| 推荐:入侵黑客防线之旅 |
| 责任编辑:古典辣M° 更新日期:2005-11-24 |
|
|
前几天,我对黑客防线网站进行了一次攻击测试。其实我本来不想搞他们,本人很早就不喜欢入侵了。可是黑防也太不象话了,网站本来做得就比较丑,一个论坛摆在那里半年都没见管理员上一回。还有他们的攻防试验室,被搞得一团糟也没人管。黑防的人那么忙么?是不是黑防的人太懒了?怎么感觉他们就知道拿别人的稿子去卖钱。下面我谈下具体过程,由于当时抓图较少,而且弄丢了,下面帖图较少,不过文章浅显易懂,HOHO!
黑防的网站主要由两部分组成,即新闻系统和论坛。新闻系统被改造得看不出是什么系统,打开一个文章链接,提交单引号。返回“我就这样在痛苦和现实的边缘沉沦----------BY臭要饭的!”很明显,臭要饭的和黑客防线的关系不一般,他帮忙检测了脚本安全!因为要饭的比较牛,这个新闻系统应该不存在什么问题。再看论坛,是动网7.0sp2的。这个论坛一些常见的漏洞都补了,最近动网又出了不少新漏洞,但利用起来要有斑竹或前台管理员权限,我在论坛什么也不是,这样也没什么希望了。
早就听说黑防用的是自己的服务器,但这并不表明服务器上就放一个网站,也就是绑定一个域名。我就把旁注工具搬出来查询,发现上面又四个域名。再逐个检测这几个网站,这几个网站都比较垃圾,其中有一个特别垃圾的。这个网站是一个新闻系统,存在注入漏洞,我就把目标对准它了,可惜用nbsi注入的时候猜不出表名。这个时候我可以根据网站的一些特征到网上去搜索,找出这是什么系统,搞清楚数据表结构。但是我比较懒,找到它的后台,就是http://xxx.com/admin/login.asp了,凭经验就知道这个登陆的地方存在漏洞。我直接来个帐号:'or'='or',密码:'or'='or',果然直接进了后台。接着找到备份数据库的地方。上传木马图片,备份数据库,好几个目录都没有写权限,好不容易找了目录可写可执行。就这样轻松得到webshell.
上去一看,win2000的系统,sp4的补丁,什么盘都能进,可以执行命令。先不管,把所有得数据库down下来,
再把一些好玩的有用的全部down下来。黑客防线的站就在D:\wwwroot\web目录下面,没有写权限。再netstart看一下关键服务,
开了终端服务,massql,ftp(不过不是serv-u). 再仔细看下,没有什么杀毒软件,也没什么防火墙。不支持php,我尝试连
接ftp和3389发现不能连接。这就是黑防服务器的大致环境了,现在我得提升权限。
可能有人说用asp.dll来提升asp木马的权限,实际上这种方法很多人研究过,这种方法只适合得到系统权限喉再提升asp木马
的权限,我吗asp木马是以iis来宾的guest权限来运行的,没有执行adsutil.vbs的权限。可能也有人说c:\Documents and Settings\
All Users\「开始」菜单\程序\启动"写入bat,vbs等木马,这个目录我们默认只有读权限,没有写权限。甚至可能有人说
再某个盘的根目录写autorun.inf文件,等待管理员打开这个盘的时候运行我们的木马。关于这种方法我可是一次也没有
成功过,只有在特定的环境下才能成功的。那怎么提升权限呢?看一下C:\winnt\sysytem32目录可以写,于是想到了最后的
也是唯一的方法——替换服务。
我请好朋友kyo(希望黑防不要怀恨在心)帮忙一起搞,kyo二话没说就是上去了。kyo说只要我能让服务器重启他能得到系统权限。大家都知道替换服务得重新启动机器才有效。可能许多人都再重启机器方面感到很吃力,连ddos这些方法都想到了。实际上大多数情况下我们
可以用一种很简单的办法达到目的。还记得那个开3389的3389.exe么?它有个参数。0表示重启,1表示不重启。我把这个3389.exe传到
c:\winnt\system32\inetsrv\data\这个目录,这里一般是erveryone 完全控制的。我就在webshell的cmd哪里执行c:\winnt\system32\inetsrv\data\3389.exe 0,机器马上重启了,网站马上出现DNS错误打不开(这里比较简单,地球人都会,就不截图了)
。过了两分钟后,网站又能打开了。这个小工具就有这个好处,执行不需要很高的权限,用来重启机器效果特别好。
可惜kyo把他专用的反向连接的后门替换了一个系统服务对应的程序,然后用上面的方法重启。可惜后门没有连到他哪里。关于替换服务,实际上是运用了windows的一个特点,对于正在运行的程序,我们不可以将它删除,也不能覆盖,但是可以改名。比如系统里面有个服务对应
的是C:\winnt\sysytem32\1.exe,我们可以把它重命名为2.exe,我们再把我们的后门改名为1.exe,放在C:\winnt\sysytem32\下面。这样只要
我们让机器重启了,系统就会自动运行我们的1.exe,也就是我们的木马了。还有,我们用asp木马的时候要注意,海洋顶端木马2005版和2006版是不一样的,2006会直接把1.exe改名为2.exe,但是2005版改名为2.exe之后,原来的1.exe还会存在,二者之间有明显的区别。替换服务应该
找那种不是很重要的而且启动方式为自动的服务,不能把系统关键服务替换了,否则可能导致意想不到的后果。kyo失败后,我不服,先把我的
一键安装的radmin传上去,替换了一个服务对应的程序,重启之后看到admin的2046端口开了,但是连不上。我再把一个反向连接的使用80端口
的木马Flux来替换。结果半天也没连到我这边来。看见lcx大哥上线了,我问他有什么独特的办法,lcx把他的hackdf(够狠吧!)搞上去替换服务。我意识到有问题,绝对是搞了安全策略的。而且kyo在webshell里面ping www.163.com,居然ping不通.我想到了只有防火墙有这功能,禁止本机ping外部,以前还听说黑防服务器有硬件防火墙,还有IDS,不过感觉不大可能。(后来才知道是一个不怎么出名但是很厉害的软件防火墙,因为以前没见过,叫什么名字我也忘了所以开始我net start看它服务的时候没有识别出来。)一下午黑防的机器因为我们重启了不知道多少次,可惜还没搞定。时候也不早了,而且我当时还是在网吧做事,诸多不便。我就先下线了,整理下思路再搞。
防火墙禁止连接外部所有端口,而只允许外部访问它的80端口。看来要搞定先得突破防火墙,实际上也不难。我可以把防火墙服务对应的可执行文件替换了就行了。或者写个vbs,这个vbs把iis_xxx这个帐号加到管理员组。我可以把这个vbs做成自解压文件,后缀就是exe了,替换我开始替换的服务。这样webshell的权限就大了,就可以为所欲为了。
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net localgroup administrators iis_xxx /add",0
注意想好了,感觉相当有信心搞定黑防的服务器。
第二天,我早早的爬上网,马上打开黑防得网站,没想到居然打不开。我再试很多此,都一样。我马上去问kyo,kyo说他把防火墙服务给
替换了,重启后就这样了。看样子机器并没有重启,而是关机了。这种结果是我没有想到的,这下我就没办法了,出现了意外。只有等待他们
机器开机,我好趁机得手。没办法,只有等了。
下午我又上网,黑客防线网站打不开。晚上我照样上网,网站还是打不开。第二天了,网站一天都打不开......
又一天了,我上网了,心想如果还打不开的话,那我真没话说了。这次没有让我失望,正常打开了。可是我们得webshell都被删除了,连
我们开始入手得垃圾网站也被补了不少漏洞(注入漏洞依然存在).我感到该结束了,黑防网站命不该绝,注定要成功得时候功败垂成。本来我可以继续入侵,不是还有几个网站么,还有那个开始着手得垃圾网站漏洞还有很多的。但是我已经没有那份心情了,已经知道了黑防的服务器上面没什么好东西,再搞定了也没多少快感。
上面不是提到mssql么?其实入侵的第一天我就进行了探测。我把他文章系统的数据库down下来后,打开数据库就看到了所有的密码帐号。 如图1. 至于mssql,我找了半天才发现只有黑防的论坛用的是msql数据库。我看下连接文件conn.asp,connStr="FILE NAME=E:\wwwroot\date\hkbbshkdh0616.udl"把那个udl文件down下来之后,双击打开,看到了数据库连接地址,用户名,连接密码是用星号显示的,下载一个星号密码查看器,就看到了明文密码(不是sa权限)。如图2 我就在webshell的数据库操作那里,把密码帐号什么的都填上,直接查看数据库的admin表就看到了所有的管理员帐号密码,有好几个呢。因为是md5加密的,几个密码当中应该至少有一个弱一点的口令吧,不过我懒得去暴力破解。我就查看它的DV_log表,这里是记录论坛日志的地方,希望在这看到帐号密码,可是因为黑防的人好久没有登陆后台了,我查了半天也只查到一些垃圾信息。
入侵告一段落,后来我到一个qq群灌水,一个网名叫地主的朋友告诉我,其实他早就得到了webshell,只是没有系统权限。但是他还通过内网arp嗅探的办法得到了黑防的ftp帐号密码。这令我吃惊不小,大家都看过xiaolu很早就写的一篇文章《黑客防线——来自主机外部的危险》。这篇文章讲的主要就是arp嗅探,本来我相信黑防已经有了防护措施,没想到他仍然得手了。得到ftp密码了因为防火墙肯定登陆不上,不过在它内网里面应该可以。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
