原创作者:柔肠寸断[3.A.S.T] ) J/ w& }( M0 x% S) l& X4 N4 {文章来源:【3.A.S.T】网络安全技术团队 - V- z% h7 b+ ^$ B* l! [6 n注:本文已经发表在《黑客防线》2009年04期 # a9 Z0 H4 N1 z. w. `" o 某天,我的QQ滴滴滴的响了起来。“我被一个钓鱼网站骗了钱,可以帮帮我吗?”! {. w- n) D! B6 \/ G3 n
又是一个被钓鱼网站诈骗了的兄弟,发挥下黑客的精神,就去看看吧!- x; j( i f( b5 v6 k% i
对方把钓鱼的网站发了过来,http://consigamont5173.com/dcvail/JS066-20090206-86621134.shtml呵呵,做的还挺不错的吗(图1), $ B- W4 |6 j2 ]3 H[attach]1100[/attach] # V. Q1 B: z! _! X* O0 I$ |8 }1 C& `+ W/ S/ e2 P
5173的钓鱼站,做的不错,但是直接访问网站根目录http://consigamont5173.com/,返回的却是一个目录禁止显示的提示,访问http://consigamont5173.com/dcvail/,到来了个西安西拓电气有限公司,晕啊,看来这个钓鱼站还是用二级目录来做的,我真的佩服被骗了的朋友,这种技术的网站也会上当。废话少说,马上就来检测了这个站。; h+ v* V1 n# {3 S
后台很容易就找到了http://consigamont5173.com/dcvail/admin/login.asp,默认的用户名密码都不起作用,而且后台没有一点信息可以利用,又绕了一圈,没有什么漏洞可以利用的,就放弃了直接入侵。( b2 ]: w+ I- c6 m/ a. l6 q
一个站无法直接下手就采用旁注。我找了N多个站,看到个CMS系统的内容站,连接都是动态的,也有防注入的功能,但是怎么都觉得用的不是什么很好的程序,往往漏洞就是用感觉出来的,(*^__^*)…。顺手后面加了个/admin,马上就提示我没有登陆,顺便把我转向了管理员的登陆页,登陆页右下角醒目的写着“LeadWit WS 3.0(ACCESS免费版)”(图2),5 v& M2 \9 Z, ~" l& b8 C
[attach]1101[/attach]1 S5 j* O: W$ T. q9 i5 R& N2 Z# @
% a L) `8 ?0 y - [7 }" O) ?' U2 B$ q/ W" b虽然这种系统我一次没有用过,但是我可以百度么。很快,就在邪八找到了一篇帖子,关于该程序有一个注入漏洞,注入漏洞是adminChannel.asp文件有问题。这个文件在admin文件下的,下面给出adminChannel.asp部分代码看下$ A9 X6 A% O+ ?: T2 B0 z
‘定义变量7 e0 d0 J9 a D/ K% ]
dim ChannelID,AdminID/ K+ S8 Q+ w0 y. M' y
dim rs,rsa; U y, c0 V, F* O3 q
ChannelID = request("ChannelID")6 |& U3 Y7 V( \2 N
AdminID = request("AdminID")) v4 X+ p7 d& e7 E3 O2 A1 r" w: P
’进了SQL 1 V' K: m; c: }) y$ f/ cSet rsa = LZ8.Execute("Select * from ["& AdminTable &"] WHERE id="& AdminID &" order by id")9 `7 H( ?/ z6 }& x6 e* y/ w% j
Set rs = LZ8.Execute("Select * from [LZ8_Class] WHERE ChannelID="&ChannelID&" order by RootID,OrderID")/ N' A/ C$ M! g7 ?: u8 q" C, J( p
if not rs.bof and not rs.eof then % w; `" {/ U$ h6 O. R do while not rs.eof $ R+ P( M& v" Z" Z0 m( j: O* ~2 ^- Z%>9 {8 n/ J3 h3 h" i1 U( G9 p
两个变量都没有过滤呢~我们可以在URL后加上:/admin/adminChannel.asp?AdminID=1&ChannelID=1,可以直接注入。一不做二不休,马上构造了个注入的地址,放到啊D里跑了起来,当然提示存在注入点咯,不过,管理员表段怎么都猜解不出来,没事,去网上down了这个站程序,研究了下数据库,呵呵,管理员表段是LZ8_Admin,奇怪的表段,没事,在啊D里添加了这个LZ8_Admin,马上就跑出了4个管理员用户密码(图3),& p$ n8 Z- R' M' E/ {; t
[attach]1102[/attach]/ @6 W2 b2 G% q# u- |' f
1 T' }: Z4 o2 f& P2 L人品不错,四个MD5加密的密码解出了一个,能登陆后台就成。 9 K" p: `! a/ H& \) K+ d 后台还没有仔细的转悠一圈,就发现了这个后台根本不堪一击,上传个改成了jpg的小马,通过数据库备份功能成功的获取了该站的shell(图4)。 " G% R. p7 a" B- S0 A; b2 B
[attach]1103[/attach]# G m7 _2 N8 z2 W; h. x
有很多朋友看到这里就会说了:那这个钓鱼站肯定就是通过这个站旁注拿下的吧!非也。我进入了webshell,权限很低,上传的aspx大马打不开,wscript.shell也为禁用的状态,转了一圈根本没有办法提权,只有宣布旁注失败。. G* l+ k9 o, z
目光继续回到了钓鱼站的后台,无聊的给它登陆页的admin目录后面加目录,都是些常用的目录,加了个upload回车返回的是“目录不能显示”,我马上来了精神,经验告诉我,在admin目录下的upload文件夹通常是由XX编辑器上传的文件。立刻在admin后面加了个ewebeditor,返回“无权查看”,那就是存在的意思了!要是ewebedit的登陆页面也没有删除就最好了!继续加admin_login.asp,哇~~通红的ewebedit登陆页面一下弹开在我的面前(图5),0 L- m% \1 s% x9 Z
[attach]1104[/attach] ( r9 z; r7 ?4 m- |; o+ r w, \- n* t# B1 O% ?有戏,默认的用户密码不起作用,好在可以下载数据库解破么!数据库的目录是db/ewebeditor.mdb,不错,数据库没有修改位置,顺利的获取加密的md5密码,cmd5解密也出来的密码jia717(图6),[attach]1111[/attach]0 B' v( z X+ n8 d
登陆ewebedit,增加样式,加了个文件格式asa,上传小马,成功拿下!!!(图7)。2 M2 u# ]) {. d: E* k1 d8 k
[attach]1112[/attach] . X p( D$ K t, g& }+ }: F9 q8 P0 Y5 L# o* P4 x
对于这种网站,我的做法就是马上废了它,数据都给删除,一个不留,不过又想了下,数据是删除了,谁保证这些人没有备份,刚刚删除马上就又给恢复了怎么办,而且还把漏洞给修复上,那这么多工作不都白费的么?不行,咱们给它继续搞。 1 @+ o8 w5 n$ U5 K 再次登陆webshell的时候已经是第二天了,怎么?我的webshell被删除了?一种不详的预感笼罩着我,这么快就被管理员发现了??幸好我还有一个留在正常文件里的后门,要通过在asp文件后面加参数才可以显示,不过不幸的是这个后门也被删除了,这个管理员倒是挺厉害的嘛,可以发现我的后门,不知道漏洞修补了没有。 % l- f5 D& m3 q+ \ 再次进去ewebedit,上传文件,这次运行马与以往不同了,显示:禁止运行ASP等活动脚本。晕咯,管理员还通过IIS对上传目录限制了运行啊,上传上去运行不了,麻烦事,无论怎么上传都是无效,昨天的战果就这样没有了么???不行,还要继续渗透。 ( [ U0 ^0 r3 h+ s& T 昨天的入侵留下了好的习惯,把整站都打包下载了回来,现在渗透正好用的着。打开了数据库看了下http://consigamont5173.com/dcvail/admin/login.asp的登录密码,成功登陆进去,想不到这个里面也有数据库备份功能(图8), 6 [' Z# x. w+ r* y: k[attach]1105[/attach]5 A" d, g1 D9 a8 s' S
