某日在论坛上看到有人发贴寻求能写某程序的人,当时刚好没事干,看那人又是我们西安本地的,就联系他,说帮他开发那套程序,说白了就是偷代码。
首先看了一下他的网http://www.xxx.com(我以这个域名代替),是ASP+Access+雪孩BBS。一般我先从BBS入手,从网上找到了此网站的源代码,发现内核就是用的DVBBS,很自然地找到默认数据库地址,地址栏输http://www.xxx.com/bbs/DataBase/Snowboy.mdb,顺利下载到数据库,破解出了MD5,我以为在一切顺利的情况下就可以搞到个WebShell了,然而当上传JPG木马准备备份的时候发现出错,如图1所示。返回首页看了下,不支持FSO,备份没办法用。
图1
论坛的“基本设置”里可以设置上传类型,加了个ASP后缀,返回前台,还真上传成功了ASP文件,但是在地址栏输入文件地址却显示“您试图从目录中执行 CGI、ISAPI或其他可执行程序,但该目录不允许执行程序。”,搞了半天也没想出什么好办法,放弃论坛!
在主站部分,我又找到了可以上传照片的地方,但NC提交不成功,其他工具也不可以,于是开始用上面获得的论坛的管理账号和密码(账号用ddst代替)登录主站后台,试了多种组合依然不能成功。后来又想到,要是能在这台服务器上找到一个注入点,再加上DVBBS后台显示路径,基本上就可以备份马了。于是我就一个站一个站的找,还真找到了注入点,不过仔细一看是Public权限,Public在默认情况下是没有备份权限的,在注入点上执行后确实没有备份权限。又扫了下同段的服务器,运气还算好,成功找到一个Discuz5.0论坛,并暴密码成功,服务器环境是Apache+Windows 2003,默认情况下是System权限,模板写进去马之后可以执行,确认开放3389,但端口被改。打开CMD切换到S下,执行“s TCP 211.155.221.XX 1-65535 512”,成功扫到终端端口5151,mstsc连上服务器,“tracert arp –a”下发现在同一网关,装有WinPcap4.0,Cain后无法嗅探,大概做了防ARP设置,看来ARPsniffer也走不通了……另寻出路!
在Google上搜索他的ID:ddst,发现在好多站长站上都注册过,进了一个他注册过的DVBBS论坛,没有更改默认数据库,顺利下载数据库,破出了ddst的密码是ddst1314521,然后用ddst/ddst1314521登http://www.xxx.com/admin/login.asp后台失败,用admin/ddst1315521登录成功,如图2所示。后台界面很简单,只有ewebeditor可以利用,但后台地址被删。这时,有点绝望,费了那么多神,放弃的话……。在ww.net.cn上又查了下他的域名信息,如图3所示,记下他的邮箱ddst@163.com,然后在Google和百度狂搜他的邮箱和ID,最后找到了他的QQ,知道了他经常上的网站是im286.com、bbs.china.com。借用了女同学的QQ号加了他,跟他不时的聊上几句,因为他总是隐身,看不到什么时候在线,这样做是为了收集他每天上线的时间和习惯,大概了解到了他是个人站长,没有固定工作,而且每天下午睡觉。随后我就一直试验他的邮箱密码,希望能找到更多有用的信息,一翻艰苦磨难后,最后用ddst198211顺利登录。接下来就是查看一些邮件了,但查看邮件的话对方会知道,没有被查看过的标题是黑体字,最后想到了一个好办法,就是用163邮箱的双克隆功能,把邮件克隆到我申请的邮箱里,在我的邮箱里进行查看。邮箱里好东西还真不少,发现他在万网注册过,而且还是代理。用万网密码找回功能,直接修改密码进入了他的账户,如图4所示,在“个人资料”中找到了很多有用信息,手机号、身份证号、地址等,如图5所示。最重要的是,找到了一张服务器的托管协议。上面虽然写的是公司,但其实经过一系列调查,发现其实就是一个个人站长租的服务器,那就先搞个WebShell上去看能提权。一般像这种情况,比如是卖空间的我就装作大客户的样子,先让他们给开点空间测试一下,如果可以就买上几十个G;如果是个人服务器,也就买空间什么的,反正发挥聪明才智,让他给开个空间,带数据库,如果发现路径有规律就直接用MSSQL备份过去或者列路径。这样,我就用QQ加了那个人,以买空间的名义让他给开空间,说试用两天,没问题就打算买10个G,那人看有钱赚,很爽快地答应了;然后就问他都有哪些服务器,挑选了xxx.com所在的服务器,让他在上面给开空间,又说需要MySQL数据库支持。一切很顺利,直接得到了FTP和MSSQL。连接数据库之后发现是Public权限,Public权限默认情况下是备份不了的,试了之后果真如此。然后我装作什么都不懂,问他为什么程序不能正常运行,后来我说我们技术说是数据库权限问题,终于,他把MSSQL账号权限设成了DB,OK,开工!
