入侵国内某知名安全站点
2007/09/13 19:47 by hackest 本站原创
题目:入侵国内某知名安全站点
作者:hackest [H.S.T]&[E.S.T]
文章难易度:★★★
文章阅读点:利用嗅探成功入侵目标网站并提权成功
此文章已发表在《黑客X档案》第9期杂志上,转载请注明出处!
一、前戏
自从我摆脱了单身的困境之后(现在有老婆了),很多朋友都说我颓废了不少。技术研究上表露出很大的惰性,没有以前那么积极、潇洒了……唉,给人的感觉就似乎我要“退隐江湖”了!其实不然,只不过是那段时间里莫名地感觉到入侵没多大意思。更何况与此同时,我还在忙其它一些比入侵更重要的事情呢。不过,话又说回来,技术始终是我所酷爱的,再怎么着也不可能放弃!所以,今天决定再次挑战一下自己,就当是给这次的目标——国内某知名安全站点做个免费的安全检测吧,以此证明我“宝刀未老”。
二、策略
对于这类在国内比较有名气而且又比较大型的专业安全门户站点,普通的注入、上传什么的那些招式基本上是没用的。就算是从他们的主站下手的话,相信成功的机率也比较渺茫。那是不是说我们就完全拿它没办法了呢?其实不然。最近非常流行嗅探攻击这一招,而且本人也经常使用。不知道广大菜鸟掌握了没有!很多网站,他们本身的安全做得很好,好到让我们根本无从下手,但是他们往往都忽略了嗅探攻击这一个重要手段!其实,要对目标进行嗅探攻击,我们就必须先控制住与目标服务器在同一网段下的另一台服务器。我们ping一下目标网站的域名得到的IP为210.82.*.52,那我们就要在210.82.*.1至210.82.*.255这个IP段内拿到一台服务器的3389权限!
三、开火
为了加大我们入侵成功的可能性,为了加快我们进攻的速度,我决定先扫描一下此IP段内的21端口,主要是想找到装有Serv-U的服务器,因为利用它来提权相对来说会比较轻松一点。扫描结果很快就出来了,经过分析,初步确定先拿210.82.*.20这台服务器开刀!我们要入侵210.82.*.20这台服务器就必须要先知道它上面有哪些站点,可以到http://www.seologs.com/ip-domains.html上查询一下,如图1。
查出来的站不多,不过已经够用了。只要这里面有一个站可以拿到Webshell,我们就有希望了!经过一番排查,进一步确定http://www.yx****.com/这个网站似乎比较容易得手!我们先用啊D检测一下是否存在注入漏洞,结果表明可以注入。可是却只猜出了管理员的密码字段,没有猜出用户名字段,换用NBSI3.0结果也一样!既然这样,那我们就只好死马当活马医了。在http://www.yx****.com/的后面直接加个admin,回车,后台登录页面就跳了出来,使用用户名和密码都为admin顺利登录进了后台,如图2。
看来运气还不错,胜利女神和我们是站在同一战线上的。在后台里转悠,怎样才能拿到Webshell呢!上传文件的地方怎么看着这么像雷池新闻发布系统,如图3!
