------记对四川理工学院的网站检测
凋凌玫瑰[N.C.P.H]
(发表于<<黑客手册>>2006年12期)
前言:很多玩黑的朋友都是在校的学生,当然不管是出于各种心理都想拿下自己学校的网站,教育网站的确很脆弱,但也不是完全的,比如我们学校的网站吧,从建站到现在我应该是第一个拿到首页服务器权限的。我们不去追求结果,而是追求这个渗透的过程,应该算是一种耐心和技术的考验,因为历时半年我才拿到权限,所以算是一个漫长的渗透。
起因:作为四川理工的学生,作为一个对黑客技术很痴迷的人,想知道自己学校的网站安全性到底怎样,当学校服务器权限掌握在自己手中时更有一番心情。说实在的我比较讨厌学校的教育,因此我挂了很多科还重修几科,上课时我看的都是自己买的书,学校的书不说落后就爱好而言和老师念经式的讲课方式让人抱歉,我应该算是有一点叛逆心理吧。
六个月前
初次检测它的时候是六个月前,那时挂了三科,心情极差。网站地址:
http://www.suse.edu.cn主站的ip为: 61.139.105.133,开superscan扫了一下,意料之中,只开了80端口,因为听说学校的主站还
没有被黑过,并且服务器是直接放在学校机房,所以连3389和ftp都
没有开了。
于是我接下来便检测它的脚本漏洞,主站就一个新闻发布系统,其它都是静态页面,而这个新闻发布系统
没有任何注入可言,程序是asp.net的。用工具扫一下看,对于大站的脚本检测我比较喜欢用Acunetix Web Vulnerability Scanner进行扫描一下,虽然它费时比较长,但得出的结果很详细,还可以探测一些目录,当时用的是2.0的破解版,现在是4.0的了。十几分钟,扫描结果出来了,网站里就几个静态页面, images目录, news目录,,还有些什么乱七八糟的,扫出来一些邮箱,一些没用的链接,还真的没注入。继续手工猜了一些目录和文件什么的,也
没有猜出来。
没办法,看来运气不好,不能直接从主站着手了。转了一下,直接在首页上一个一个链接进行检测,的确还有很多二级域名划下来的分站。在院报栏目中,又发现一个新闻发布系统,跟主站那个不一样。检测注入,无!输入upfile.asp出现一个文件上传页面,上传asa文件,失败,这个正常,肯定无法直接上传的。试试改包上传,于是拿出抓包工具,把木马改为gif的文件上传上去,将抓包里面的gif改为asp,修改路径,字节长度,用nc –vv newspaper.suse.edu.cn 80 ,提示上传成功,终于得到第一匹马,如图:
第一反应是提权,还好,开了ftp,开了1433和3306端口,ftp的溢出没能成功,serv-u的权限降至guest权限,并且改了密码。打开c:\windows目录,找到了my.ini文件,mysql的root用户名和密码都在里面,便在asp马中连接mysql,传了个my_udf上去,注册扩展函数,正向连接3306输入密码得到一个cmdshell。
遗憾的是当时
没有作进一步的渗透,拿到cmdshell后就
没有再继续下去,甚至连一个后门都
没有留。它的ip是61.139.105.132,主站是61.139.105.133,其实应该把这台服务器的密码哈希dump下来,然后在本地破解,或是装个嗅探器进行嗅探,但当时苦于不是主站服务器就
没有再进行下去了。
六个月后
今天,系里面的老师打电话告诉我计科系的网站好像有安全问题,叫我看一看。当时我记得,六个月前检测的时候,拿下的61.139.105.132服务器里面是除了学校主站其它的站点都放在里面的,包括各系的网站,不被人黑才怪。于是再来检测一次学校的网站吧,上次没能拿下主站心还不甘呢,反正也要毕业了,总不能带着遗憾离开。
先看看那台有问题的服务器,我的webshell已经没在了,看来管理员早发现了,上传漏洞的文件被人删了,不知是哪位好心人还是管理员。不管怎样,还有那么多的网站,程序的漏洞应该还在吧。
先看看计科系的网站,网站已经改版了,说实在的,读书两年了都
没有好好看过系里面的网站。整站程序是用asp.net写的,检测了老半天没啥注入之类的漏洞,有一个gbook,猜了一下,猜出来的数据库也是mdb的,有一点想不通,应该网站
