五一这几天在学校呆着没意思,老师:“学生么,在这个考验我们的时候可不能无所事是呀。充电…!”
汗!于是,我把一年多来学的有关网络安全的知识总结了一下。然后就有了这次入侵检测!
现在的黑客入侵和前几年的不一样了,从系统漏洞搞得到CmdShell的好事越来越少了。其实这也是好事,所有的入侵都从那里来这也不符合黑客精神,每天都生存在挑战之中,不断的发现问题解决问题!这样才活的有意思!
脚本入侵的兴起,也是给我们这些喜欢动脑筋的菜鸟们(自夸^_^)在没有高深的编程基础下一个入侵的机会。
SQL注入正在现今中国的土地上生根发芽,于是我就到http://site.baidu.com/list/60daxue.htm中找了各大高校做测试。自己也是大四的人了,也想看看外面的“世界”,看看那些名牌大学的网站的安全怎么样!
脚本漏洞发现
找注入漏洞的方法是用阿D注入工具II,采用的是多线程技术,一个字“快”,它还可以检测出php注入漏洞。通过它我发现了http://www.xxx.edu.cn/ReadNews.Asp?ID=1037有注入漏洞。现在的判断方法有:
(1) and 1=1; and 1=2
(2) /**/and/**/1=1;/**/and/**/1=2 (对付过滤空格的Asp)。还有注意搜索型注入也是会存在漏洞的。不过后者没有工具,只能手工注入。
找Web虚拟目录
这是我们入侵的第三步。为什么要找Web目录?很简单,要上传我们的Asp木马呀!是SA连接的MSSQL Server数据库。哈哈,你死定了!我们一定有列举目录的权限,它是已system权限运行的,操作系统的最高权限呦!列举目录的原理是在数据库中建立一个临时表,再调用存储过程xp_dirtree遍历目录还有xp_subdirs获得子目录,然后暴出来。找了半天,连鬼影都没找到!郁闷呀!怎么回事,没有Web目录,我还是第一次碰到!难道是分布式系统?Web服务器和数据库服务器不在一台机子上?
幸好还可以运行命令,原理是利用xp_cmdShell存储过程。先看看它的操作系统的版本号 DOS命令
ver , 这个命令可管用了在WebShell中没有权限限制,有时看boot.ini就可以,但是主机的权限设置的好就不能看。是2k的机子!运行了两个命令:net start ;net view;netstat –an;
IPconfig -all ; ping www.xxx.edu.cn
从这里我们可以看出很多主机的信息 :
(1) 这个网段中有八台主机,其中Web-Server和database –Server是分开的,证实了我上面的猜测。
(2) database –Server主机的IP地址是 202.xxx.105.10; Web-Server主机的IP地址是202.xxx.105.8
(3) database –Server主机没有安装IIS 没有开80端口
(4) database –Server主机开了3389端口,但是有防火墙rising personal firewall service ;可以添加用户,然后用mstsc连接 net stop rising personal firewall service。不过其它几台中可能有硬件防火墙。
(5) 安几个Rootkit然后用1403端口连接就搞定。然后用嗅探工具继续渗透!可是难度可想而知。首先,上传文件这一关就过不去,我想防火墙的规则可能是除了1403端口,其它都甭想。如图2-6所示。
.
分析网站的组成,找突破口
自己的WebShell上不了database-Server数据库的主机,那Web-Server应该可以吧,但是不能echo写到Web服务主机,那它一定有后台管理吧!
操家伙上!用教主SQL注入工具Scan它的后台,结果什么都没有!郁闷呀!现在的网管的安全意识很高的,知道改名了。
想了片刻拿出了看家本领,Flashget,后台管理也要见人的呀 所以一定能找到的。在Flashget工具中站点资源搜索器中输入http://www.xxx.edu.cn/,慢慢找它的后台。Login.htm应该是了吧!NBArticle的后台就是这个样子的 htm提交Asp处理。打开还真的是。编这个网站的程序员是个高手呀,然后在数据库中找admin&password的类似的字段。找到后登录。
限制IP登录范围,够狠!网管也是把好手!照这样看来其他它的登录界面也甭想了!
The Same !郁闷ING!
看看其它的 我就不信没有缺陷!翻数据库 就这样一个多小时过去了!
进入内部网 好东西呀!可能是个突破。如图11所示。在数据库中找到了进入的用户名和密码。
网络办公应该有上传的地方吧!
对应的数据库中的数据库名和目录的名我发现了进入网络办公的用户和密码。成功进入。
上传WebShell
新闻管理有上传文件附件的地方!上传个Asp文件看看,晕!成功!连SAllowExt=replace(Ucase(SAllowExt),”Asp”,””)都会忘了写!先上个小马,然后再上个大马。把海洋2006木马改个密码123456!,为了隐藏我把文件名写成vote.Asp!传上去把木马备份!然后delete上传的文件附件。
把自己的IP记录搞定。然后传上我新备份的WebShell。
看看它的WscrIPt.Shell可用否!
Net user
\\xxxxWEB-SERVER 的用户帐户
-------------------------------------------------------------------------------
admi-xxxxWeb-Server admi-dailisi-8232134 administrator
Guest IUSR_xxxxMSSQL2000-S IWAM_xxxxMSSQL2000-S
TsInternetUser
命令成功完成
可用!!
看看它的网络配制!
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : xxxxWeb-Server
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地连接:
Connection-Specific DNS Suffix . :
DescrIPtion . . . . . . . . . . . : HP NC7781 Gigabit Server Adapter
Physical Address. . . . . . . . . : 00-0B-CD-D3-7E-4F
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 202.xxx.105.8
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 202.xxx.105.254
DNS Servers . . . . . . . . . . . : 202.xxx.105.1
又看了它的conn.Asp
<%
strSQL="DSN=Cugb_News;uid=xxxnews;pwd=cxxnews;"
Set Conn=Server.CreateObject("ADODB.CONNECTION")
Conn.Open strSQL
%>
[id]:21[pwd]:2395=*@#@ [userid]:cbz
我可爱的WebServer呀!终于到手了,哈哈^_^ !(提取的事留给你吧)
隐藏&加密WebShell
方法很多,由于我是个菜鸟,不会编程就写几个简单易用的方法。
(1)用C/S型ASP木马,服务端就一句话,然后用微软的加密工具加密,我用的是牛人编的GUI界面的版本,然后用冰狐浪子的ASP时间修改器上传到服务器上改时间。
(2)用伯乐相马木马免杀器加密。如果知道它安的什么杀毒软件,就可以制作免杀的Asp木马了!这我就不演示了!
(3)最好的办法就是把调用Shell的部分封装到dll里!这也是趋势!动易文章2005大部分是调用dll文件。这样一来可保护登录密码不会出现蓝屏Asp木马的悲剧,二来不用提权了!dll运行插入到System进程中,不就是系统权限吗?虽然想法有点幼稚,但是我相信只要你有黑客精神,有永不放弃的精神!你就可以做到