灵巧旁注,入侵远程主机！

当一个IP只绑定一个域名的时候，我们能旁注吗？－－－－－－能！

这篇文章写了好久，图片弄没了，但是还是发出来给大家提供一个思路...

        事出有因,我找了一个海南本地站http://b2b365.meibu.com/dc/index.asp我决定再来玩它.我们来看一下它的网站,界面很整洁,并且是电脑销售商,这又让我洒了几把冷汗.首先ping一下,竟然响应IMCP,(这个年头,很少有这样ping得通的主机).在得到ip地址,然后放到X-scan上扫.

        这个时候,我的X-scan开始工作了,可惜什么也没扫到!我晕了,没有搞错吧?X-scan和流光闹革命?不过还是扫出了对方的系统版本IIS/5.0于是我准备好了webdavx3溢出,这个是IIS/5.0的默认杀手.用WebDAVScan.exe扫了一下,果真是Enable,有戏了,马上找到ISNO写的webdavx3.exe,格式是webdavx3-cn.exe IP,回车,没有出现预想中的结果.接着又在找另外版本的溢出thciisslame0.2.exe 格式thciisslame0.2.exe 网站域名 IP 端口,我填上thciisslame0.2.exe b2b365.meibu.com 59.50.147.241 31337 回车后结果又让人失望.这个时候,偶上网的时间到了,MD,只好回去.....

        尝试注射，不行,上传但是没漏洞,用nc提交也不行.......这个时候,偶感觉在脚本方面应该没有多大的进展,所以又接着从服务器下手!为了对主机有更详细的信息,我又用nmap扫描一下主机,感觉这个1433有点刺眼,所以来了个sqlhell溢出,不幸又来了,失败.........溢出的成功率很低,我开始放弃,决定从网站下手!逛了几圈网站,看到几个参数传递的url,随手点了个单引号,网站正常返回.果真是没有注入.难道就是传说中的人品问题?人品问题也好,我就来旁注看一下,用明小子查询,结果是"该IP地址上没有绑定任何域名",.哈哈,我的人格也出了问题!

        在网站上溜达,突然发现了一个链接.访问一下,再看到它的url,是http://b2b365.meibu.com/***/index.asp...这下我多了一个心眼,我就想,怎么回事?一个域名上面有两个不同的站点?到这里我估计,这两个站点都是在同一级目录,然后把它们都指向http://b2b365.meibu.com这个域名.现在是另一种旁注的可能性正在我的脑子中诞生.一般我们说的旁注,就是一个独立IP上面绑定多个域名,那么我这里的情况就是,一个域名同时有多个根目录指向,每一个根目录都是独立的一个站点,例如http://b2b365.meibu.com/admin/是一个站点;http://b2b365.meibu.com/system/也是一个站点!这样,也就是另类的旁注!那如何找到绑定在上面的网站呢?用明小子肯定是不行的!我开始思考着,哈,我就想到了google!利用google来找我们想到的东西,也就成了google hacking........

        话又说回来,关键字应该怎么定?要找出http://b2b365.meibu.com/这个域名里面的所有站点,它们必须有相同的特征才行!或者它们的信息保存在某一个"老大"级的文件里.自然,我想到了conn.asp这个文件!所以关键字就定为"inurl:conn.asp site:b2b365.meibu.com",一敲键盘,所有绑在上面的站点全部暴露出来.看,有1140个结果,那么多,还怕没有一个是有漏洞的吗?

        成功已经有50%了,我就拿http://b2b365.meibu.com/womai/这个来开刀!幸运的是,它有注入,很顺利得到管理员密码和用户,接着找后台.明小子吃了哑炮,后台找不到,我又利用google企图找出来,不过结果是让人失望的.没办法,到外面逛了几下,突然觉得http://b2b365.meibu.com/womai/cprodshow.asp?ProdId=9101这个url很有意思,我就把第二杠换成%5c,怀着一线希望回车,哇,两眼一两,暴出了数据库的路径,.并且是asp后缀的,这下我信心十足,觉得拿下它只是时间上的问题了!到网站上面注册个用户,在"个性签名"那么填上一句话木马,再访问数据库,一句话木马已经成功寄身.接下来轻车熟路,用客户端提交,返回一个webshell.到里面去逛了几圈,发现权限设置一团糟,所有的目录都可以浏览,并且有写,和运行程序的权限,我运行NC并且绑定一个cmd.exe,然后telnet,得到一个正向连接cmdshell,我又上传了鸽子,直接运行,谁知道运行到一半,浏览器就无缘无故发生错误.我可以确定鸽子只运行到了一半,因为我要删除的时候提示拒绝访问,不用说,那就是windows的特性,运行中的程序是受系统保护!  

        服务器已经提权成功,(或者说,服务器本身就存在漏洞,不用提)上面的站点要拿下已经没有悬念,当初的目的,要拿http://b2b365.meibu.com/dc/index.asp也就易如反掌~!