后者的分站下手,由于之前日那一个分站A-1同服务器上B-1也日不动,决定日通讯公司其他分站,搜集信息,再日和下载站有联系的分站B-1。经过搜索确定了通讯公司在某省的分站B-2,从web上面翻了半天,找到了一个注射点JSP+ORA的,以前日站很少碰到jsp+ora的,于是手工猜了一会搞定后台账户密码,用之前T00LS内部的后台扫描工具扫到了后台,他娘的可能是限制的原因,我只要一登陆进去,立马无法显示网页,操,无奈放弃了!
刚开始我以为这个分站都是JSP+ORA的,谁知道后来发现了还有MSSQL的数据库,其他的点,但更郁闷的是后来发现数据库和web服务器不是同一个,我血崩了!后来忘记是皇子也不知道是XXB谁说利用xss,我那时候心急没有采取,因为分站这么多肯定有可以日到shell的!又经过几天的搜集发现B-2同C段内还有一些通信分站或者其他用途的站(后来搞到一个B-3服务器),那么这些站有联系,信息会不会有用呢?一个人分身乏术,看见静流个JJ在线让他帮忙下,他最后给我了个同段内的一个服务器,但是这个服务器上面的站点和B-2的分站没有联系,无奈下看看能不能arp?发现有两三个服务器可以arp,但是也貌似发现没有啥联系(后来发现大错特错,发现有B-3管理员在这三个其中一个服务器上开了个跟B-3有一点联系的什么管理系统的web,但是从反域名查询上面没有查询到),当时一看没有联系,本想放弃arp,但是不知道是老天帮忙还是?多余的开了cain一晚上!
第二天发现嗅探到了一些ftp密码和后台密码,习惯的去看了这些自认为没有用服务器上的一些站,发现了那个反域名查询不出来的管理系统的web,其中一个后台用户名密码和之前那个JSP的后台用户名密码都是一样的,难道这两个有联系???赶紧找嗅探的ftp密码,一个个的往上面实验,果然,让我成功进入了B-3的ftp。扔了一个shell,找了半天才找到位置,权限不是特别大,很无奈,只有一个mssql的用户密码,于是备份到启动项,过了好几天发现能够成功登陆上去了,把B-3服务器上面所有能够搜集起来的账户密码全部弄到了一起,一个个的往B-2上面砸,这会没有上次那么幸运了,一个也木有成功!但是却发现了B-3服务器上面一个规律:可能是为了便于管理,有好多数据库或者ftp用户名都是分站二级域名前面的部分+主站B的域名+web下一些内容的英文(例如婴儿的网站就是baby,女性的就是women),密码倒是没有发现什么规律。如果B-2的也是这样,那么我按照B-3的用户名和密码肯定不能成功了,于是打开B-2的web,把所有内容的英文全部记下来,按照B-3的用户名规律组合了下,重新用Hscan扫了下,果然有一个ftp密码能够进去。
花了一个多星期的时间终于没有白费,由于B-2上面支持jsp,服务器权限很顺利的拿到手了,抓了哈希,破了服务器密码,但是不能够登陆B-1,郁闷!这时候只能剩下搜集密码了,可是B-2上面好多ftp密码都搜集了下,发现其中有一个和A-1同服的B-1密码是一样的,但是破不开。我不得已之下,把他arp防火墙关闭了,继续开嗅探,只能靠人品帮助了,希望管理员大爷别发现!第一天没有发现嗅到那个一样的ftp密码,只有其他的两个,第二天还是没有,第三天倒是嗅探到了,但是B-2服务器权限却丢了,ftp密码也改了,估计是发现了,但是他却没有想到我的目的是B-1!成功登陆到B-1的ftp,权限还不错,可以浏览A-1的目录也可以上传shell,到此为止拿到了A-1的shell,顺便也拿到了B-1的shell,这倒不是本意!可惜一直没有办法提权,一直原地徘徊,直到放假,一直在没有机会碰!
由于社会的特性,某一事物与周边必然存在联系,当我们面对目标时候,倘若找不到漏洞,我们不妨把目标对准他身边的人,以此来攻击目标,这一例子在电影里面数不胜数!