注:出于对目标网站的安全考虑,本文屏蔽大部分关于目标网站的资料,敬请谅解。
元旦到了,学校终于给我们放了2天假,于是我用这宝贵的休息时间到网上溜了一圈,随意浏览中偶然发现了一个刚成立不久的门户型搜索引擎,出于习惯对其进行了一番安全检查,结果哑然,网站竟然出现了注入漏洞,而且还是SQL+SA连接,当时我的感觉就是这个网站应该算是over了。由于这个网站分两部分,门户页面和用户交互页面分别使用两个独台独立的服务器,superscan一扫,只有门户服务器开了3389,所以决定先从门户服务器入手。
拿出专用注入工具打开网页,显示出四五个注入点,随便挑了一个,先是往表里写xp_dirtree,然后爆表,目录列了出来,我心里想能列目录,这么说xp_cmdshell也应该可以用了,于是用xp_cmdshell添加了管理员,喜滋滋的连上3389,却发现刚才添加的管理员不能用,郁闷,xp_dirtree在,说明管理员应该没删存储扩展,cmdshell之所以无法执行应该是注入点的问题,抱着这种心理我连续换了N个注入点,终于皇天不负有心人,当我在登陆界面输入完密码时,出现了”正在应用个人设置”的横条,我心中一阵激动,终于算是让我进去了。进去后一看,问题N多(管理员一定是个吃干饭的),于是动手帮服务器打了补丁,删除了存储扩展,停掉了不必要的服务,同时对远程桌面登陆的权限作了限制,这才退出来。(谁叫我人好呢)。
门户服务器的入侵还算轻松,可入侵交互页面服务器的路就比较崎岖了,我首先尝试打用xp_cmdshell开3389:"echo[Components]>c:\db echoTSEnable=on>>c:\db sysocmgr/i:c:\winnt\inf\sysoc.inf/u:c:\db/q",执行了,重起了,可是我期望得3389却没有出现,当时我心想也许是管理员用了TCP/IP筛选,没办法,先弄个webshell吧。
弄webshell首先要知道网站目录,通过注册表没找到,只好到目录里看看,让我郁闷的是用xp_dirtree列出了几个分区的目录,却发现所有汉字目录都无法正常显示,这个我的寻找工作带来了很大的困难,经过长达3个小时的锲而不舍的寻找,终于在一堆乱码中找出了网站“在线客服”的目录,发现了名为admin1的后台,找到了login.asp,用浏览器打开,需要客服账号密码,于是回到掏出工具爆表,爆出来“netservice”,紧接着又出来了字段,可账号的内容却又是乱码,账号是“粢鲰鲷1”,密码是“kefu123”,我根据密码猜测账号其实是“客服1”,试了一下,哈,果然如此,进去后找到了上传照片的页面,没有限制上传格式,于是传了个asp小马,满心欢喜的打开一看,吐血,竟然是“非可执行目录”,哎,好事多磨阿,只好用xp_cmdshell把asp小马copy到网站根目录,这次小马打开了,读取注册表中的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip 却发现EnableSecurityFilters"=dword:00000000,看来管理员没有用TCP/IP筛选,那我为什么没能打开3389呢,读取HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp ,结果让我再次喷血,原来远程桌面早就开了,只是端口被改成了1425,看来是有人捷足先登了。添加管理员账号,登入1425端口,输入账号密码,却跳出“连接达到上线”,嘿嘿,看来那个捷足先登的正在里面勤劳工作呢,于是我在xp_shell中执行iisreset/reboot/timeout:00重起服务器,想把他踢出来,干等了半天服务器却稳如泰山,我再再次郁闷,于是在webshell中找到SA的密码,连上SQL,用EXEC执行重起命令,这次服务器重起了,(这让我百思不得其解,system权限不能执行,而SQL的SA却能执行,两者有什么区别么?如果有哪位高手知道,麻烦告诉我)。服务器很快重起完毕,这次终于成功进入,进去第一件事就是设置远程桌面登陆的权限,删掉管理员组,只允许administrator和我的账号登陆远程桌面,这样别人就是有管理员账号也登陆不了。设置完毕后这才放心,打开计算机管理,察看账号,发现除了我自己的账号并没有其他特殊账号,看来那个先进来的用了克隆账号,到C:\DocumentsandSettings\一看,果然有guest文件夹,这说明guest账号也登陆过远程桌面,既然他用阴的,那就给他来点更阴的,把guest账号改名为g#$u43s*%*(t,密码改为#)*,嘿嘿,他知道克隆账号还在,就是用不了,急死他。
前后经过5个小时的工作,两台服务器全部拿下,这次的收获其一是永不放弃,其二就是不要相信表面现象,多多尝试不同的角度入侵。如果我在开3389失败的时候停滞不前,那肯定没发成功入侵。
当前位置:
