作者：hu1s4

最近准备做个教育资源站，就打算在网上买个空间，ok百度下吧看看哪个好点

最后准备去这个站注册www.xxxxx.com

西部万维，西部IDC行业领跑，以最值得信赖的信誉为您提供服务器托管、服务器租用、域名注册、服务器租用、VPS、独立IP虚拟主机等服务

淘宝—网银—支付宝—支付成功！！

嘻嘻 邮箱收信了、

嘿嘿…空间到手了，进入FTP传个大马，因为我购买的是全能型空间，所以直接上传asp php asp.net jsp四类大马

查看，哎，权限bt啊，

（如果权限不bt，难道想被万人骑啊 hoho~~~）

试试看.net马吧

貌似权限比ASP的要大 可跳转

在C:\Program Files 发现了360还有星外的主机管理系统

一、提权之旅

在网上看了很多的星外提权文章，大概可以分为：

星外sa注册表位置在这里可以翻到sa的密码 不过需要破解

HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11

C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 星外可写目录

还有一些就不列举了经过测试没有一个可行 ……峰回路转

正我郁闷的时候看到了Global.asa，激动的打开一看既然是sa用户

呵呵提权没问题了吧，不过却：

SQL Server 阻止了对组件 'xp_cmdshell' 的过程'sys.xp_cmdshell' 的访问

组件删除了，没关系我们恢复

dbcc addextendedproc ("sp_oacreate","odsole70.dll") 
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

恢复好了，执行下命令在创建用户加入管理，，OK搞定

远程连接的时候悲剧了既然限制了管理用户组的权限。哎

继续想其他办法，在网上看了一篇文章

知道星外的ftp是自带的，我们可以通过IIS配置来读取用户密码

打开aspx的IIS间谍功能，既然没有禁止，教大家一个禁止aspx查看IIS配置的方法

找到C:\WINDOWS\system32\activeds.tlb这个文件，取消users权限即可，别人就不能查看你的IIS了

大家看到上面的比较了红色的FREE….

Freehostrunat这个用户是安装星外时建立的后面的密码并不是什么加密方式其实就是明文密码

我们可以直接远程登陆,在内网的话就转发

好了，成功拿下服务器…. 继续渗透….

二、社会工程学

既然对方是IDC服务商，那么就不应该只有一台服务器，其他服务器基本就是ghost，首先先把管理员的密码破解出来，就是抓hash

我们导出sam和system两个文件，，放到我另外一台下载了彩虹表的服务器跑吧……

下载cain嗅探主站，配置好以后，就跟客服聊天去了，我随便找一个空间用户把DNS解析改掉，然后就跟客服说

我：你好，我的网站无法打开，能帮我看看嘛

客服：可以

我：我的用户名是XXXX

客服：您的域名IP解析错误

我：哦 难怪咯，那你可以帮我改下么

客服：可以

然后进入服务器看嗅到数据没有

成功嗅到，登录看看

看了下我们的HASH还没破处，等吧，教大家星外后台拿webshell

方法只有一个那就是通过代理用户，上传

从3.5b3起，允许代理/子代理上传图片,flash,htm到主控网站中，方便代理做更好的代理网站。

C:\FreeHostAgentPhoto目录，对于新安装的用户，这个目录会自动建立。这个目录的权限如下：

administrators 全部权限

system 全部权限

freehostwebrunat 全部权限

打开IIS，找到主控网站，建立一个虚拟目录。虚拟目录是agphoto，路径就是C:\FreeHostAgentPhoto，权限是读取权限，注意!!!!不能选任何其他权限。

请进入系统参数，

是否允许代理上传图片，选是，

图片保存目录,设为 C:\FreeHostAgentPhoto

提交后，代理进入代理区的模板管理，就可以进入图片上传管理中

服务器是IIS6.0的 我们通过解析漏洞成功搞定，

主控站的权限比较低，可能是管理员为了方便吧 通过sa成功提权

….在电脑找到QQ安装目录，查看管理员的QQ号码，然后搞个小号加上，搜集资料

经过不懈努力，收集信息如下

我们试试密码组合去 成功射进

接下来是新网………….

还有个新网代理，试了无数组合都没有组合出来，最后让我汗颜的是 密码和账号是一样的

还有这个星外的，不知道有什么用

在他的一个文件夹发现了魔兽，呼呼

好累啊，休息十分钟，继续 我筋疲力尽了

…………………………………………………………………………………………………………….吃饱喝足 开工日

等我休息好了 ，那边的hash也跑过来了

密码是westwww+west

不多说上图，并不是每台服务器的密码都是一样的，其中还有其他的组合