【3.A.S.T】网络安全爱好者's Archiver

黑客学习

2000gaobo 发表于 2009-1-31 17:46

入侵国内某知名出版社全记录

入侵国内某知名出版社全记录
入侵国内某知名出版社全记录一.“战争”序幕的拉开
  首先祝大家国庆节快乐,肉鸡多多,[url=http://www.3800hk.com/]技术[/url]进步!最近在学习汇编,朋友推荐了一本不错的书,跑遍了附近的书店都没有找到,于是在baidu
搜到了该出版社的网站,刚一打开,你猜杂着?偶地KV网页监控马上报告“发现病毒已经清除”如图1
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055326244.gif[/img]
真是晕啊!这种网站都会被人挂马,
哎...现在国内的网管...不说了!幸好偶打过补丁了,要不小命就此玩完了,呵呵!
-------------------------小提示---------------------------------
网页木马的原理都是利用一些IE的[url=http://www.3800hk.com/]漏洞[/url]来运行程序(一般都是木马程序),现在流行的网页木马如:XP+SP2的网页木马,最近新出了一个
利用'Help Control Local Zone Bypass"的网页木马,需要的朋友可以去网上搜搜,一般[url=http://www.3800hk.com/]黑客[/url]站点都有的。勤打补丁的话像市面上公布
出来的网页木马就算打开了也没有关系的!
-------------------------------------------------------------
  看了一下这个网站支持在线购买图书,要是那样的话...呵呵!进去了不就可以[url=http://www.3800hk.com/]免费[/url]买书了?反正也没事干,那么就开始吧!
                            二.轮番轰炸
  既然已经被人挂了马,那就是有人进去过了(废话),大体观察了一下,它的网站是ASP+MSSQL的,没有什么论坛,看来想拿webshell不是很容易。
还是看看它开了什么端口吧!
-----------------------小提示-----------------------------------
菜鸟:为什么很多文章中都提到扫描端口,扫描端口到底有什么用呢?
小鱼:理论的东西我不想多讲了,通常说的扫描端口是指扫描TCP端口,系统中的每个[url=http://www.3800hk.com/]网络[/url][url=http://www.3800hk.com/]服务[/url]要与外部通信就必须用到端口,什么意思呢?
就好比你跟聋哑人沟通用的是手语,不同的系统[url=http://www.3800hk.com/]服务[/url]会用到不同的端口,比如开网站的[url=http://www.3800hk.com/]服务[/url]器,就肯定开放了80端口,根据端口的开放情况
可以判断对方开了哪些[url=http://www.3800hk.com/]服务[/url]从而方便我们找对应的[url=http://www.3800hk.com/]漏洞[/url]或者溢出!
--------------------------------------------------------------
手头刚好有流光那就用它吧,一会儿功夫扫描结果就出来了,图2
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055327224.gif[/img]

