危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18943206

考试卷子是这样拿到的

第一节课:踩点机房

踩点,是渗透的第一步,又叫做“信息收集”。目的是收集对方的信息,并在渗透过程中加以运用。掌握了对方信息的多少,是决定渗透测试成败的关键要素。可通过搜索引擎深度搜索、社会工程学欺骗、扫描主机端口和漏洞等方式来获取对方各种信息。   

作为学校机房,为教学方便,所有机器内的系统配置都相同,并安有一致的应用程序,还安有还原精灵。这样的配置环境中,更加便于渗透——因为系统内部的配置都一样,只要在本机中找到安全问题,对应其他的机器也会存在着相同的安全问题。只要渗透了一台机器,就等于渗透了整个机房。      

首先要收集一些重要的信息:IP地址、系统开启的端口、系统漏洞补丁更新状态、系统开启的服务,以及部分涉及安全的相关配置情况,例如远程桌面是否开启、是否有共享、账号空口令等等。我将此次踩点结果整理成表。      

首先要收集一些重要的信息:IP地址、系统开启的端口、系统漏洞补丁更新状态、系统开启的服务,以及部分涉及安全的相关配置情况,例如远程桌面是否开启、是否有共享、账号空口令等等。我将此次踩点结果整理成表。     

渗透之前还需确定IP范围。机房内共有4排主机,每排20台。本机IP地址是10.10.25.31,子网掩码是255.255.255.128,网关是10.10.25.7,可以计算出IP地址的范围是10.10.25.1~10.10.25.126。现在只用对这个范围内的IP地址渗透。    

第二节课:尝试渗透

通过第一节课的踩点,已确定先从SQL Server,下手。但在渗透前,还需要做一件事,由于每台机器上都安有教学管理系统,主机是可以看到学生端屏幕的,渗透教师机当然不能让老师看到你在渗透他,必须关闭它。

机器上安的是一款名为“极域电子教室”的教学管理系统。学生端上的一般是不会提供“退出”功能的。我尝试了用任务管理器结束学生端的进程StudentMain.exe,提示“无法完成操作,拒绝访问”,看来是它HOOK了SSDT里的NtOpenProcess函数。不过也没关系,因为我发现系统里的智能ABC输入法版本是5.0的,该版本存在着一个非常经典的漏洞,只要依次按下V、↑、Delete、空格键,即可使对应的程序崩溃。为崩溃学生端进程,我找了一处可输入字符的地方,在传送文件给教师机,选择文件时,这里可以输入字符。将光标置于“文件名”后面的输入框内,依次按下V、↑(方向键)、Delete和空格键,程序立即就死了。  

由于SQL Server是SA权限,空口令。我用SQL Server自带的“查询分析器”来登陆。 

登陆成功,没有任何问题。

多尝试几个IP,都会成功。既然是SA权限了,接下来的一切都好办了。为了渗透教师机,先确定教师机的IP地址。

回忆上节课确定的IP地址范围,以及记录下来IP 地址10.10.25.31。上节课我坐的位置是从门往内数第二排,已知每排20台(直接数机器数确定),大胆猜测IP地址划分是从10.10.25.1开始(排除网关地址10.10.25.7)到10.10.25.81结束。

这节课我坐的机器本机IP为10.10.25.51,为了准确定位,我先按顺序数物理机器的某一台机器所在位置,然后恶作剧般将它电脑重启。我重启了旁边第二个同学的主机10.10.25.49,他的物理位置是第50台(因为要排除网关地址10.10.25.7)。用“查询分析器”登陆10.10,25.49。

几秒后,该同学电脑重启。然后用同样的方法多试几台机器,都跟我预计的一样,那么直接

按顺序数教师机的物理位置,对应的IP地址应该是10.10,25.62。

用tasklist命令列出教师机当前运行中的进程,看看是否有教学管理系统的控制端进程运行。之前我结束的学生端进程名为“StudentMain.exe”,根据命名规则,可推断出控制端进程名应该带有“Teacher”字样,我找到了进程TeacherMain.exe。已确定这就是教师机IP。并在进程列表中看到了远程桌面连接的进程mstsc.exe,这老师习惯用远程登陆到他办公的电脑中进行教学演示,因为机房内就连教师机也有还原精灵,课件、软件环境,教师机里都没有。