许多天后,也就是国庆节前的某一天吧,我想到网吧那飞快的网度,于是又到网吧上网。习惯性地到各大网站转了一遍之后,有开始检测黑防的安全。当我打开挝上面提到地那个挝开始着手入侵地那个垃圾网站地时候,它依然以一大堆漏洞出现再我面前,不知道怎么搞的,不是补了么?既然这样,我就先得到一个webshell。得到这个webshell,我可是吃了不少把头,黑防机器居然有了一个比较厉害地杀毒软件。我吧各种asp马传上去都被杀,我又把一句话asp木马传上去,也被杀。我只好搞点大小写转换,改为居然不被杀。我接着找大马,找了几个都不怎么理想。最后我把海洋顶端木马做成cs模式,这下好了,不被杀,功能一样强大。通过海洋2006木马一看,发现居然黑防重装系统了,这次是windows2003的。而且这次又以下特点:
1.目录设置比上次更严格,D盘不可浏览,网站放在E:\wwwroot\web下面,我开始跳到E:\wwwroot\失败,跳到E:\wwwroot\web下面成功,依然 不可写,这就是黑防官方网站根目录了。
2.装了杀毒软件,很厉害,再网吧做事,很匆忙,没仔细看。估计是诺顿,因为我的radmin都被它杀了,据我所知,目前只有诺顿杀radmin。
3.cmd命令不能用,wscript,也用不了,传cmd也传不上去。
4.防火墙依然很bt,我发现还多了windows自带的防火墙,ipsec服务开着。(用海洋木马看服务失败,我是用好梦的方法看的).
和上次做了比较之后,感觉更有难度了,而且window2003本来就比windows2000安全。我冷静下来继续刺探情况。没相哦阿这次和上次有点不一样,注定黑防当有此劫。我居然看到黑防论坛conn.asp里面连接帐号是sa,开始我还以为自己看错了。
Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName
SqlDatabaseName = "hacker_master"
SqlPassword = "pass_word"
SqlUsername = "sa"
SqlLocalName = "127.0.0.1"
ConnStr = "Provider = Sqloledb; User ID = " & SqlUsername & "; Password = " & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source = " & SqlLocalName & ";"
有了sa,就好办多了。我想了一下,要进它机器还搞定防火墙,再配上免杀反弹木马。可是我的免杀木马再宿舍电脑里,没带上,而且没有外网ip,我看我还是算了,给它网站点提醒就ok了。再webshell的数据库操作里面把帐号,密码,数据库名,地址都填上。再exec master.dbo xp_cmdshell 'net localgroup administrators iis_xxx /add >E:\wwwroot\xxx\manage\1.txt'.这样做是为了把iis来宾帐号提高,webshell就是administrator权限了。可是执行完了,发现权限没有变,估计这里来宾帐号不是iis_xxx。不管了,exec master.dboxp_cmdshell 'cacls d: /E /T /G everyone:F >E:\wwwroot\xxx\manage\1.txt',到E:\wwwroot\xxx\manage\下面查看回显1.txt,发现执行成功。依次执行这样就把C,D,E盘设为everyone完全控制了。我再进E:\wwwroot\web,index.htm删除失败,我就把它重命名,再在本地设计一个比较好看的网页,传上去后,打开,就发http://www.hacker.com.cn现被我涂了,算是提醒吧!如图3 过了段时间后我再执行exec master.dbo xp_cmdshell‘netstat -an >E:\wwwroot\xxx\manage\1.txt’,查看1.txt,发现3389端口与一个ip的某个端口established.不用想就知道是wtf通过3389维护服务器了。至于后来呢?后来的事就不说了...... 入侵到这里彻底结束了,从这个过程中,大家可以看出黑防服务器的安全是很不到位的。如果换上一个比较狠毒的人,恐怕不只是网站被黑这么简单。黑防的杂志,网站上面总是醒目的写着“在攻与防地对立中寻求统一”,是不是有点可笑呢。本文没用到多少技术,我是用了黑防服务器的弱点才得手的,主要技术算是旁注了。旁注再当前是一种流行的有效的攻击手段,只有把服务器的安全做好,才能有效防止旁注。也正是由于当前国内网站管理员的技术水平,导致旁注流行一时,导致一些能把这种技术发挥到极至的人可以攻无不克......
写本文的目的是为和大家交流,爱好技术的朋友和我联系好了,本人QQ:156544632,如果大家在入侵方面有什么好的的思路,别忘了一起讨论。当然我们也可以到《黑客x档案》的论坛去交流!
 
 |
|
| 上一篇文章: 精解解读防火墙记录 |
| 下一篇文章: web脚本代理的妙用 |
|
|
|
|
