文章: 唐不狐
某日小弟正在肉鸡上sniffe,正巧赶上某淫在扫我肉鸡的sa弱口令。先做了个ipsec阻断了对方对我肉鸡的扫描。对方ip直接在嗅探器里得到了:61.19.***.***.查了下,是泰国人妖的。直接ie里面键入地址还有个站。
初步地揣测:该ip是某淫的肉鸡,用来扫别人的。
偶接下来很风骚地揣测,那个某淫是不是也这样扫扫sa弱口令就日下这鸟鸡鸡呢?于是telnet 61.19.***.*** 1433 嘿,端口开着。本地查询分析器里sa,口令空。竟然就这么风骚地连上去了。当时那个心情:堪比小乔初嫁。
接下来的故事就不那么舒坦了。利用xp_cmdshell提示XX.DLL不在。OA、job、尝试上传删除的dll、xp_regwrite、沙盘...满清十大酷刑都用上了,人家依然坚挺。
爆数据,可怜人家里面毛东西,列目录也失败。(插个经验:用咱blog上的伪造文件整出来的点pangolin检测不出来地,没有关键词,用NB即可。我想是判断的逻辑方式不一样)
sa日不下来都说是人品问题,俺那个伤心啊。接下来用s 扫了下1-10000的port开放情况,发现开有81在。于是ie里面http://61.19.***.***:81/ 打开看到个php页面,仔细看看还有phpinfo,于是得到web路径。
接下来就好办了。查询分析器里面log备份一个phpshell到web目录下,再写个大马上去就很爽地拿到webshell了。
执行net user的时候没反应,我还以为降权了呢。接着又试试ipconfig 有了。原来对net.exe,net1.exe做了手脚。记得邪八有兄台写了个现成的api加用户的工具adduser,顺利解决该问题。
接下来意气风发地连人家3389,用户名口令输入,进入加载界面,忽然弹出一错误窗口,小心肝咯噔一下差点没吃得消,仔细一读差点吐血:该系统需要激活!
当时那个恨啊!接着直接给它上了个马草草了事算了。几辈子没遇到这样地了。 |
安全中国首页 > 文章中心 > 入侵技术