要真是那套程序的话,那我们拿到Webshell就是时间问题了。直接打开http://www.yx****.com/admin/uploadPic.asp?actionType=mod&picName=test.asp,跳出上传图片的页面,如图4。
这套系统比较有意思,它可以将上传后的文件改名。我们选择一个后缀为.jpg的ASP大马直接上传,传到服务器上后程序会自动将.jpg文件更名为test.asp。没有发生任何意外,一切都顺理成章、瓜熟蒂落,我们终于成功得到Webshell了,如图5。
再接下来就是提权了,直接上传Goldsun大侠写的Serv-U ASP版提权脚本木马,执行●cmd /c net user hackest ilovejanice /add & net localgroup administrators hackest /add●,这木马的毛病是无论成功与否都是提示成功的,如图6。
至于有没有成功把系统用户添加进去,那就得看你运气如何了。再扫描一下远程桌面服务的默认连接端口3389,发现开放。那我们就不客气了,直接连接登录,顺利进入服务器,如图7。
四、陷落
同网段的服务器顺利拿到了,下面我们就可以对目标网站进行嗅探攻击了。把嗅探的神兵利器Cain传到服务器上。因为服务器只有一张网卡,我们直接选外网网卡就可以了。再扫描一下MAC地址,确定目标网站服务器IP与我们手上控制了的这台服务器的IP在同一网关下!这样的话,我们就可以“坐享其成”了。至于Cain的使用,大家可以参见黑客X档案以前刊登过的相关文章,在此我就不再多说了。嗅探了七天才成功得到了与目标网站在同一服务器上的后台地址及密码信息,如图8。
那后台地址根本是不可能猜得出来的,要不是嗅探的话,想找到后台地址的可能性几乎为零。利用得到的用户名和密码顺利登录进了后台。这后台比较有意思,竟然可以直接编辑文件的内容,如图9。
那我们要拿Webshell就方便多了。直接把PHP大马的代码复制到文件内容编辑的空白处粘贴,再保存一下就成功拿到Webshell了,如图10。
进去之后发现原来服务器的权限设得不是很好,目录可以随意跳转。然后再跳到目标网站的Web目录,发现可写!所以就往里面写进了一个PHP大马,如图11。至此,目标网站也顺利拿下了。
五、颠峰
拿到Webshell了,是不是就停手了呢!NO!所谓挑战嘛,自然就不能这么容易收手。我们继续向目标网站的最高控制权——服务器3389权限进军!这回提权就没有前面那台那么简单了:Serv-U的提权马提权失败,也没有诸如Pcanywhere、Radmin之类的软件!提权似乎陷入了困境……后来和朋友“28度的冰”说了一下,又把Webshell发给他看了。果然不一会儿,他就有了突破性的发现——MSSQL的SA帐户密码!看来是我拿到Webshell之后激动过头了,让胜利冲晕了头脑,思路不清晰了!迅速稳定住情绪,整理好思路,继续革命……虽然有了SA的帐户密码,但是上传SQLrootkit.asp尝试连接的时候却出现了意外:提示错误的连接串。连不上那就无法利用SQLrootkit脚本来添加系统用户了!后来“28度的冰”说可以自己构造注入点!果然是好伙计,又是一大惊喜啊。迅速在Webshell里发现了过滤SQL注入的文件,也就是传说中的防注入程序了。现在我们要做的就是要让它失效,让它防不了注入!随便找了一个有查询数据库操作的ASP文件,用Webshell打开编辑文件源代码,把ASP文件头部的那几行调用SQL过滤的代码注释掉。这样一来,就可以让原本没有注入的文件因为防注程序的失效而出现注入漏洞了!使用NBSI检测我们新构造的注入点,填入需要的关键字,成功检测出了我们构造的SA注入点!再接着就是执行添加系统用户命令了。由于注入点检测出来是“SQLServer错误提示关闭”,所以执行命令是看不到回显的,但命令却可以成功执行!分别执行●net user hackest ilovejanice /add●,●net localgroup administrators hackest /add●。虽然看不到回显,但我们心里有数,知道命令可以成功执行但却可以没有回显,我们就不必担心了。怎么,不信啊?那我们去登录看看呗!远程桌面服务的TCP连接端口并非默认的3389,被改成3101了。所以我们连接的时候就要在URL后面加上指定端口,以冒号分隔(如www.xxx.com:3101),这次也没有出现任何意外,成功登录进了目标服务器,如图12。
