IXPUB技术博客*fg6E3D;Ck
图1 某职校网站IXPUB技术博客6m g ~5kA_.Q(^8[
IXPUB技术博客R%RqtF.R一、信息收集
]^6YBX&C ZW0Mv)k btEx0 1.获取IP地址信息
2qX#i!g2ky&CJ3J%Q0IXPUB技术博客jU$r0eh%HT$s:g}直接打开DOS窗口,然后使用“ping www.**j.com”获取该网站的真实IP地址,如图2所示,通过ping命令知道该主机无丢包率,延迟时间为49。IXPUB技术博客5h)@/jZxM7N G7bt
D8?'i3F { dk0
图2 获取IP地址信息
&_}.}&x uaXdh0IXPUB技术博客,QG%R DU3K说明:IXPUB技术博客~:r$K6A u8k Of;K"C
IXPUB技术博客0P+E*{f+b?使用ping命令一方面是为了获取IP地址,另外通过延迟时间来判断网络速度快慢,也便于后期对该服务器的一些口令检测,例如mysql、mssql、ftp以及pop3等口令的检测。
Zu/IJu0IXPUB技术博客/fBd9Q"z1Ewxa2.初步获取端口开放情况
o|RxBPQ8V~8}0IXPUB技术博客/~uO:Ql+A使用“sfind.exe –p 61.*.*.96”命令来获取该职校服务器的端口开放情况,如图3所示,该服务器开放了21、80以及3389端口,通过端口扫描可以初步判断为该服务器为Windows系列。
!yI ~v/hyp(/w0IXPUB技术博客!V-]{A8K4^@
图3 获取端口初步开放情况IXPUB技术博客 I,m6M.^ ~[%qQ[i
IXPUB技术博客] [Si#x技巧:
_Q:S[D5uF%r9E4^h0IXPUB技术博客:Q#s'UrTr(1)3389端口一般为远程终端服务开放端口,只要见(该端口可以初步断定为Windows系列主机。IXPUB技术博客!VBP`;E:E
u7sV p lX0 (2)可以先使用3389远程终端连接器连接该IP地址进行登录尝试,如果登录成功,可以看到该操作系统是Windows2000 Server还是Windows2003 Server。本例中通过3389远程终端连接器连接,获取该系统为Windows2000 Server操作系统。IXPUB技术博客Rc2m6u,j
5nc aALc0 (3)可以使用superscan以及X-scan等扫描软件扫描端口,X-scan扫描软件个头比较大,扫描操作相对复杂,扫描结果比较全面。
7p7hQ^z6|,Doc6Y02W(Xo%K-p2FD0 说明:
{"rFE0Nh%[*e*EY0!zpR%MKPq H0 Superscan3.0版本扫描的结果可以直接访问80、21以及23等服务。二、口令检测IXPUB技术博客aZ ]f`1e$n&WkY
)qb/?4N}*l w0 1.扫描口令IXPUB技术博客x~Iby6x:o X^A
Zd$cw6sz'@L;B0 根据个人爱好,我一般是脚本检测和口令检测同步进行,在肉鸡上直接运行hscan,设置好参数开始扫描,在本次检测中比较幸运,扫描出该主机IP地址存在弱口令,在本地运行“CuteFtp8.0Professional”,单击“Site Manager”在其中新建一个站点,输入该主机IP地址和和获取的用户名以及密码,最后单击“连接”,进行登录尝试,如图4所示,登录成功。IXPUB技术博客`:M ~1x/R.@
/P1O1YX5Ru w;k0
图4 使用CuteFtp8.0Professional连接Ftp服务器
P|)@QUf F0IXPUB技术博客i4K{;F ~WP e2.信息分析
"?/k(wwZE0q/t8O g2xA$t0 通过“CuteFtp8.0Professional”软件对该Ftp服务器的当前用户目录中的内容进行查看,在图4中,我们可以看到该Ftp目录中存在conn.asp数据库连接文件,在该目录还可以看到一个比较熟悉的文件newasp.asp(木马程序常用的一个文件名称)文件,将以上文件下载到本地,并通过UltraEdit-32编辑器打开conn.asp文件,如图5所示。知道该Web站点使用的是Access数据库,数据库路径为根目录下的“database/”,数据库名称为“l***88.asa”,该网站系统使用的是PowerEasy,即使用动易网络论坛系列。IXPUB技术博客;u!O uPq4B
~|d /;~kIPA)o0
图5 查看conn.asp文件内容IXPUB技术博客J$f(Uv0`"| X
._7n$w.r5K L0 3.获取Webshell
8naL1yk0n0Mz1D6ha/K0 查看conn.asp文件后,继续查看其它文件,在newasp.asp文件中我们发现如图6所示,可以很清楚的看出该文件就是一个Webshell,从中还可以看到该Webshell的密码为“h***56”。既然获取该Webshell后,那就直接在该网站输入IP地址后进行尝试。
:u sp L_0.q'` y@$J p,I3Hi/L0
图6 获取Webshell地址三、实施控制和渗透IXPUB技术博客/xj5@V/H*M~uJ
IXPUB技术博客r|*nI2G0L:~:C-Y1.获取WebshellIXPUB技术博客 fC'ww2|3Y
s Lvi_M @4Ek4R0 在浏览器中输入“网站地址+对应的Webshell地址”,在本例中输入“http://www.n**.com/newasp.asp”,如图7所示,该Webshell可以正常运行,说明该Webshell可用。
:P Lm5H4GL6G Ir0IXPUB技术博客+SSSm@ QPVA