没有什么漏洞。先黑盒测试一下看。用程序检测一下网站存在的一些敏感目录和敏感文件,于是我拿出我自己的字典,开起程序跑起来,跑出来的结果如下图:
看到了,有几个敏感的文件和目录,打开看看,因为很多人有个习惯就是爱把网站不相关的程序或文件放在上面,虽然网站
没有调用,但穷举猜解出来有时候还是很有用的,比如找到一些网站空间上放着的测试程序,而又有漏洞就好办了。
打开jkx.suse.edu.cn/test.asp,出现乱码,有点像asp格式数据库打开的样子。在最下发出来如下字样:类型不匹配: 'execute'备分的一句话马。用客户端连接,猜猜密码看,cmd、1、a、123、ah都不是,结果猜到abc的时候出现下面内容,这就叫猜解的艺术吧。
进去了,在目录里翻了翻,看了看源代码,这程序确实
没有什么注入之类的漏洞,刚刚上面扫出来一个upfilem.aspx打开出现上传界面,但上传是做了限制的。从这个test文件来看应该是日志备分得来的,但这个站又
没有注入,是怎么来的。难道是从其它站备分过来的,但得知道这个站的路径啊。
我看了一下载奖学金的链接
http://jkx.suse.edu.cn/download.asp?path=2006109154938.xls,我想测试../../index.aspx看能否下载,看来过滤了..和/,测试下载一个不存在的test.doc,这个时候暴出了路径” F:\wwwroot\jxxs\jkx\upfile\testtest.doc does not exist”,看来路径是可以暴出来的。那这个服务器上的其它站一点有漏洞了。
再转了一圈发现
http://jwc.suse.edu.cn也是这个服务器上的,但上面存在的漏洞就我了,加’直接暴错:
存在注入不说,再在后面加一个bbs竟出现一个论坛,有点面熟,随手输入data/dvbbs7.mdb可以下载数据库,郁闷后面玩都不玩他了。
接下来再仔细检查了其它系部的网站,居然又找到一个db权限的注入点,看来这个服务器是漏洞太多了。不过总结下来,计科系的网站安全问题应该是网站改版前别人留的后门了,新的网站没问题的。随后通过取得的websehll,注册mysql函数反弹一个shell过来,写入批处理开3389,上服务器做了目录权限,设置单独的iis用户并只给guest的读取权限,那样别的站的websehll想改都改不了他的文件,再删除上面别人留的asp后门,再停掉3389服务。如图:
乘胜追击
现在已经得到几个分站的服务器,是否继续渗透主站服务器呢?总不能在毕业之际留下遗憾吧,我选择了继续。也许很多朋友在想,既然拿到了同一网段的一台服务器,还有了3389,我们就可以搞嗅探了啊,装个cain可以抓好多东西。但我想了一下,这种方式是行不通的,因为主站只开了80端口,难到我们去抓http的数据?得到的也是md5加密的,且不说能不能破解,就是进了后台也不一定能传东西,所以注定我们要从web着手。
社会工程学
从网站常规的目录和文件看来是无法着手的,因为显示在网站上的链接和目录等都
没有漏洞的。那么它有
没有没有显示在网站上的目录或文件呢?如果管理员不小心放了一个正在调试的目录,或是放有其它有漏洞的文件而在网站上并
没有调用呢?
这里我便开始手工猜一些目录和文件,经过测试存在test目录news,给了我一个惊喜的是猜出来一个gbook目录?难道有戏了,因为留言本大家都知道,一旦猜出数据库为asa或asp的路径我们就有办法了。于是在
http://www.suse.edu.cn/gbook/后加各种文件,什么data.asp、user.asp、user.asa、gb.asa,再加一个/data/目录,存在。数据库一定放在这个目录里的,再猜,还是
没有猜出来,在猜这个数据库的时间都花去了一个多小时,也想过通过这个gbook的链接或是特征字符来查看是采用什么留言本程序的,然后再网上找找,看能否找到默认数据库,但是还是没能成功,后来听某同学说是学校自己写的,只好放弃了。
本以为有一点希望的,在这个地方卡住了。没办法,再静下来想想,是否还有其它的办法,还有那个test目录里面的内容也是猜不出来。我现在不是在用社会工程学吗?少了google行吗?
