前两天群里有个站长朋友,说让我帮他检测一下网站是否存在安全漏洞,因为自己网站的事情,没有拖开身。今天朋友又提起,呵呵,利马抄起家伙开始工作。
网站系统没有见过看起来不是特别熟悉,应该不是比较流行的系统,程序是ASP写的,当然首当其冲的注入了,在参数后面加了个‘,非法字符,被过滤了,看来源代码开发者已经考虑了这一点,一般来讲,出现这样的提示,基本上应该不会有注入漏洞,因为防注入代码是写在数据库连接文件里的,所以任何一个页面都不会存在注入。
于是,拿出工具明小子(domain3.5),走了几个页面,同样没有注入漏洞,意料之中,接着检测以下默认的上传,居然没有,不是改了路径就是这套系统太简单,呵呵,不过简单也应该有上传啊。不管了,找下后台。在网站地址后面加上login.asp没有,admin_login.asp
传到后台(如图1)
图1
我是比较喜欢手动猜解一些后台和默认数据库或帐号密码的,根据经验,比较快,如果真的猜不到,在用工具。猜解了几个admin,admin不是,看看前台发布信息的管理员名称,不是。猜下数据库目录DATA存在,Data.mdb不存在,database.mdb不存在,换成ASP同样无法找到网页。突然看到后台最左边有个图片,看了下图片地址满特别的,于是就到BAIDU搜了一下,就一个搜索结果,以外的是居然会出现这种状况(如图2),
图2
差点晕了过去,整个网站的结构一目了然。于是,我找到了DATA下的数据库DOWN了下来,破了MD5,拿到了管理员的帐号。找到后台登陆了进去,进去之后更晕拉,凡是我们要用到的,他是应有尽有,什么上传,备份,(如图3)
图3
把木马更改为图片格式,然后备份成ASP,就这样得到了webshell.
图4
这管理员是不是专门把这个站给我们练手的啊,学黑客技术这么久,就没见到一个这么顺利的webshell,从入侵到结束没到2分钟,如果上天再给我一个重来一次的机会的话,我一定对管理员大哥说声“还有吗?”呵呵,开个玩笑。
Webshell到手,那么下一步当然就是服务器提权的工作了。其实,从一开始发现浏览权限的时候就发现,他应该是个个人服务器,因为虚拟主机是不可能出现这种低级错误的。
进去先看看服务器的环境,一下子傻了,老天,别玩我了,DEF盘全部是NTFS格式的什么都不能做,但惟独C盘是FAT32(系统盘),你这不扯吗,管理员大哥啊,你狠。
于是进入C盘,看了一圈,管理员大哥不是公安吧,等我进去在抓我,不管了谁让你那么吸引我来着。
看了下program files文件夹看看他都装了什么软件。嘿!Radmin,PCanywhere,这大哥要是连3389都开了那真就太强了。是远程管理他都用,就差没用鸽子了。
到C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere这个目录下找到*.cif文件,一共两个。如图(5)
图5
用PCanywhere密码破解工具,1秒钟,帐号密码就都出来了,没什么说的,直接连进去了,本来入侵应该是算结束了,可就这么简单,觉的有点对不起好安全网的兄弟们,呵呵看看其他办法。
没看到他装SERV-U,不过也许是装到了别的目录里,于是拿出Serv-u提权工具,赫然的HaoSec.TS闪亮的用户名出现在管理员组,相当郁闷,这管理员能不能给我个有锁的们啊,就这么开着,不进去我对的起谁啊。与是乎连小猪都笑了。
现在剩下的问题就是找终端了,开了就找他的端口,没开就给他开,可看到他服务器上也有不少用户,应该是开着的,要不怎么管理那。
于是在提权工具上输入cmd /c net start >d:/dir/1.txt,将系统服务回显到网站根目录的1.txt文件中。
可以看到他是开了终端服务,在运行cmd /c netstat -an >d:/dir/2.txt 发现没有开放3389端口。
于是可以肯定的是终端的端口被更改了,那么现在的问题就是寻找终端服务所对应的端口是多少,如果找到那么问题就解决了。我上传了个FPORT,是用于查看系统服务对应端口的,不过这个工具的缺陷就是,运行他至少要有USERS组权限,于是上传个ASPX木马,郁闷的是服务器不支持.NET。词路被封死了。
不过条条大路通罗马,我让看我一个个找行不,于是对照2.txt尝试每个可疑端口,2分钟,服务器又沦陷了。
不过突然间想起来,我要检测的不是这个服务器啊,晕了,于是下下来原码,分析下朋友网站的原代码有没有其他的漏洞,就留到下次文章里吧。
非常重要的是,这台服务器十分有可能是谋银行的分机,于是迅速的通知了管理员,真的希望管理员朋友们能持一个认真负责的态度,如果服务器的敏感信息泄露出去,那损失可就巨大了。