看来,眼光得放远点了——拿下他办公室机器的权限。但由于没有足够的工具,不得不结束此次渗透。     

第三节课:最后的入侵

这节课渗透的大概过程:先用灰鼠远程控制生成服务端,再用SQLTool将服务端上传至教师机运行之,紧接着结束教师机上的远程桌面连接,让他误以为是电脑故障,并趁他再次去连接远程桌面时,用灰鼠远控的键盘记录功能记录他的终端密码。    

第三节课我有备而来——将SQLTool和灰鼠远程控制拷贝到手机里带人机房。很不幸,这节课来晚了,机房除了靠近教师机的机子无人坐,其余都坐满了。无奈之下,我从中选出最安

全的位置——背对着教师的机器,然后坐下,并将教学管理系统崩溃掉,再关闭我右侧那台电脑的显示器,将显示器位置调至可反光看见教师的角度,便于观察教师的一举一动。通过显示器反光看到教师讲课的画面。

接着,配置灰鼠远程控制的服务端。IP地址就填成本机的静态IP,其余默认即可。

然后运行SQLTool,连接教师机。连接成功后,选择菜单栏上的“利用工具”——“上传文件”。    

上传成功后,检查木马是否已成功上传。   

接着执行命令“c:\server.exe”,数十秒后,主机上线了。

我打开屏幕监控,他还正在监视学生机的屏幕。

最后,直奔目标。用灰鼠的进程管理结束进程mstsc.exe,再打开键盘记录功能,不久就捕获到了他输入的终端密码了。   

至此,我已经拿到了权限。

终极窃取

临近期末,一次在多媒体教室上课时,他讲了这么一个插曲:前两年本校有名学生窃取了某位老师的内部邮箱账号,并偷走了邮箱内的期末考试试题,后来该同学的盗窃行为被老师发现,给了他严厉的处分。之后学院规定所有老师不得将期末考试题通过网络传播,只能通过U盘直接拷贝。

他的描述无意间就透露出期末考试卷子在他电脑里,于是,这节课我很仔细地盯着大屏幕,看着他在教师机里操作的每一个步骤。大致了解了办公机里的分布情况:C盘为系统盘,D用来安装应用程序,E盘存放了与工作有关的资料,F盘是放的电影、歌曲。他访问最多的是E盘,并且他不小心打开了E盘一个名为“与工作有关”的文件夹,那瞬间我看见里面存放的有些文件命名方式都是“XX专业……”、“XX专业”的Word文档。期末卷子很可能就存放在这里。  待到第二日来机房上课时,我准备对其下手。他正用教师机连接着终端的,办公室里的机器装的是XP,XP默认是不支持多个用户同时连接终端的,如果直接连接过去,他会被强制挤出来,容易引起怀疑。还好我们机房开机速度很慢,并且进了系统后要想正常操作,还需等极域教学系统启动完成,总共要花两分钟左右。所以我决定关闭教师机。在关机+重启的这段时间内拷走期末试题是绰绰有余的。

为便于拷贝,我在连接远程桌面时,选中了本地资源的驱动器,连接进终端后,就可在他电脑里看到我本地的磁盘了。

用SQLTool连接到教师机,先用taskkill命令结束远程桌面的进程,进程结束后我就马上连接了终端,然后再用命令“shutdown-s-t 0”关闭他机子。

进入到E盘该目录下,按下组合件Ctrl+A、Ctrl+C,再打开本地磁盘CtrI+V,很快完成拷贝工作。最后还原他打开的窗口,并离开终端。完美地拷走了卷子。

悲剧的是,拷走的试卷里没有我们专业的。望通过本文,可提高大家的网络安全意识。