于是上google,让它来帮我查找主站的链接,输入site:www.suse.edu.cn,结果让我大吃一惊,搜出这么多的内容。如图:
在第二页就看到了一个陌生的链接,应该是一个陌生的目录,因为这个目录
没有在网站上看到过,有可能是一个正在调试的程序。那就是www.suse.edu.cn/xjzt/这个链接,其实平时在主站看到的就只有/news/目录,也就是一个新闻系统。
于是我点开这个目录,程序是asp.net的。我在网址后加’,出现的内容
没有报错,但有变化,我再输入and 1=1、and 1=2,显示内容不一样,应该当sql语句执行了,于是拿出啊d工具来检测一下,当看到mssql数据库的注入,并且是db权限时,一阵狂喜,折腾这么久,终于有个突破口了。
接下来列出了主站目录原来它本机还装有mssql数据库,只是
没有对外开放连接。
如图:
曲折的webshell
玩到这个时候,应该算是松了一口气了吧,这时大家都会想到差异备分就搞定了,但入侵程中会遇到各种各样的情况,我这次的差异备份并不顺利,软件备份也试了,手工备份也试了,把一句话马转换成十六进制,又是加容错语句啊,又是改编码啊,还是出现如下图:
感觉好像是过滤了<>,去邪八论坛问了问这种情况,听hack520说多半没得搞,后来在源代码中也看到了,的确是过滤了多种符号。这时想到的可以列目录,先前不是找到一个留言本吗?现在可以去看下它的数据库了,可走进去一看,fuck,居然是xml为后缀的,看来没得搞了。
好不容易找到个注入点也不给我权限,老天好像在和我玩游戏。不过还好,这个注入点可以列目录,去看看其它目录,当然找看看有
没有mdb数据库的,可以下下来看看,还找看管理后台,最重要的是找有
没有留言本,希望能遇到一个.asp或是.asa数据库的。
里面的目录很多,新闻系统数据库是.asa的,可要登录后台才能写东西,把数据库下下来看了,密码是32位md5加密,在xmd5网站去跑了一下,
没有跑出来。再看看其它的,找了几个后台目录,其它都是sql数据库的,想跨库查询,先放到后面,再列目录看看了。寻找editor目录,
没有找到传说中的ewebeditor。现在已是深夜了,终于找到一个留言本,老天不负有心人。
如图:
这个目录还是够隐蔽,这个留言本是用的网上的程序,一看就很熟悉,找到数据库是.asa的,看来注入点还是帮我了大忙,写了个一句话马,打开数据库,出现execute错误,看来写上去了,直接用一句话连上去,上传了一个大马,得到一个webshell
提升权限
因为服务开得少,提升权限也是一件很困难的事,还好权限设置得不是很严,找了很久的sql数据库帐号和密码,可都是db权限的,没一个sa,又没ftp,没mysql,还好e盘权限设置不是很严。在e盘software里面查看有一个“木马杀客”文件夹,这时再看了一下系统的安装盘c:\program files里面有
没有杀毒软件,结果
没有,想替换服务的方法提权,可等的时间应该很长。再看看e盘的software里面都是很多常用的工具,这时我换了一种思路来提权,试了试e:/software有写入权限,于是把“木马杀客”里的mmsk.exe下下来,配置了一个自己的反弹免杀木马,用免杀捆绑工具将生成的木马与mmsk.exe捆绑在一起。再上传到服务器“木马杀客”文件里,覆盖mmsk.exe,然后直接修改网站首页,弹出一个提醒管理员的对话框:“管理员请注意,学院服务器存在安全漏洞,请修补漏洞,清除木马,by 理工学子。”
半小时左右,网站恢复了,再等等管理员应该正在用“木马杀客”扫木马了,这也只是运气问题赌一赌了,因为管理员把“木马杀客”放在他的常用软件里,且服务器里面没其它软件,也没安装杀毒软件,所以猜定他应该第一时间运行“木马杀客”软件。
乖乖,服务器上线了,再等等再操作,怕被管理员发现,之所以敢用这种方式提权,一种是玩思想,也就是你要算定管理员的想法和做法,二是我对我的木马有信心,无进程无端口无服务,且无连接状态,当然更是免杀了。如图:
已是晚上12点了,接着建个帐号,开个3389进去做下安全,然后清除日志,关闭3389服务,完美退出来。如图:
当前位置:
