艰难日下QQ上骗子的网站

blackfish

  上次劫持了90后黑客基地，挂了他首页几天都没反应，于是找站长QQ加。没想到加到了另外一个人，虽说看资料就知道是骗子，不过当时他还没办网站，把他忽略了。
   前几天再看他资料，这货居然搞起网站来了。手痒给他检测下安全。
   
      放到御剑里看了下，80几个网站，拿下同服shell应该不难，就看能不能提权了。
   
      结果很顺利，某个网站默认后台默认密码，还有数据库备份。
   
    服务器有安全狗，包含以下就可以了，拿到shell首先看组建。。
    Wscript.shell    X    不能执行命令
   
    也不支持aspx?扫描下端口找突破点吧。
   
   端口全部是开的，因为我拿下的网站是asp的,没有root ,SA  所以我首选Serv-U提权。
Serv-U路径不是默认的，但是在 {开始 菜单}\程序中有Serv-U快捷方式。
   
     下载下来打开发现Serv-U原来在D盘，这里提示一个小技巧，360浏览器下载了是打不开的，IE正常。
   
    Serv-U目录可读。发现Serv-U时10.0版本的，于是丢上去一个提权脚本SU.asp赋予C盘一个system权限的用户。
由于在ftp里执行命令看不到回显，我不知道怎么查看端口，于是传了批处理添加账号发现3389连不上， 我又把他远程连接端口改回了3389，发现安全狗阻止我连接，结果执行杀狗神器后服务器就直接死了。
管理员打开服务器后我又执行了一次接着服务器又死了。。
过了几天我已经不敢再执行杀狗神器了，依然FTP连进去，这个system权限的FTP用户能做什么呢，我在C盘根目录都有权限，无意中进去安全狗的目录，把里面的文件乱删了许多，发现DLL格式和exe格式都是删不掉的。但是其它格式的文件我删了不少。
这就不截图了，我是IE8，当时是在服务器上操作的。后来就发现可以连进去了，不知道是前几天执行了杀狗神器，还是我删了安全狗配置文件的效果。
删除安全狗配置文件前 我可是各种办法都试过了，因为没有免杀的远控，连接不上3389 浪费了我很长时间。。
连接进去后就很简单了，我发现我添加的账号登陆不进去，于是搞了一个shift后门，然后执行taskmgr

我擦，真恶心。这服务器网站用户就够多了，我也懒得抓密码了。直接把他密码改了。
最后挂上骗子网站的主页:     www.148ka.com



艰难日下QQ上骗子的网站.doc (441.5 KB, 下载次数: 25)

2013-2-4 15:50 上传

点击文件名下载附件

90_

建议楼主做成word格式传上来。

xsxq123

希望能做详细一点让我们新手看的更能看懂

show05123

思路还是不错的,感谢楼主分享

hujintaoxs

非常谢谢楼主，很好的思路