图2
图3
图4
图5
由于禁止外部连接,那就自己构造一个注入点吧。在数据库里建了个admin表,写了个ID的字段,用conn.asp连接数据库,再建立一个x.asp文件,内容如下。
<!--#include file="conn.asp"-->
<%
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id '
rs.open strSQL,conn,1,3
rs.close
%>
在NBSI里输入http://my.xiaozei.cn/x.asp?id=1”可以注入,本以为结合之前BBS的路径备份一下就结束了,但最后才发现原来之前的BBS目录是虚拟的,服务器关闭了错误提示,没办法列目录,猜了好几个目录也不行,传了个免FSO的马上去提权也没希望。看来只有另想其他办法了……
既然他的手机号、身份证、地址、邮箱、姓名之类的所有信息,那我就等于是他了吗?而且手里还有他的一份托管协议,于是想到了机房那边。一般这种天天挂网上的人都是以QQ联系的,什么都知道了,弄他QQ密码过来应该不难,而且邮箱里有他之前取回QQ密码的记录,说明这个邮箱就是绑密码保护的。身份证号现在有了,就差保护答案了,查了下密码保护问题,问题是:您老婆的生日是几月几号?于是我用手机发短信给他。
我:昨天我生日,你老婆送我礼物了,替我谢谢她。
他:你是谁啊,我怎么不知道?
我:啊,哈哈,我不告诉你,你当然不知道。明天见了再说吧。
他:哦。
我:对了,你老婆生日几号,到时候我也送他个娃娃。
他:哦,她是4月20号的,都过了,你不知道?
…………
得到了生日,更改了几种组合后,顺利得到了他的QQ密码,上去发现有个网名叫世博科技的,签名上写着什么虚拟主机价格之类的,看来就是他了。前面用女QQ和他聊天时发现他每天下午时间都不在,大概是睡觉时间,于是就在他正忽忽大睡的时候,我上了他的QQ和世博科技的人说话。
我:你好,我服务器密码忘了,很急啊。
世博科技:哦,请问您的IP是多少
我:211.155.XXX.XX
世博科技:这服务器确实是我们公司的,您打电话XXXX与我们技术部联系吧。
……打电话联系……
我:您好,我服务器密码忘了,客户一个站在测试,今天得给人家交工。
技术:服务器密码如果您改过的话,我们没办法帮您找回或修改的,忘记密码只能ghost恢复系统了。
我:那就恢复吧,现在真的很着急。
技术:您寄张您的身份证复印件以及托管协议过来,我们这边确认后才能给您恢复。
我:不是吧,寄过去得一两天呢,我那些程序今天必须得下下来,不然损失好几万,托管协议我用签协议时候的邮箱给你发过去,还有身份证号什么的,不都一样的嘛,不然我公司的损失你给负责啊。
技术:那请您稍等下,我征求下上面的意见。
(……半个多小时后电话回过来)
技术:您好,上面同意您用邮件的形式发证明材料,您把信息发送到admin@11111.COM,确认后我们会给你进行ghost恢复,初始密码会变为11111.com@777,请您及时修改密码。
半个小时后,我成功用11111.com@777登录服务器,打包,下载程序。一般我不习惯留后门在服务器上,只是放个gina,留好多一句话,记下Root密码,然后把启动项目权限设置为可写,把任何一个系统软件,如su的目录设置为eveyone完全控制,记下一些数据库路径什么的,一般都很少丢。
回顾这次入侵过程,没有用到什么高深技术,不是所有的服务器都可以用纯技术方法去入侵的,所以一些容易被人忽视的人为漏洞就成为了我们突破的目标,其实漏洞就是人为的疏忽,制度的不规范不严格导致的
form:黑客防线 ****年10月版