作者:佚名 来源:http://www.bukua.com.cn/news/shentou/info-2301.html发布时间:2008-8-23 12:04:31
对X盟的一次渗透 |
作者:佚名 来源:不详 发布时间:2008-8-23 12:04:31 |
|
X盟是国内一家著名的网络安全公司(注:此文不便透露该网站真实名称,所以用x盟为名),可以说在安全界是无人不知。所谓树大招风,曾有不少入侵者企图入侵x盟或者找到一点bug,但绝大多数人都以失败而告终,其中当然也有个别的成功者,比如几年前小鱼巫师利用sql injection技术把x盟论坛的数据库删除了,造成了一定的影响。正是由于x盟在安全界非常显眼,所以也激起了我心中从来都不曾安分过的挑战欲,我决定在周末对其进行渗透入侵。下面是简单的渗透过程以及思路(不论结果如何只注重过程): 1. 首先进行一系列的信息收集: C:/>ping bbs.xxxxxxx.net Pinging bbs.xxxx.net [21.16.6.16] with 32 bytes of data: Reply from 21.16.6.16: bytes=32 time=110ms TTL=236 [注:这里的bbs.xxxxxxx.net和21.16.6.16是假设的,如有雷同则纯属巧和]
|___ 29 MSG ICP |___ 31 MSG Authentication |___ 33 Display Support Protocol |___ 37 Time |___ 38 Route Access Protocol |___ 35 any private printer server |___ 39 Resource Location Protocol |___ 41 Graphics |___ 42 WINS Host Name Server |___ 43 Who Is |___ 44 MPM FLAGS Protocol |___ 45 Message Processing Module [recv] |___ 46 MPM [default send] |___ 47 NI FTP |___ 48 Digital Audit Daemon |___ 71 Remote Job Service |___ 67 Bootstrap Protocol Server |___ 69 Trivial File Transfer |___ 72 Remote Job Service |___ 70 Gopher |___ 68 Bootstrap Protocol Client |___ 73 Remote Job Service |___ 74 Remote Job Service …………………………………………
接下来顺利地利用rpc溢出得到了21.16.6.30主机的系统控制权,并且21.16.6.30还有终端服务(端口:3389),这点我不是太了解,为什么90%的域控制器都开放3389?接着登录上21.16.6.30的终端服务,先看一下:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME >test rdp-tcp#9 1 运行中 . 2003-4-14 12:28 还好3389只有我一个
清单是空的。 这里也没人 这下可以放心地干了,先安装winpcap 2.1,然后安装x-sniffer对bbs.xxxxxxx.net进行攻击,先看一下本机:
Windows 2000 IP Configuration Ethernet adapter 本地连接:
IP Address. . . . . . . . . . . . : 21.16.6.30 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 21.16.6.1 OK,运行x-sniffer工具配置好并抓包,一会功夫就有了结果:
驱动器 C 中的卷没有标签。 卷的序列号是 68AB-0241 C:/ 的目录 2003-04-14 11:20 1,474,800 log1.txt 1 个文件 1,474,800 字节 0 个目录 961,003,520 可用字节 再来看看有什么好东东:
---------- A.TXT
act=Login&do=01&UserName= lanker&PassWord=ljyjsjx9803 UserName=aoxue&PassWord=KFmyTUav UserName=antisecurity&PassWord=nsfocus ………… 随便用adam用户登录,发现真的进去了
ping –A http://www.xxxxxxx.net/ Pinging www.xxxxxxx.net [211.16.6.16] with 32 bytes of data: Reply from 21.16.6.16: bytes=32 time=181ms TTL=236 Reply from 21.16.6.16: bytes=32 time=130ms TTL=236 Reply from 21.16.6.16: bytes=32 time=191ms TTL=236 Reply from 21.16.6.16: bytes=32 time=150ms TTL=236 Ping statistics for 21.16.6.16: 原来bbs论坛和x盟主站是同一台web主机,怎么原来没试呢。再看看mail服务器是不是,如果是的话还可以得到他们公司员工的E-mial密码了,这样可就真的赚大了。先看看对方的域信息:
[ns.szptt.net.cn] *** Can't list domain ns1.xxx.com: BAD ERROR VALUE
Default Server: ns1.xxx.com > ls -d xxxx.net [ns1.xxxx.com] xxxx.net. SOA xxxx.net root.xxxx.net. (2003021801 86400 1200 604800 3600) xxxx.net. NS ns1.xxxx.com xxxx.net. NS dns1.hichina.com xxxx.net. A 21.15.8.69 xxxx.net. MX 5 mail.xxxx.com smtp A 21.152.8.69 security A 21.167.67.16 intra A 10.0.0.1 pop A 21.15.8.69 magazine A 21.16.67.16 localhost A 127.0.0.1 mail A 21.15.8.69 www A 21.16.6.16 bbs A 21.16.6.16 ns1 A 21.152.8.69 xxxx.net. SOA xx.net root.xxxxx.net. (2003021801 86400 1200 604800 3600)> 怎么说这里都是一处安全隐患吧,dns居然可以支持读取域名信息,这里我成功读取了x盟的整个域的信息,让我们非常清晰地看到了网站结构。好,我们看到对方的mail主机IP是21.15.8.69,看来我们没法用刚才的肉鸡进行嗅探了呀。先看看mail的版本和配置的如何:
ESMTP 软件配置的还可以。再确定是否真的不在同一网络,否则错过岂不可惜:
Tracing route to 21.15.8.69 over a maximum of 30 hops 1 <10 ms <10 ms <10 ms 192.168.0.1 C:/>tracert 211.167.67.167 Tracing route to 211.167.67.167 over a maximum of 30 hops 1 <10 ms <10 ms <10 ms 192.168.0.1 呵呵,没戏唱给Mail服务器听了。不过我们还是可能对Mail服务器arp欺骗的,聪明的读者一下就想到了,我在这就不说了
|