论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 1599阅读
  • 2回复

[求助-网络问题]一次很特别的入侵日志 [复制链接]

上一主题 下一主题
离线惊鸿一剑
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-08-08 22:01:28
mshack

觊觎一个网站很久了(人家模板设计得很漂亮)。

但这个站点,只是一个phpwind7.32,没有什么漏洞可以利用。管理员是某主机托管商的技术人员,经过尝试,社工失败。

经过其他大牛提醒,决定采用旁注的方法。

扫描了n多遍,同一服务器上的网站都没有什么漏洞。后来,逼急了,把大家常用的大马、小马的名字(比如 diy.asp  help.asp  webshell.asp phpspy.php之类的)都放上去一起扫
...........

结果,很意外发现人家之前的大牛留下来的一个webshell,庆幸还知道密码(默认密码没有修改啊)。

现在的情况如下

1、webshell放的位置为 D:\root\zawn\webshell.asp  但这个目录和其所有下级目录都没有上传权限。奇怪的是可以新建一个文件,但文件大小似乎有限制,一句话木马可以上,大马上不了。

2、我想下载E:\mysql\data\zaxn\user.myd 这个文件有15M左右,一点下载,就提示无法打开。user.frm和user.myi可以下载。
但在相同位置的 adminlog.myd 3M 左右,可以下载

3、我尝试把 E:\mysql\data\zaxn\user.myd  复制到 D:\root\zawn\xxx.jpg 没有成功。

4、系统无法运行cmd命令。c:\windows有只读权限

我一直在纳闷,这种情况,怎么才能把这个大文件下载下来啊?

在webshell底下的任何目录,上传文件,都没有显示(没有权限?)

但我又可以修改其他文件........

而且,建立一句话木马,没有问题。

后来打算传一个比一句话木马,略微大一点的马,可以写文件的那种上去,结果成功。

用这个写文件的马,继续上传大马?

这个时候发现一个很重要的错误了:asp 那里显示一个错误,baidu一下,发现这个错误是由于空间不足引起的。

于是,找到上传目录,删除了几个无用的文件。

上传aspx 大马

后发现直接点击要下载的数据库文件,还是无用。aspx大马提示文件在使用中。

于是采用把文件复制到 f:\ewewwe的目录的方法,解决问题。

(MYSQL支持支持复制)

如此拿下一个觊觎已久的网站,觉得很好笑。
1条评分
quen2008 电魂 +3 闪电联盟因你而精彩! 2009-08-09
离线quen2008
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 沙发  发表于: 2009-08-09 00:02:08
方法是要一个个尝试的
离线xuhang120814
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 板凳  发表于: 2009-08-09 12:53:09
果然很好笑!阴谋啊!