******防線之旅
前幾天,我對***防線網站進行了一次***測試。下面我談下具體過程,由於當時抓圖較少,而且弄丟了,下面帖圖較少,不過文章淺顯易懂,HOHO!
黑防的網站主要由兩部分組成,即新聞系統和論壇。新聞系統被改造得看不出是什麼系統,打開一個文章鏈接,提交單引號。返回“我就這樣在痛苦和現實的邊緣沉淪----------BY臭要飯的!”很明顯,臭要飯的和***防線的關係不一般,他幫忙檢測了腳本安全!因爲要飯的比較牛,這個新聞系統應該不存在什麼問題。再看論壇,是動網7.0sp2的。這個論壇一些常見的漏洞都補了,最近動網又出了不少新漏洞,但利用起來要有斑竹或前臺管理員權限,我在論壇什麼也不是,這樣也沒什麼希望了。
早就聽說黑防用的是自己的服務器,但這並不表明服務器上就放一個網站,也就是綁定一個域名。我就把旁註工具搬出來查詢,發現上面又四個域名。再逐個檢測這幾個網站,這幾個網站都比較垃圾,其中有一個特別垃圾的。這個網站是一個新聞系統,存在注入漏洞,我就把目標對準它了,可惜用nbsi注入的時候猜不出表名。這個時候我可以根據網站的一些特徵到網上去搜索,找出這是什麼系統,搞清楚數據表結構。但是我比較懶,找到它的後臺,就是http://xxx.com/admin/login.asp了,憑經驗就知道這個登陸的地方存在漏洞。我直接來個帳號:'or'='or',密碼:'or'='or',果然直接進了後臺。接着找到備份數據庫的地方。上傳***圖片,備份數據庫,好幾個目錄都沒有寫權限,好不容易找了目錄可寫可執行。就這樣輕鬆得到webshell.
上去一看,win2000的系統,sp4的補丁,什麼盤都能進,可以執行命令。先不管,把所有得數據庫down下來,
再把一些好玩的有用的全部down下來。***防線的站就在D:wwwrootweb目錄下面,沒有寫權限。再netstart看一下關鍵服務,
開了終端服務,massql,ftp(不過不是serv-u). 再仔細看下,沒有什麼殺毒軟件,也沒什麼防火牆。不支持php,我嘗試連
接ftp和3389發現不能連接。這就是黑防服務器的大致環境了,現在我得提升權限。
可能有人說用asp.dll來提升asp***的權限,實際上這種方法很多人研究過,這種方法只適合得到系統權限喉再提升asp***
的權限,我嗎asp***是以iis來賓的guest權限來運行的,沒有執行adsutil.vbs的權限。可能也有人說c:Documents and Settings
All Users「開始」菜單程序啓動"寫入bat,vbs等***,這個目錄我們默認只有讀權限,沒有寫權限。甚至可能有人說
再某個盤的根目錄寫autorun.inf文件,等待管理員打開這個盤的時候運行我們的***。關於這種方法我可是一次也沒有
成功過,只有在特定的環境下才能成功的。那怎麼提升權限呢?看一下C:winntsysytem32目錄可以寫,於是想到了最後的
也是唯一的方法——替換服務。
我請好朋友kyo(希望黑防不要懷恨在心)幫忙一起搞,kyo二話沒說就是上去了。kyo說只要我能讓服務器重啓他能得到系統權限。大家都知道替換服務得重新啓動機器纔有效。可能許多人都再重啓機器方面感到很吃力,連ddos這些方法都想到了。實際上大多數情況下我們
可以用一種很簡單的辦法達到目的。還記得那個開3389的3389.exe麼?它有個參數。0表示重啓,1表示不重啓。我把這個3389.exe傳到
c:winntsystem32inetsrvdata這個目錄,這裏一般是erveryone 完全控制的。我就在webshell的cmd哪裏執行c:winntsystem32inetsrvdata3389.exe 0,機器馬上重啓了,網站馬上出現DNS錯誤打不開(這裏比較簡單,地球人都會,就不截圖了)
。過了兩分鐘後,網站又能打開了。這個小工具就有這個好處,執行不需要很高的權限,用來重啓機器效果特別好。
可惜kyo把他專用的反向連接的後門替換了一個系統服務對應的程序,然後用上面的方法重啓。可惜後門沒有連到他哪裏。關於替換服務,實際上是運用了windows的一個特點,對於正在運行的程序,我們不可以將它刪除,也不能覆蓋,但是可以改名。比如系統裏面有個服務對應
的是C:winntsysytem321.exe,我們可以把它重命名爲2.exe,我們再把我們的後門改名爲1.exe,放在C:winntsysytem32下面。這樣只要
我們讓機器重啓了,系統就會自動運行我們的1.exe,也就是我們的***了。還有,我們用asp***的時候要注意,海洋頂端***2005版和2006版是不一樣的,2006會直接把1.exe改名爲2.exe,但是2005版改名爲2.exe之後,原來的1.exe還會存在,二者之間有明顯的區別。替換服務應該