,开了80,110,25,1433,3389这几个端口,110和25是发送邮件时用到的,
3389不知道是先前的入侵者开的还是管理员自己管理用开的!IIS版本是5.0可能是win2K的[url=http://www.3800hk.com/]服务[/url]器,我们登陆3389看看,为什么要登陆3389?你
还没有权限怎么登陆啊?登陆3389的目的主要是看看对方系统版本,图3
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055327663.gif[/img]
,是windows2000[url=http://www.3800hk.com/]服务[/url]器版的!知道了目标主机的一些基本信息,现在我们就
针对这些信息来想出对应的入侵方案,110和25端口好像没什么重要的[url=http://www.3800hk.com/]漏洞[/url],所以先放一边,1433是MSSQL[url=http://www.3800hk.com/]服务[/url]开放的端口,默认帐户sa不知道有没有
弱口令,试试看,用SQL综合利用工具连接用户SA,密码为空试试,图4,
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055327212.gif[/img]
提示连接失败,看来密码不为空,想想也对!管理员怎么能傻到那种程度?再试试
sqlhello-SQL溢出看看对方MSSQL打没有打SP3(现在国内很多你无法想象的超级大站还存在这种低级[url=http://www.3800hk.com/]漏洞[/url]呢!具体,我可不敢说!呵呵),
图5
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055327579.gif[/img]
,正向和反向的溢出都试过都是不行,看来这个[url=http://www.3800hk.com/]漏洞[/url]是没有了!剩下的只有80端口了,一般这个都是找脚本[url=http://www.3800hk.com/]漏洞[/url],在网站上找形如“xxx.asp?id=1"这样的页面,
这个站上有很多,随便试一个在后面加个单引号看看,图6
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055327886.gif[/img]
,一般出现像“错误 '80040e14' ”这样的都是说明存在SQL注入,那句“ODBC SQL Server Driver”一般有
“ODBC”的说明是MSSQL[url=http://www.3800hk.com/]数据[/url]库的,要是提示“JET”那就是ACCESS[url=http://www.3800hk.com/]数据[/url]库了!我们再用工具找找看,拿出“啊D注入工具”扫扫,然后我用
“HDSI”注入(完全是个人习惯!),在啊D中的“注入点扫描”中输入网站的URL,点击右边第一个按钮就会[url=http://www.3800hk.com/]自动[/url]检测了,图7
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055328715.gif[/img]
,哈哈!有了!
马上将注入点复制到HDSI中进行注入,点击“开始”,图8,
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055328887.gif[/img]
高兴ing,连接[url=http://www.3800hk.com/]数据[/url]库的用户居然是SA这下发财了,一条思路马上展现在眼前,就是用
HDSI找到web目录,然后通过[url=http://www.3800hk.com/]数据[/url]库备份上传ASP木马,hoho!点击HDSI左边的“列目录”开始寻找网站目录,我找啊找...终于被我找到了,图9
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055329454.gif[/img]
,d:\xxxxhome下,马上将
一个ASP木马的后缀改为txt用HDSI上传到web目录下,郁闷,图10
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055329141.gif[/img]
,提示“上传文件不成功!”怎么办?没事既然是sa的权限不能这样上传还有
别的办法,试了试用xp_cmdshell直接加用户,TFTP上传,写脚本上传统统失败了!我郁闷,真想一头撞死算了!到嘴的美味吃不上,别提多
难受了555...怎么办?我想...我再想...有了,既然这个站已经被人入侵过了,那么肯定会留下一些ASP木马要是能找到一个小的ASP木马不就可以上传大马了?
虽然比较笨,不过黑猫白猫能捉到老鼠就是好猫了!我找...我继续找...再次来到网站目录下挨个看文件夹,突然看到一个MDB的目录,心情开始激动了,
颤抖的手点了下去(哈哈!有点夸张)。哇塞!,图11
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055330799.gif[/img]
,里面有个guestbook.asp还有个a.asp,看看路径写着d:\xxxxhome\liuyan\mdb\,各位读者猜到这是
什么了么?对了留言板!看到留言板有什么好高兴?我们知道了默认[url=http://www.3800hk.com/]数据[/url]库路径而且[url=http://www.3800hk.com/]数据[/url]库以ASP结尾,如果在留言中插入那个一句话的ASP木马提交这样就会记录在
[url=http://www.3800hk.com/]数据[/url]库中,而[url=http://www.3800hk.com/]数据[/url]库又是ASP结尾的这样就跟一个ASP木马一样了,访问[url=http://www.3800hk.com/]数据[/url]库web地址页面出现了乱码,图12
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055330820.gif[/img]
