突破护卫神利用for读取账号密码

这是第一次入侵然后+iis6溢出提权就搞定目标站了。但是这次又需要目标站权限,之前的权限都掉了。重新在来弄。
1.星外服务器,各站只支持相应的脚本。比如asp就支持asp。。。aspx和php可以显示。但是直接显示明文。aspx的站也一样,上传asp脚本直接显示明文。
2.升级后的护卫神,在fckeditor突破的那个图片aspx一句话已经利用不了。
3.一流监控。有图有真相。

过程:
传了上次的那个图片aspx的一句话,可以上传。但是上传之后就变成了。x.aspx.log 要是加上; 就会过滤;变成日期+hwf

我的aspx图片的图片一句话没有被一流监控拦截,但是被护卫神判断成木马拦截了。
弄了半天想到了突破蛋疼的护卫神
把aspx图片一句话改成jpg格式。但是一上传 。又变成了。2.jpg.log  。我去
百度查了一下,貌似能上传的东东,改成html或htm不被查杀。直接改成3.html。上传。小激动一下,上传成功,没被检测出来。

然后上传了一个f.aspx内容为 <!–#include file=”3.html”–>   成功。测试看看。

直接菜刀连接,当时提权的时候就知道,可读写目录C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
星外么,还好还可以用。本来准备直接提权的。但是iis6溢出已经不行了,出现Can not find wmiprvse.exe。。这个貌似可以突破。我没成功过。
其他的溢出都测试了一遍,没成功。星外利用工具,没成功。列iis信息,不让上传vbs,一上传就被杀。把vbs转换成exe。exe直接上传不了。
mysql和s-u的目录都没权限。最后想到了利用for来看看。目标站是用的是 DZ 2.5。先看看可不可以列。for /d %i in (d:\wwwroot*) do @echo %i

然后去爆dz 2.5的路径。

uc_server/control/admin/db.php
source/plugin/myrepeats/table/table_myrepeats.php
install/include/install_lang.php
接着利用for for /d %i in (D:\wwwroot\xxxx\web*) do @echo %i

bbs是dz2.5先不看。看到根目录下有个一串的东东。先看看。

帝国备份王。嘎嘎,有搞头。先显示这个文件下的所有文件。for /r D:\wwwroot\xxx\web\xxx %i in (*) do @echo %i
然后复制帝国下的 classconfig.php 到一个可写目录。。星外的C:\7i24.com\iissafe\logsys目录可写。利用
type D:\wwwroot\xxx\web\xxx\class\config.php echo >>C:\7i24.com\iissafe\logsys1.php

9.jpg
成功!!!!

 

破解md5登录吧。帝国备份王拿shell就不献丑了。最后用过护卫神的一句话就ok了。。。


结尾:
没了……

更多突破护卫神的思路可以参考《护卫神绕过总结》《对护卫神防火墙的分析》《突破护卫神之见招拆招

原文地址:http://www.sh1ft2b.com/archives/17

作者:1_Two 由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。