找那種不是很重要的而且啓動方式爲自動的服務,不能把系統關鍵服務替換了,否則可能導致意想不到的後果。kyo失敗後,我不服,先把我的
一鍵安裝的radmin傳上去,替換了一個服務對應的程序,重啓之後看到admin的2046端口開了,但是連不上。我再把一個反向連接的使用80端口
的***Flux來替換。結果半天也沒連到我這邊來。看見lcx大哥上線了,我問他有什麼獨特的辦法,lcx把他的hackdf(夠狠吧!)搞上去替換服務。我意識到有問題,絕對是搞了安全策略的。而且kyo在webshell裏面ping www.163.com,居然ping不通.我想到了只有防火牆有這功能,禁止本機ping外部,以前還聽說黑防服務器有硬件防火牆,還有IDS,不過感覺不大可能。(後來才知道是一個不怎麼出名但是很厲害的軟件防火牆,因爲以前沒見過,叫什麼名字我也忘了所以開始我net start看它服務的時候沒有識別出來。)一下午黑防的機器因爲我們重啓了不知道多少次,可惜還沒搞定。時候也不早了,而且我當時還是在網吧做事,諸多不便。我就先下線了,整理下思路再搞。
防火牆禁止連接外部所有端口,而只允許外部訪問它的80端口。看來要搞定先得突破防火牆,實際上也不難。我可以把防火牆服務對應的可執行文件替換了就行了。或者寫個vbs,這個vbs把iis_xxx這個帳號加到管理員組。我可以把這個vbs做成自解壓文件,後綴就是exe了,替換我開始替換的服務。這樣webshell的權限就大了,就可以爲所欲爲了。
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net localgroup administrators iis_xxx /add",0
注意想好了,感覺相當有信心搞定黑防的服務器。
第二天,我早早的爬上網,馬上打開黑防得網站,沒想到居然打不開。我再試很多此,都一樣。我馬上去問kyo,kyo說他把防火牆服務給
替換了,重啓後就這樣了。看樣子機器並沒有重啓,而是關機了。這種結果是我沒有想到的,這下我就沒辦法了,出現了意外。只有等待他們
機器開機,我好趁機得手。沒辦法,只有等了。
下午我又上網,***防線網站打不開。晚上我照樣上網,網站還是打不開。第二天了,網站一天都打不開......
又一天了,我上網了,心想如果還打不開的話,那我真沒話說了。這次沒有讓我失望,正常打開了。可是我們得webshell都被刪除了,連
我們開始入手得垃圾網站也被補了不少漏洞(注入漏洞依然存在).我感到該結束了,黑防網站命不該絕,註定要成功得時候功敗垂成。本來我可以繼續***,不是還有幾個網站麼,還有那個開始着手得垃圾網站漏洞還有很多的。但是我已經沒有那份心情了,已經知道了黑防的服務器上面沒什麼好東西,再搞定了也沒多少快感。
上面不是提到mssql麼?其實***的第一天我就進行了探測。我把他文章系統的數據庫down下來後,打開數據庫就看到了所有的密碼帳號。 如圖1. 至於mssql,我找了半天才發現只有黑防的論壇用的是msql數據庫。我看下連接文件conn.asp,connStr="FILE NAME=E:wwwrootdatehkbbshkdh0616.udl"把那個udl文件down下來之後,雙擊打開,看到了數據庫連接地址,用戶名,連接密碼是用星號顯示的,下載一個星號密碼查看器,就看到了明文密碼(不是sa權限)。如圖2 我就在webshell的數據庫操作那裏,把密碼帳號什麼的都填上,直接查看數據庫的admin表就看到了所有的管理員帳號密碼,有好幾個呢。因爲是md5加密的,幾個密碼當中應該至少有一個弱一點的口令吧,不過我懶得去暴力破解。我就查看它的DV_log表,這裏是記錄論壇日誌的地方,希望在這看到帳號密碼,可是因爲黑防的人好久沒有登陸後臺了,我查了半天也只查到一些垃圾信息。
***告一段落,後來我到一個qq羣灌水,一個網名叫地主的朋友告訴我,其實他早就得到了webshell,只是沒有系統權限。但是他還通過內網arp嗅探的辦法得到了黑防的ftp帳號密碼。這令我吃驚不小,大家都看過xiaolu很早就寫的一篇文章《***防線——來自主機外部的危險》。這篇文章講的主要就是arp嗅探,本來我相信黑防已經有了防護措施,沒想到他仍然得手了。得到ftp密碼了因爲防火牆肯定登陸不上,不過在它內網裏面應該可以。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
許多天後,也就是國慶節前的某一天吧,我想到網吧那飛快的網度,於是又到網吧上網。習慣性地到各大網站轉了一遍之後,有開始檢測黑防的安全。當我打開撾上面提到地那個撾開始着手***地那個垃圾網站地時候,它依然以一大堆漏洞出現再我面前,不知道怎麼搞的,不是補了麼?既然這樣,我就先得到一個webshell。得到這個webshell,我可是吃了不少把頭,黑防機器居然有了一個比較厲害地殺毒軟件。我吧各種asp馬傳上去都被殺,我又把一句話asp***傳上去,也被殺。我只好搞點大小寫轉換,改爲居然不被殺。我接着找大馬,找了幾個都不怎麼理想。最後我把海洋頂端***做成cs模式,這下好了,不被殺,功能一樣強大。通過海洋2006***一看,發現居然黑防重裝系統了,這次是windows2003的。而且這次又以下特點:
1.目錄設置比上次更嚴格,D盤不可瀏覽,網站放在E:wwwrootweb下面,我開始跳到E:wwwroot失敗,跳到E:wwwrootweb下面成功,依然 不可寫,這就是黑防官方網站根目錄了。
2.裝了殺毒軟件,很厲害,再網吧做事,很匆忙,沒仔細看。估計是諾頓,因爲我的radmin都被它殺了,據我所知,目前只有諾頓殺radmin。
3.cmd命令不能用,wscript,也用不了,傳cmd也傳不上去。
4.防火牆依然很bt,我發現還多了windows自帶的防火牆,ipsec服務開着。(用海洋***看服務失敗,我是用好夢的方法看的).
和上次做了比較之後,感覺更有難度了,而且window2003本來就比windows2000安全。我冷靜下來繼續刺探情況。沒相哦阿這次和上次有點不一樣,註定黑防當有此劫。我居然看到黑防論壇conn.asp裏面連接帳號是sa,開始我還以爲自己看錯了。
Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName
SqlDatabaseName = "hacker_master"
SqlPassword = "pass_word"
SqlUsername = "sa"
SqlLocalName = "127.0.0.1"
ConnStr = "Provider = Sqloledb; User ID = " & SqlUsername & "; Password = " & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source = " & SqlLocalName & ";"
有了sa,就好辦多了。我想了一下,要進它機器還搞定防火牆,再配上免殺反彈***。可是我的免殺***再宿舍電腦裏,沒帶上,而且沒有外網ip,我看我還是算了,給它網站點提醒就ok了。再webshell的數據庫操作裏面把帳號,密碼,數據庫名,地址都填上。再exec master.dbo xp_cmdshell 'net localgroup administrators iis_xxx /add >E:wwwrootxxxmanage1.txt'.這樣做是爲了把iis來賓帳號提高,webshell就是administrator權限了。可是執行完了,發現權限沒有變,估計這裏來賓帳號不是iis_xxx。不管了,exec master.dboxp_cmdshell 'cacls d: /E /T /G everyone:F >E:wwwrootxxxmanage1.txt',到E:wwwrootxxxmanage下面查看回顯1.txt,發現執行成功。依次執行這樣就把C,D,E盤設爲everyone完全控制了。我再進E:wwwrootweb,index.htm刪除失敗,我就把它重命名,再在本地設計一個比較好看的網頁,傳上去後,打開http://www.hacker.com.cn,就發現被我塗了,算是提醒吧!如圖3 過了段時間後我再執行exec master.dbo xp_cmdshell‘netstat -an >E:wwwrootxxxmanage1.txt’,查看1.txt,發現3389端口與一個ip的某個端口established.不用想就知道是wtf通過3389維護服務器了。至於後來呢?後來的事就不說了...... ***到這裏徹底結束了,從這個過程中,大家可以看出黑防服務器的安全是很不到位的。如果換上一個比較狠毒的人,恐怕不只是網站被黑這麼簡單。黑防的雜誌,網站上面總是醒目的寫着“在攻與防地對立中尋求統一”,是不是有點可笑呢。本文沒用到多少技術,我是用了黑防服務器的弱點才得手的,主要技術算是旁註了。旁註再當前是一種流行的有效的***手段,只有把服務器的安全做好,纔能有效防止旁註。也正是由於當前國內網站管理員的技術水平,導致旁註流行一時,導致一些能把這種技術發揮到極至的人可以攻無不克......
寫本文的目的是爲和大家交流,愛好技術的朋友和我聯繫好了,本人QQ:156544632,如果大家在***方面有什麼好的的思路,別忘了一起討論。當然我們也可以到《***x檔案》的論壇去交流!