至此,对目标网站的入侵就圆满结束了,我们已经得到了至高无上的远程服务器管理权限了!然后把那个注入点补好,把一些多余的文件删掉,还有清理了一下后台日志就闪人了。
六、后话
这次入侵从发现目标网站的安全漏洞到协助管理员修补长达七天之久!说长不长,说短不短。从一开始到结束,目标网站总共换了四次服务器!我一路跟踪过来,从来没有放弃过,最终成功地拿到了目标网站的所有控制权!期间遇到的问题,所用到的技巧方法远远不止文章中所涉及到的这些!这七天里目标总是一会儿能访问,一会儿又不能访问。我一直盯着它,一旦发现它有变化我也跟着做出反应,正所谓敌动吾亦动嘛!后来我与管理员联系上了,彼此都很客气,我跟他说明了入侵的思路及方法,并将防御的方法一一告知了他。原本以为一切都可以划上完美的句号!但遗憾的是由于我把Webshell地址发过几个群,而Webshell的密码又过于简单,导致被人毫无难度地猜了出来,并且进去略有破坏!虽然祸非我所为,却因我而起!对此,我深表歉意!最后应管理员的要求,全文没有透露所入侵网站的真实信息。再说所谓安全检测式的入侵嘛,发现网站的安全漏洞并提出修补方案就算是大功告成了,更没有必要做些损人不利己的事,这样对大家都好!中国的网络安全事业还得靠那些有能力、有正义感的人来维护!总的来说,一个健康的心态、冷静的头脑、清晰的思路、熟练的操作会让你办起事来更事半功倍的!
(文章中涉及到的工具啊D、Serv-U ASP版提权脚本、NBSI3.0、Cain4.9已经收录在光盘中)
小编点评:
这是一篇比较经典的利用嗅探攻击对目标进行入侵的文章了。先拿下一台C段服务器再用嗅探工具Cain监听数据,截获对方的后台登录地址、用户名及密码信息,再进入后台获取Webshell。再通过让防注文件失效使原本没有注入点的文件出现注入点,从而用注入工具进行检测并执行添加用户操作成功提以!国内的很多安全站点都是自诩的,其本身安全做得并不是很好,嗅探这一招时下能干掉不少站点,因而十分流行!
作者:hackest [H.S.T]&[E.S.T]
文章难易度:★★★
文章阅读点:利用嗅探成功入侵目标网站并提权成功
此文章已发表在《黑客X档案》第9期杂志上,转载请注明出处!
一、前戏
自从我摆脱了单身的困境之后(现在有老婆了),很多朋友都说我颓废了不少。技术研究上表露出很大的惰性,没有以前那么积极、潇洒了……唉,给人的感觉就似乎我要“退隐江湖”了!其实不然,只不过是那段时间里莫名地感觉到入侵没多大意思。更何况与此同时,我还在忙其它一些比入侵更重要的事情呢。不过,话又说回来,技术始终是我所酷爱的,再怎么着也不可能放弃!所以,今天决定再次挑战一下自己,就当是给这次的目标——国内某知名安全站点做个免费的安全检测吧,以此证明我“宝刀未老”。
二、策略
对于这类在国内比较有名气而且又比较大型的专业安全门户站点,普通的注入、上传什么的那些招式基本上是没用的。就算是从他们的主站下手的话,相信成功的机率也比较渺茫。那是不是说我们就完全拿它没办法了呢?其实不然。最近非常流行嗅探攻击这一招,而且本人也经常使用。不知道广大菜鸟掌握了没有!很多网站,他们本身的安全做得很好,好到让我们根本无从下手,但是他们往往都忽略了嗅探攻击这一个重要手段!其实,要对目标进行嗅探攻击,我们就必须先控制住与目标服务器在同一网段下的另一台服务器。我们ping一下目标网站的域名得到的IP为210.82.*.52,那我们就要在210.82.*.1至210.82.*.255这个IP段内拿到一台服务器的3389权限!
