看高手如何黑钓鱼网站
　　某天，我的qq滴滴滴的响了起来。&我被一个钓鱼网站骗了钱，可以帮帮我吗？&
又是一个被钓鱼网站诈骗了的兄弟，发挥下黑客的精神，就去看看吧！
对方把钓鱼的网站发了过来，/dcvail/JS066-21134.shtml呵呵，做的还挺不错的吗
5173的钓鱼站，做的不错，但是直接访问网站根目录/，返回的却是一个目录禁止显示的提示，访问/dcvail/，到来了个西安西拓电气有限公司，晕啊，看来这个钓鱼站还是用二级目录来做的，我真的佩服被骗了的朋友，这种技术的网站也会上当。废话少说，马上就来检测了这个站。
后台很容易就找到了/dcvail/admin/login.asp，默认的用户名密码都不起作用，而且后台没有一点信息可以利用，又绕了一圈，没有什么漏洞可以利用的，就放弃了直接入侵。
一个站无法直接下手就采用旁注。我找了N多个站，看到个CMS系统的内容站，连接都是动态的，也有防注入的功能，但是怎么都觉得用的不是什么很好的程序，往往漏洞就是用感觉出来的，(*^__^*)&。顺手后面加了个/admin，马上就提示我没有登陆，顺便把我转向了管理员的登陆页，登陆页右下角醒目的写着&LeadWit&WS&3.0(ACCESS免费版)&
虽然这种系统我一次没有用过，但是我可以百度么。很快，就在邪八找到了一篇帖子，关于该程序有一个注入漏洞，注入漏洞是adminChannel.asp文件有问题。这个文件在admin文件下的，下面给出adminChannel.asp部分代码看下
dim&ChannelID,AdminID
dim&rs,rsa
ChannelID&=&request(&ChannelID&)
AdminID&=&request(&AdminID&)
Set&rsa&=&LZ8.Execute(&Select&*&from&[&&&AdminTable&&&]&WHERE&id=&&&AdminID&&&&order&by&id&)
Set&rs&=&LZ8.Execute(&Select&*&from&[LZ8_Class]&WHERE&ChannelID=&&ChannelID&&&order&by&RootID,OrderID&)
if¬&rs.bof&and¬&rs.eof&then
do&while¬&rs.eof
两个变量都没有过滤呢~我们可以在URL后加上：/admin/adminChannel.asp?AdminID=1&ChannelID=1，可以直接注入。一不做二不休，马上构造了个注入的地址，放到啊D里跑了起来，当然提示存在注入点咯，不过，管理员表段怎么都猜解不出来，没事，去网上down了这个站程序，研究了下数据库，呵呵，管理员表段是LZ8_Admin，奇怪的表段，没事，在啊D里添加了这个LZ8_Admin，马上就跑出了4个管理员用户密码
人品不错，四个MD5加密的密码解出了一个，能登陆后台就成。
后台还没有仔细的转悠一圈，就发现了这个后台根本不堪一击，上传个改成了jpg的小马，通过数据库备份功能成功的获取了该站的shell。&
有很多朋友看到这里就会说了：那这个钓鱼站肯定就是通过这个站旁注拿下的吧！非也。我进入了webshell，权限很低，上传的aspx大马打不开，wscript.shell也为禁用的状态，转了一圈根本没有办法提权，只有宣布旁注失败。
目光继续回到了钓鱼站的后台，无聊的给它登陆页的admin目录后面加目录，都是些常用的目录，加了个upload回车返回的是&目录不能显示&，我马上来了精神，经验告诉我，在admin目录下的upload文件夹通常是由XX编辑器上传的文件。立刻在admin后面加了个ewebeditor，返回&无权查看&，那就是存在的意思了！要是ewebedit的登陆页面也没有删除就最好了！继续加admin_login.asp，哇~~通红的ewebedit登陆页面一下弹开在我的面前，有戏，默认的用户密码不起作用，好在可以下载数据库解破么！数据库的目录是db/ewebeditor.mdb，不错，数据库没有修改位置，顺利的获取加密的md5密码，cmd5解密也出来的密码jia717，[attach]1111[/attach]
登陆ewebedit，增加样式，加了个文件格式asa，上传小马，成功拿下！！！
对于这种网站，我的做法就是马上废了它，数据都给删除，一个不留，不过又想了下，数据是删除了，谁保证这些人没有备份，刚刚删除马上就又给恢复了怎么办，而且还把漏洞给修复上，那这么多工作不都白费的么？不行，咱们给它继续搞。
再次登陆webshell的时候已经是第二天了，怎么？我的webshell被删除了？一种不详的预感笼罩着我，这么快就被管理员发现了？？幸好我还有一个留在正常文件里的后门，要通过在asp文件后面加参数才可以显示，不过不幸的是这个后门也被删除了，这个管理员倒是挺厉害的嘛，可以发现我的后门，不知道漏洞修补了没有。
再次进去ewebedit，上传文件，这次运行马与以往不同了，显示：禁止运行ASP等活动脚本。晕咯，管理员还通过IIS对上传目录限制了运行啊，上传上去运行不了，麻烦事，无论怎么上传都是无效，昨天的战果就这样没有了么？？？不行，还要继续渗透。
昨天的入侵留下了好的习惯，把整站都打包下载了回来，现在渗透正好用的着。打开了数据库看了下/dcvail/admin/login.asp的登录密码，成功登陆进去，想不到这个里面也有数据库备份功能
测试了下，admin与这个备份功能定义的data文件夹是在同一个目录下，这就好办了，用ewebedit上传图片马，然后用这个后台备份功能转化webshell，我就这样传了个jpg的马，然后数据库备份功能转化了后缀，马成功生成了在/dcvail/admin/databackup/1.asp，访问，结果却还是显示禁止活动脚本运行，难道永远都不可以让马活起来么？***是否定的，限制活动脚本运行可以对指定的目录设置，但是对于一些新产生的目录就无能为力了，备份功能的备份目录就起了作用了，我定义一个新的文件夹名，相信新的文件夹肯定可以运行这样的活动脚本吧！不出所料，这次我使用了123文件夹为备份的目录，备份功能乖乖的新建立了一个123文件夹，把我的Jpg小马也转化成了asp，呵呵，二次渗透成功。&
顶一下(0) 踩一下(0)
热门标签：