为什么我会反常的写下这次入侵的过程?
其一:我入侵的这台服务器包含了以下网站
Note1="白鹤滩奇石"
Note1="水富组织部"
Note1="威信政府网"
Note1="威信党建"
Note1="招投标"
Note1="彝良政府网"
Note1="昭通民族中学"
Note1="巧家药山"
Note1="昭通城建"
Note1="昭通工商"
Note1="昭通一中"
Note1="镇雄党建网"
Note1="永善党建"
Note1="昭阳党建"
Note1="昭通药品监督管理局"
Note1="镇雄政府网"
Note1="昭阳工商"
Note1="昭通实验中学"
Note1="盐津红盾"
这其中有两个网站是我县的政府网站,不应该再让人乘虚而入。
其二:再次提醒一下,有很多管理员在对服务器权限配置时,只会对IIS的权限(Guest)做限制,而对ASP.NET视而不见。
其三:在入侵过程中,看到了一些其它人入侵过的痕迹。我不太确定对方是否得到了系统控制权。不能不写下。并通知道管理员。
首先,为了得到一个WEBSHELL,我先对这些网站一个一个做检测。
过程很简单,这些网站中,有不下五个站点可以得到WebShell的,这无非就是上传啊,Log备份啊什么的。略过。
WebShell上传成功了,开始吧!
先看服务器组件的支持情况:
Scripting.FileSystemObject (FSO组件) ┆ √
Adodb.Stream (Stream 流组件) ┆ √
Shell.Application ┆ √
WScript.Shell ┆ √
Wscript.Network ┆ √
明显Shell.Application ,WScript.Shell ,Adodb.Stream 这三个组件是应该被禁用的。但管理员没有。
有了这三个组件,可以做很多事。
再看现在系统中运行有那些服务!这方面也放行了,失败之二。
看来我最感兴趣的两个服务都有了,还没杀毒软件的影子。接下来的就简单了!
这个WebShell只能查看E分区(网站分区)的内容。其它的都不能看。(系统分区下还能查看用于提权的那两个目录!)
还是做了些限制。
于是,用WScript.Shell组件运行命令。
。。。。CMD被禁用了,无法运行。
拒绝访问。
缺少对象
好吧。那就自己上传一个CMD上去。还有Serv-U提权工具。
还是在这两个地方找到可写。
C:\WINNT\system32\inetsrv\data
C:\Documents and Settings\All Users\Documents
Documents目录是可执行的,于是直接运行WScript.Shell组件执行Serv-U提权工具,加管理员。
。。。没办法,不知道为什么。没有回显,再看用户列表。跟本没加上去。
怀疑中。。于是netstat -a -n。
43958打开。为什么不行呢?
更郁闷的是,连dir C:\WINNT\system32\inetsrv\data\都没有回显。
echo copy cd 等等命令都用不了。
应该是net.exe被禁用了。
上传一个net.exe上去。可还是没有回显,命令也没执行成功。
用Serv-U提权工具直接执行后门吧。倒。看样子OK了。但后门却没有自己删除,应该是没有执行成功。
开始郁闷了。
想想,这个服务器的配置还不算太好,应该还有方法可以的。
十几分种过去。。。。。。。。。。。。。。。。。。。。。。
突然想起有个网站用的是ASPX。那就是.net了,
于是上传一Aspx木马上去。
这回好了,USER的权限,管理员没有对它做限制,还是默认状态。
于是看一下c:\Program Files\serv-u\
OK,
可以更改INI文件。
接下来加一用户
[USER=emissary|1]
HomeDir=c:\
TimeOut=600
Maintenance=System
Access1=c:\|RWAMELCDP
开DOS,FTP上这个服务器。执行net user。
ftp> quote site exec net user emissary$ 123456789 /add
200 EXEC command successful (TID=33).
再加超管。
应该完成了。
命令成功执行。
OK管理员权限得到。其它的就什么都不要做了。这可是昭通电信的服务器来着。
当然,要得到管理员权限还有很多方法。
比如“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”写入VBS脚本。
比如找到一些常用程序捆绑它。
比如根目录下隐藏autorun.inf,自动运行指定木马。
等等。
通知管理员。
不能让我县政府网就这样没有一点保护。
由于看到其它人入侵过的痕迹。
所以,希望管理员能认真的查一下。
最好能重装系统。 |