图7 获取WebshellIXPUB技术博客^ ~0BL Ht:Wha
Oz/`1a_ i+teR0 2.通过Webshell查看文件IXPUB技术博客P7S3F^7V'rm
IXPUB技术博客R3Sp%H_b在Webshell中输入密码后单击“登录”按钮,验证通过后,如图8所示,可以正常使用该Webshell,通过该Webshell可以看到该网站下的所有文件,通过Webshell可以下载、删除、移动以及编辑等操作。
+VWaQI%kArt00wCX:`we0
图8 通过Webshell查看文件IXPUB技术博客pP6PO0`5U;E
8V{Y*q pg+bq0 3.通过Serv-U提升权限IXPUB技术博客$@Fc Ix k9/.q
-HV Y ?*@.]v0 在该Webshell中单击“Serv-U提升权限(超强版)”,进入提升权限界面,在该界面中使用默认设置即可,然后单击“提交”按钮将添加密码为“pass13”,用户名称为“user13$”的用户到管理员组中,如图9所示。IXPUB技术博客5G)h7z,n&J X!{b6K.O
IXPUB技术博客jF?fW$eYnG
图9添加用户提升权限IXPUB技术博客+eo%?7x$sj/oC(d
Vd~M&v&Z(F'y0 说明:IXPUB技术博客RhAgm6zp
S e:/!d~+E9BpS2V0 (1)在使用Serv-U提升权限时,一般采用Webshell默认的用户名和密码为佳。(2)如果服务器口令有强制性设置,则在添加用户密码时需要满足复杂性要求,即要求满足大小写字母、特殊字符、数字以及位数等要求。
Y.M U B1e5v8~Y0rn X7{/4S0 4.提升权限成功
` y i)b5x7kQ0PU ?5i&PZ.jB-F0 如图10所示,提升权限成功后会给出相应的提示,不过需要注意有时候即使显示成功也不一定添加用户成功。
U{s f(g.z0thu{rHD0
图10 提升权限显示成功IXPUB技术博客"nP9j v#O$c!mn)` `
OHz+q%x%~]qv0 5.登录服务器
]9U @,K osHc0IXPUB技术博客 T(TB3X-r2x打开远程终端登录器(mstsc.exe),输入刚才添加的用户名和密码,进行登录尝试,登录验证通过后,成功进入该服务器,如图11所示,在该服务器上查看管理员用户组时发现除刚才添加的用户外,还可以看到“iis_helper”用户也为管理员组,通过查看该用户密码修改时间,获取该用户是2008年10月28日添加的,查看newasp.asp文件的时间是2007年8月11日,可以判断该服务器可能在2007年8月就曾经被入侵过。IXPUB技术博客"V(g4USc.Dq
IXPUB技术博客Gh9t/H ?E-?%H7O)}aD
图11登录服务器五、简单的安全加固
cm(rj(]*e9yj M0IXPUB技术博客#nS5r:v gF9r1.使用“360安全卫士”进行简单安全加固
.xc*psn0IXPUB技术博客-J?(B#O{!f cE)e'j在该计算机上发现安装有“360安全卫士”,打开“360安全卫士”对系统进行一些简单的安全扫描,如图17所示,在恶意插件扫描中,一共发现有9个,将其清除,修复系统存在的安全漏洞。后面还使用360卫士清理启动选项等,对该服务器进行简单加固。IXPUB技术博客? Ak%D-F]'m
e?5P9f7H3P6y~ B0
图17 使用“360安全卫士”进行简单加固IXPUB技术博客M n"Fm1L?JX
'[t6OY#wU;J+MIi0 2.使用杀毒软件清除系统中的病毒IXPUB技术博客 F^d[pe5c4Q
IXPUB技术博客6yv0jEQEn使用MacFee杀毒软件对系统中的磁盘进行扫描处理,如图18所示,发现系统中存在一些病毒,该文件所在目录为一个Ftp匿名登录目录,可以猜测有可能是入侵者利用社会工程学在进行挂马。
~K[p9DK"wu ~1}E0A-opj5u J~O8K#q0
图18 使用杀毒软件进行杀毒
)IHQ:t'F"z5h5Q+Z_0IXPUB技术博客~br-T5e3}六、总结IXPUB技术博客Q PX]uD(hCH
:t c3YN7c0 本次安全检测仅仅通过扫描Ftp、Mysql以及MSSQL弱口令就获取了某职业学校的控制权限,如果有时间和耐心应该可以渗透该内部网络。本次安全检测的关键就是通过“CuteFtp8.0Professional”软件获取了网站的一些关键文件,包括Webshell,直接通过Serv-U就提升权限成功,进而成功控制系统,就个人经验来说,可以采取以下一些措施来加固系统。IXPUB技术博客;R6@ ^.]Uup8{({j
IXPUB技术博客/P$q QVNS(1)重新更换系统中的所有密码,删除多余的管理员。IXPUB技术博客FC3/%Ov.U%P
4S$Ea D p0 (2)对系统进行杀毒、木马检测、端口查看、网络连接等安全检查。
RX Oh7Ax B8Q0s;sO7l8F)X-r4R0 (3)对网站代码进行安全检测,查看代码中是否包含后门和木马代码。IXPUB技术博客{dP e }L1sZ
IXPUB技术博客E3/6Z8t9Q1X;xur(4)安装防火墙并及时升级系统防火墙、系统补丁。
*Q2k"e:{5tYa0IXPUB技术博客2L#r T6|/V}6_l(5)更改3389端口为其它端口,在事件中增加安全审核,并仅仅授权管理IP地址,即仅仅某一个网段或者某一个IP地址才能访问3389。
8oW$~ Csjq$z%}0_yJ PG|1j0B0 (6)严格控制Ftp用户以及目录,如果没有特殊的需要,尽量使用Windows自带的Ftp服务。
pN%R&{? F6O$WPuI}0