三、开火
为了加大我们入侵成功的可能性,为了加快我们进攻的速度,我决定先扫描一下此IP段内的21端口,主要是想找到装有Serv-U的服务器,因为利用它来提权相对来说会比较轻松一点。扫描结果很快就出来了,经过分析,初步确定先拿210.82.*.20这台服务器开刀!我们要入侵210.82.*.20这台服务器就必须要先知道它上面有哪些站点,可以到http://www.seologs.com/ip-domains.html上查询一下,如图1。
查出来的站不多,不过已经够用了。只要这里面有一个站可以拿到Webshell,我们就有希望了!经过一番排查,进一步确定http://www.yx****.com/这个网站似乎比较容易得手!我们先用啊D检测一下是否存在注入漏洞,结果表明可以注入。可是却只猜出了管理员的密码字段,没有猜出用户名字段,换用NBSI3.0结果也一样!既然这样,那我们就只好死马当活马医了。在http://www.yx****.com/的后面直接加个admin,回车,后台登录页面就跳了出来,使用用户名和密码都为admin顺利登录进了后台,如图2。
看来运气还不错,胜利女神和我们是站在同一战线上的。在后台里转悠,怎样才能拿到Webshell呢!上传文件的地方怎么看着这么像雷池新闻发布系统,如图3!
要真是那套程序的话,那我们拿到Webshell就是时间问题了。直接打开http://www.yx****.com/admin/uploadPic.asp?actionType=mod&picName=test.asp,跳出上传图片的页面,如图4。
这套系统比较有意思,它可以将上传后的文件改名。我们选择一个后缀为.jpg的ASP大马直接上传,传到服务器上后程序会自动将.jpg文件更名为test.asp。没有发生任何意外,一切都顺理成章、瓜熟蒂落,我们终于成功得到Webshell了,如图5。
再接下来就是提权了,直接上传Goldsun大侠写的Serv-U ASP版提权脚本木马,执行●cmd /c net user hackest ilovejanice /add & net localgroup administrators hackest /add●,这木马的毛病是无论成功与否都是提示成功的,如图6。
至于有没有成功把系统用户添加进去,那就得看你运气如何了。再扫描一下远程桌面服务的默认连接端口3389,发现开放。那我们就不客气了,直接连接登录,顺利进入服务器,如图7。
四、陷落
同网段的服务器顺利拿到了,下面我们就可以对目标网站进行嗅探攻击了。把嗅探的神兵利器Cain传到服务器上。因为服务器只有一张网卡,我们直接选外网网卡就可以了。再扫描一下MAC地址,确定目标网站服务器IP与我们手上控制了的这台服务器的IP在同一网关下!这样的话,我们就可以“坐享其成”了。至于Cain的使用,大家可以参见黑客X档案以前刊登过的相关文章,在此我就不再多说了。嗅探了七天才成功得到了与目标网站在同一服务器上的后台地址及密码信息,如图8。
那后台地址根本是不可能猜得出来的,要不是嗅探的话,想找到后台地址的可能性几乎为零。利用得到的用户名和密码顺利登录进了后台。这后台比较有意思,竟然可以直接编辑文件的内容,如图9。
那我们要拿Webshell就方便多了。直接把PHP大马的代码复制到文件内容编辑的空白处粘贴,再保存一下就成功拿到Webshell了,如图10。
进去之后发现原来服务器的权限设得不是很好,目录可以随意跳转。然后再跳到目标网站的Web目录,发现可写!所以就往里面写进了一个PHP大马,如图11。至此,目标网站也顺利拿下了。
五、颠峰