,这样就是没有做防下载处理,然后马上在留言板中
留言在“主页”还有其他地方都输入了“”提交成功,用海洋c端连接发现还是不成功(可能是被过滤掉了吧!)!怎么办呢?郁闷...于是用迅雷下载了这个ASP[url=http://www.3800hk.com/]数据[/url]库改名为
MDB后打开,找出管理员账号密码,图13
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055330227.gif[/img]
,登陆留言板,经过测试发现在管理员页面的公告中可以插入木马,图14
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055330609.gif[/img]
。这回成功拿到webshell了(图15
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055330108.gif[/img]
),对了忘记告诉大家刚刚跟guestbook.asp同一目录下
的那个a.asp就是别人留的海洋2006的asp木马!
---------------小插曲---------------------
访问那个a.asp将html代码保存下来,这里的代码就是海洋2006的登陆界面,然后用我的木马编辑
那个a.asp将里面的代码全部清空掉,粘贴上刚刚复制的登陆页面的html代码,再在最下面挂上我的网页
木马!哈哈!这样只要那家伙访问自己的webshell虽然看到登陆界面了但是怎么也登陆不进去,而且还
中了咱们的木马!一个字爽!
----------------------------------------
                    三.拿下目标
  我用的也是海洋2006不过是加密免杀的,现在就是提权了,用海洋的“[url=http://www.3800hk.com/]服务[/url]器相关[url=http://www.3800hk.com/]数据[/url]”看了看开的[url=http://www.3800hk.com/]服务[/url],发现并没有
安装serv-U,很多菜鸟看到这里可能就会放弃了!其实没有serv-u也没关系,毕竟条条大陆通罗马么!还记得刚刚注入时是SA的权限么?这就
说明[url=http://www.3800hk.com/]数据[/url]库连接用的是SA,到网站主页下随便打开一个ASP文件看看,图16
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055331643.gif[/img]
,“common/inc_const.asp”这个就是ASP被打开后先调用的[url=http://www.3800hk.com/]数据[/url]库连接
文件了,我们马上到该目录下的common找到inc_const.asp对它编辑,图17
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055331939.gif[/img]
,怎么样?是不是有大发现了,其实提权就是这么简单!SA密码暴露无疑啊!
现在该怎么办呢?拿出SQL连接器输入密码连接上去,哈哈成功了,选择“利用目录”==》“执行DOS命令”加个用户试试,图18
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055331822.gif[/img]
,晕,xplog70.dll被
删了,可恶,既然开了3389只要加个用户就可以了,加用户也不一定要用XP_cmdshell,可以试试别的转储过程,打开"SQL查询分析器分离版本"输入IP和密码点连接,图19
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055331753.gif[/img]
,OK,我们在“查询”中输入:
------------------------------------------------
declare @cmd INT
exec sp_oacreate 'wscript.shell',@cmd output
exec sp_oamethod @cmd,'run',null,'net user hack hack /add','0','true'
-----------------------------------------------
declare @cmd INT
exec sp_oacreate 'wscript.shell',@cmd output
exec sp_oamethod @cmd,'run',null,'net localgroup administrators hack /add','0','true'
--------------------------------------------------
这个就是增加一个hack的用户密码也是hack,再提升为管理员权限,图20
[img]http://www.3800hk.com/news/UploadFiles_9994/200510/20051031055331938.gif[/img]
怎么样?是不是条条大路通罗马?
用增加的用户登陆3389看看(图21)
哈哈,成功!任务完成!^_^
                                  四.小结
  由于篇幅问题还有很多入侵的过程没有写出来,这里写的是主要的入侵过程了,文章读起来很简单(我在实际中可是遇到很多问题),
但要是你实际操作起来可能就会遇到很多问题了,想告诉广大菜鸟朋友:真正的[url=http://www.3800hk.com/]技术[/url]是实践出来的不是看出来的。这里不仅给大家展示的是
一次入侵过程更想把入侵中分析问题的思想传达给各位菜鸟朋友们,由于我水平有限可能文章有很多不足之处,所以还请各位见笑了!

zhuyahui 发表于 2009-2-1 00:51

不错 很详细。

coffecp 发表于 2009-2-5 10:34

:)  非常不错

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.