本次入侵过程由空虚浪子心和网路游侠合作完成,文章也是两个人的角度写的,希望大家喜欢这种方式。^_^
网路游侠
学校一位朋友租用了一台服务器,做WEB服务器,大款啊……
某日,本人无所事事,于是准备看看朋友服务器的安全性如何。我知道他的服务器上除了自己公开的网站之外,还放了几个正在建设中的站点。
敲上一个他新买的域名地址,发现网站也是新做的,并且非常漂亮。于是就想down一个看看。当然代码">程序我是有的,但是版本比较老,其实直接向朋友要也没有问题,但是本着“自己动手,丰衣足食”的指导思想,再想想咱们“所谓Hacker”的精神,还是自己拿吧,顺便把这次的测试结果告诉朋友,也算是补偿。呵呵
首先下载桂林老兵的“虚拟主机站点查询工具”,看到主机上放着如下几个网站:
依次打开网站看有无漏洞,有如下总结:
1、两个新手从网上下载的整站代码">程序没有修改默认用户名和密码admin,但是这两套代码">程序的admin也只能添加文章、软件,没有更多的权限,无法利用。
2、主要的代码">程序经过手工探测和NBSIv2的测试,确认没有SQLInjection漏洞,这样子就无法拿到一些帐号可以上传等的权限。
陷入僵局中。
空虚浪子心
网站以前曾经进去过,所以如果他没有修改服务器名称并且修改物理路径的话^_^——我现在知道站点的物理路径,以及他的机器名。既然上次进去过,也许有缘,就再来一次吧!
还是要刺探信息。网站论坛的目录是www.xxxxx.com/bbs,还有/bs,/bbs1,这两个是我事先知道的,因为他刚装了yuzi,怕不能正常运行,所以留下了一个动网/bbs1(已经打了补丁,后门也不在),/bs一直是站点维护并不使用着,看起来站长不打算用它。
先看看他的权限吧,随便找了个比较简单的站进去webshell,发现权限设置还比较严格,不能浏览其他盘.(什么?问我怎么进去的?是我疏忽——DVBBS6数据库默认,下载之后暴力破解密码,然后在后台更改注册信息,随便写个东东进去——剩下不用我废话吧?)现在是要进一步通过这个webshell得到一些信息。推荐砍客联盟的asp木马,很牛的!(图二)这台计算机的进程表就出来了看看他都运行什么服务
gramFiles\Symantec\pcAnywhere\awhost32.exe是pcanywhere的进程
gramFiles\Symantec_Client_Security\SymantecAntiVirus\Rtvscan.exe这是SymantecAntiVirus杀毒软件
Serv-U--Serv-UFTP服务器--2gramFiles\Serv-U\ServUDaemon.exe
SQLSERVERAGENT--SQLSERVERAGENT--3OGRA~1\MICROS~1\MSSQL\binn\sqlagent.exe
W3SVC--WorldWideWebPublishingService--2WINNT\System32\inetsrv\inetinfo.exe
MySql--MySql--2mysql/bin/mysqld-nt.exe
别的信息没什么用,现在要想得到系统高速下载站(绿色软件资源站)">系统控制权,还是从MSSQL入手,x-scan扫描了一下,没有弱口令。陷入僵局,打算另找途径。
网路游侠
X-Scan的扫描结果非常要人郁闷——MySQL的口令是空哦!典型的默认安装!(后来我问管理服务器的朋友,他说有密码,看来他是把MySQLAdmin的密码当成MySQL的密码了)。既然得到这些,就可以用牛族的SMysql-v1.7连接了。
郁闷,天不早了,准备睡觉,明天还要忙呢!