拿到Webshell了,是不是就停手了呢!NO!所谓挑战嘛,自然就不能这么容易收手。我们继续向目标网站的最高控制权——服务器3389权限进军!这回提权就没有前面那台那么简单了:Serv-U的提权马提权失败,也没有诸如Pcanywhere、Radmin之类的软件!提权似乎陷入了困境……后来和朋友“28度的冰”说了一下,又把Webshell发给他看了。果然不一会儿,他就有了突破性的发现——MSSQL的SA帐户密码!看来是我拿到Webshell之后激动过头了,让胜利冲晕了头脑,思路不清晰了!迅速稳定住情绪,整理好思路,继续革命……虽然有了SA的帐户密码,但是上传SQLrootkit.asp尝试连接的时候却出现了意外:提示错误的连接串。连不上那就无法利用SQLrootkit脚本来添加系统用户了!后来“28度的冰”说可以自己构造注入点!果然是好伙计,又是一大惊喜啊。迅速在Webshell里发现了过滤SQL注入的文件,也就是传说中的防注入程序了。现在我们要做的就是要让它失效,让它防不了注入!随便找了一个有查询数据库操作的ASP文件,用Webshell打开编辑文件源代码,把ASP文件头部的那几行调用SQL过滤的代码注释掉。这样一来,就可以让原本没有注入的文件因为防注程序的失效而出现注入漏洞了!使用NBSI检测我们新构造的注入点,填入需要的关键字,成功检测出了我们构造的SA注入点!再接着就是执行添加系统用户命令了。由于注入点检测出来是“SQLServer错误提示关闭”,所以执行命令是看不到回显的,但命令却可以成功执行!分别执行●net user hackest ilovejanice /add●,●net localgroup administrators hackest /add●。虽然看不到回显,但我们心里有数,知道命令可以成功执行但却可以没有回显,我们就不必担心了。怎么,不信啊?那我们去登录看看呗!远程桌面服务的TCP连接端口并非默认的3389,被改成3101了。所以我们连接的时候就要在URL后面加上指定端口,以冒号分隔(如www.xxx.com:3101),这次也没有出现任何意外,成功登录进了目标服务器,如图12。
至此,对目标网站的入侵就圆满结束了,我们已经得到了至高无上的远程服务器管理权限了!然后把那个注入点补好,把一些多余的文件删掉,还有清理了一下后台日志就闪人了。
六、后话
这次入侵从发现目标网站的安全漏洞到协助管理员修补长达七天之久!说长不长,说短不短。从一开始到结束,目标网站总共换了四次服务器!我一路跟踪过来,从来没有放弃过,最终成功地拿到了目标网站的所有控制权!期间遇到的问题,所用到的技巧方法远远不止文章中所涉及到的这些!这七天里目标总是一会儿能访问,一会儿又不能访问。我一直盯着它,一旦发现它有变化我也跟着做出反应,正所谓敌动吾亦动嘛!后来我与管理员联系上了,彼此都很客气,我跟他说明了入侵的思路及方法,并将防御的方法一一告知了他。原本以为一切都可以划上完美的句号!但遗憾的是由于我把Webshell地址发过几个群,而Webshell的密码又过于简单,导致被人毫无难度地猜了出来,并且进去略有破坏!虽然祸非我所为,却因我而起!对此,我深表歉意!最后应管理员的要求,全文没有透露所入侵网站的真实信息。再说所谓安全检测式的入侵嘛,发现网站的安全漏洞并提出修补方案就算是大功告成了,更没有必要做些损人不利己的事,这样对大家都好!中国的网络安全事业还得靠那些有能力、有正义感的人来维护!总的来说,一个健康的心态、冷静的头脑、清晰的思路、熟练的操作会让你办起事来更事半功倍的!
(文章中涉及到的工具啊D、Serv-U ASP版提权脚本、NBSI3.0、Cain4.9已经收录在光盘中)
小编点评:
这是一篇比较经典的利用嗅探攻击对目标进行入侵的文章了。先拿下一台C段服务器再用嗅探工具Cain监听数据,截获对方的后台登录地址、用户名及密码信息,再进入后台获取Webshell。再通过让防注文件失效使原本没有注入点的文件出现注入点,从而用注入工具进行检测并执行添加用户操作成功提以!国内的很多安全站点都是自诩的,其本身安全做得并不是很好,嗅探这一招时下能干掉不少站点,因而十分流行!
浅谈CMD下开启远程桌面服务
动网8.0最新远程注入漏洞来了COMMENT[4]
![[H.S.T.]十六进制信息安全网官方讨论组](http://www.hackest.cn/logo1.gif){kind=logo}
。。。。
有跨站吗?