测试了下,admin与这个备份功能定义的data文件夹是在同一个目录下,这就好办了,用ewebedit上传图片马,然后用这个后台备份功能转化webshell,我就这样传了个jpg的马,然后数据库备份功能转化了后缀,马成功生成了在http://consigamont5173.com/dcvail/admin/databackup/1.asp,访问,结果却还是显示禁止活动脚本运行,难道永远都不可以让马活起来么?答案是否定的,限制活动脚本运行可以对指定的目录设置,但是对于一些新产生的目录就无能为力了,备份功能的备份目录就起了作用了,我定义一个新的文件夹名,相信新的文件夹肯定可以运行这样的活动脚本吧!不出所料,这次我使用了123文件夹为备份的目录,备份功能乖乖的新建立了一个123文件夹,把我的Jpg小马也转化成了asp,呵呵,二次渗透成功(图9)。 ' G/ q# z$ [2 b- o7 X6 E[attach]1106[/attach]6 z4 R& `* n7 G7 [0 t4 v1 N$ F
一鼓作气,目标钓鱼者的计算机!!!首先是要获取对方的IP地址,没有什么很好的方法,就在CNZZ生成了一个统计的代码,可见就可以见吧,懒得去阿里妈妈生成隐藏的统计代码了,当然隐藏的更好,但是我现在就要一鼓作气,拿下对方!统计代码只查入在http://consigamont5173.com/dcvail/admin/login.asp这个页面,只要对方一打开这个页面,他的IP地址就会被记录下来,我要做的就是在CNZZ的后台守株待兔就可以了。 6 a8 Q x) o5 n$ v: N E 这人品说好还就是好,CNZZ的后台马上就记录了打开login.asp用户的IP(图10),8 S0 c! ^# V; |+ B
[attach]1107[/attach]/ b% K. m: j% e. {, M- y `
尽快,如果对方是ADSL的话,重新拨号就会改变这个IP,想追踪到就会很困难,何况这个统计代码是这么的明显。 , M& C U; K+ {9 | 现在面对的是很多小菜的一个问题:怎么指定入侵IP的计算机啊?虽然问题很弱智,但是方法还是有的,就是看看对方的计算机有没有什么微软的最新漏洞可以远程执行代码(想必对方也不会使用Linux系统的,呵呵)。/ G3 o6 L( A2 w
去网上找了一番,也就MS08067这个漏洞最新了,当时这个漏洞利用工具出来的时候,有多少计算机被成功的溢出,不知道今天运气有没有这么好,试试看吧。 4 ]% w6 `: t$ L5 Z; s; F 把溢出程序下到硬盘上,Cmd下执行ms08067 116.*.*.229,开始远程溢出,结果谁也没有想到我会这么顺利:溢出成功!!!(图11)3 H" w7 k1 O! o/ p( D, c. A6 q
[attach]1108[/attach]3 C! d: A3 R( v6 s+ y) p2 H
溢出成功,telnet连接,返回了对方的cmd shell,还等什么呢,马上net user tony 123 /add,net localgroup administrators tony /add,对方的机器中添加了一个tony的用户(图12),4 m( U+ s$ P0 f) A1 T$ e
[attach]1109[/attach]( w0 E! [* K' r: i* K* Q
好的木马我没有,因为我还不会免杀,咱可以用3389连接么,我这里正好有一个开3389的工具,对方的系统如果是XP,则自动会双开3389,其实只要拿到了cmd shell基本就可以确定这台计算机已经被控制了,马上使用了FTP命令从自己架设的FTP空间中下载并运行了这个3389.exe。 8 W# u5 r' E- K' V2 [8 t+ N+ U 如果不出意外,对方的3389远程登陆服务已经被打开了,现在剩下的就是要登陆对方的机器咯!!! + }9 ?5 f3 {9 D0 N; M& g' J( u 登陆成功,确认是钓鱼入侵者之后(图13), * x+ Y, H f% {3 h
[attach]1110[/attach]5 C8 B0 q, {, D* y& [+ L
然后嘛,黑吃黑,洗劫一番,然后用自己的工具粉碎性格式化对方的磁盘,留下个文本:哈哈,钓鱼害人也害己哦。作者: 柔肠寸断 时间: 2009-3-22 12:38