空虚浪子心
用牛族的东东,必须要得到web物理路径才行。这就有点麻烦,上次得到站点路径在d:\wwwroot\下,但是这次我又找的站点却在g:\user\*****下,这可不好分析了,那么我们要的站点到底在哪个目录下呢?那个站点只有一个bbs,站点域名是一排数字,仍然不敢断定站点路径。
又到处看着站点,翻了一段时间,突然在浏览它的站点时发现"感谢**网站提供托管主机服务!"这下,全明白了!这个站长,除了自己的站点之外,还把别人站放上去自己赚钱!那么d:\是他自己的站点,而g:\user\就是来找他要空间的站点了,也就是说可以确定,我要的东东就在g:\user\*****下(请注意,这个*****,可不代表上面的都一样),我再看一下得到的讯息,又提取出来这些。
我已经入侵的站点从webshell的讯息:
--------------------------------------------------------
机器名***R2MQGH帐号CUS_X***WEB路径G:\user\xi***\
用cmdshell得到用户(虽然不能添加,但是可以查看)
AdministratorASPNETCUS_***
CUS_****CUS_*****CUS_**gi
CUS_changanCUS_cra**CUS_**hudie
CUS_fen**CUS_he**CUS_ima**
CUS_LB**CUS_lc**CUS_L**
CUS_Ltgm**CUS_mailCus_p**
CUS_Qun**CUS_s**CUS_s**
CUS_us**CUS_Xi***
--------------------------------------------------------
可以推断:不管是哪一个站点,用户都是CUS_开头之后是他的申请时候用户名比如CUS_changan里面并没有数字的站(我要的代码">程序就是数字域名),但是他的名称却是“长安***”,所以,这个CUS_changan就是我要的!根据他的习惯G:\user\xi***\,推断我要得路径就是G:\user\changan\
既然得到路径,我就顺便把使用牛族的教程+牛族的SMysql-v1.7过程大略说一下:
----------------------------------------引用牛族教程附加修改
得到密码后,用牛族SuperMysql连接器V1.7连上去,接着输入:
usemysql;
进入mysql这个数据库
createtableshuangfeng(cmdTEXT)
选择在名叫mysql的库中建一个名叫shuangfeng的表,这个表只有一个字段名叫cmd,数据类型为TEXT
insertintoshuangfengvalues("
就是在shuangfeng的表里写入
相信明眼人一看就知道,冰狐浪子,一句话,而且还不用过滤什么"号
select*fromshuangfengintooutfile"g:\\user\\changan\\kxlzx.asp"
很明显,是把表中的内容输出到g:\user\changan\kxlzx.asp
-------------------------------------------引用结束
查看果然有了kxlzx.asp,成功!赶快用其他数据库连接器连接,把那个表删除。我就不抓图了。关键是后面。
现在已经差不多了!在告诉网路游侠的同时,我也上传了方便一点的木马。但是用webshell下载这东东不方便。的确,要想得到方便的传输,最好是放个radmin上去,或者开3389,因为3389动作太大,我还是想用radmin.这就要得到系统高速下载站(绿色软件资源站)">系统控制权,而上传文件可以用webshell,不是问题。要想用MySQL得到权限,我还没找到相应办法,不过既然拿到了这个webshell,可以利用的,前面已经说了,它MSSQL数据库。(图三)
找到了数据库连接文件Password=sa1;"&"PersistSecurityInfo=True;User服务端。然后移动到c:\winnt\system32下,执行。
再一看!端口4899打开!连接后找到了我说的g:\user\目录!(图5)
好的,这下入侵才算完毕了!
网路游侠PS
在入侵的的过程中,空虚浪子心发现了SQLServer密码之后,我在本地装了一个SQLServer,连接上了远程的SQL数据库,用查询分析器测试:
xp_cmdshell"dirc:\"”
显示初了C盘根目录下面的文件!呵呵,接下来可以用他执行一些命令了,别忘了,sa的权限可是system的哦!写木马、拷文件……都不在话下!
当然,这些以前的文章都写过了,不再多说了,要不土豆编辑就说我和空虚浪子心联合骗稿费了!呵呵