论坛: 黑客进阶 标题: 国内某著名安全站点的安全测试始末 复制本贴地址    
作者: bridex [bridex]    论坛用户   登录
作者:我们论坛里的一位版主:)

盟是国内一家著名的网络安全公司(注:此文不便透露该网站真实名称,所以用x盟为名),可以说在安全界是无人不知。所谓树大招风,曾有不少入侵者企图入侵x盟或者找到一点bug,但绝大多数人都以失败而告终,其中当然也有个别的成功者,比如几年前小鱼巫师利用sql injection技术把x盟论坛的数据库删除了,造成了一定的影响。正是由于x盟在安全界非常显眼,所以也激起了我心中从来都不曾安分过的挑战欲,我决定在周末对其进行渗透入侵。下面是简单的渗透过程以及思路(这不论结果如何只注重过程):




首先进行一系列的信息收集:


C:\>ping bbs.xxxxxxx.net




Pinging bbs.xxxx.net [21.16.6.16] with 32 bytes of data:




Reply from 21.16.6.16: bytes=32 time=110ms TTL=236


Reply from 21.16.6.16: bytes=32 time=91ms TTL=236


Reply from 21.16.6.16: bytes=32 time=110ms TTL=236


Reply from 21.16.6.16: bytes=32 time=100ms TTL=236




Ping statistics for 21.16.6.16:


[注:这里的bbs.xxxxxxx.net和21.16.6.16是假设的,如有雷同则纯属巧和]




用superscan进行全端口扫描的结果:


* + 21.16.6.16


|___ 29 MSG ICP


|___ 31 MSG Authentication


|___ 33 Display Support Protocol


|___ 37 Time


|___ 38 Route Access Protocol


|___ 35 any private printer server


|___ 39 Resource Location Protocol


|___ 41 Graphics


|___ 42 WINS Host Name Server


|___ 43 Who Is


|___ 44 MPM FLAGS Protocol


|___ 45 Message Processing Module [recv]


|___ 46 MPM [default send]


|___ 47 NI FTP


|___ 48 Digital Audit Daemon


|___ 71 Remote Job Service


|___ 67 Bootstrap Protocol Server


|___ 69 Trivial File Transfer


|___ 72 Remote Job Service


|___ 70 Gopher


|___ 68 Bootstrap Protocol Client


|___ 73 Remote Job Service


|___ 74 Remote Job Service


…………………………………………




这不是误报,这肯定是IDS产生的端口。看来我们没办法得到真实开放的端口了。本想接下来进行cgi扫描的,但是想想有那么多人都试过了,我再试也不会扫出什么漏洞,况且对付这么著名的安全网站常规方法一定行不通。


由于X盟安装了IDS(肯定还有防火墙),我用扫描器就收集不了信息。所以我们得想出另一种手段:


既然目标主机配置的非常安全,我们一时没有想出很好的办法进行渗透入侵(经前面检测,x盟脚本的输入输出过滤很全面,所以脚本没什么可利用的),但是我们可以从其网http://bbs.xxxxxx.net看到,x盟还是存在很严重的安全隐患-----------传统的http协议没有加密。所以我们可以从x盟同一交换机的其他主机开始渗透入侵,然后利用arp欺骗技术嗅探x盟的通信数据包,达到间接入侵的目的。


接着我用各种扫描器x-scan、hscan、流光4.7对x盟所在的一个c类IP段进行了全面扫描,试图用各种办法控制其中的一台主机。扫描发现这个网段有一些winnt/2000的主机,可是用unicode编码漏洞、webdav溢出、ida溢出、idq溢出、IPC弱口令、sql溢出等都无法攻破这个网段。后来想到了rpc溢出,这个漏洞我曾经在sp0-sp3(英文、简/繁体)的主机上测试通过,成功率极高,但是使用这个溢出攻击的人却极少,原因我想是因为大家的注意力都吸引到webdav溢出上了,而且rpc溢出需要对方开放Remote Procedure Call (RPC) Locator服务。除了域控制器,谁开会开放这个服务呢?根据常识我们知道,域控制器会开放特定端口,所以我先找找21.16.6.1-21.16.6.254有没有域控制器,结果还不错,找到了三台域控制器:


21.16.6.30


21.167.67.61


21.167.67.68




接下来顺利地利用rpc溢出得到了21.16.6.30主机的系统控制权,并且21.16.6.30还有终端服务(端口:3389),这点我不是太了解,为什么90%的域控制器都开放3389?接着登录上21.16.6.30的终端服务,先看一下:


C:\>query user


USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME


>test rdp-tcp#9 1 运行中 . 2003-4-14 12:28


还好3389只有我一个




C:\>net session


清单是空的。


这里也没人




这下可以放心地干了,先安装winpcap 2.1,然后安装x-sniffer对bbs.xxxxxxx.net进行攻击,先看一下本机:


C:\>ipconfig




Windows 2000 IP Configuration




Ethernet adapter 本地连接:




Connection-specific DNS Suffix . :


IP Address. . . . . . . . . . . . : 21.16.6.30


Subnet Mask . . . . . . . . . . . : 255.255.255.0


Default Gateway . . . . . . . . . : 21.16.6.1


OK,运行x-sniffer工具配置好并抓包,一会功夫就有了结果:


C:\>dir log1.txt


驱动器 C 中的卷没有标签。


卷的序列号是 68AB-0241


C:\ 的目录


2003-04-14 11:20 1,474,800 log1.txt


1 个文件 1,474,800 字节


0 个目录 961,003,520 可用字节




再来看看有什么好东东:


find /I “username” log1.txt




---------- A.TXT


act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%


BDact=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD??act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD211.167.67.167(37395)->211.167.67.167(80)??act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD211.167.254.76(80)->211.167.254.76(37401)


act=Login&do=01&UserName= lanker&PassWord=ljyjsjx9803


UserName=aoxue&PassWord=KFmyTUav


UserName=antisecurity&PassWord=nsfocus


…………





随便用adam用户登录,发现真的进去了(如图1):



(图1)




只要我愿意,想得到多少用户密码就得到多少用户密码。而我想得到的是更多的权限,我想得到论坛管理员的密码如果论坛又支持上传文件的话就有办法获得shell了,可是这论坛管理员也不知什么时候才会登录,我决定试一下其他的地方说不定有新的转机。




现在ping一下x盟的主站:


ping �CA http://www.xxxxxxx.net/


Pinging www.xxxxxxx.net [211.16.6.16] with 32 bytes of data:




Reply from 21.16.6.16: bytes=32 time=181ms TTL=236


Reply from 21.16.6.16: bytes=32 time=130ms TTL=236


Reply from 21.16.6.16: bytes=32 time=191ms TTL=236


Reply from 21.16.6.16: bytes=32 time=150ms TTL=236




Ping statistics for 21.16.6.16:





原来bbs论坛和x盟主站是同一台web主机,怎么原来没试呢。再看看mail服务器是不是,如果是的话还可以得到他们公司员工的E-mial密码了,这样可就真的赚大了。先看看对方的域信息:


> ls -d ns1.xxxx.com


[ns.szptt.net.cn]


*** Can't list domain ns1.xxx.com: BAD ERROR VALUE


> server ns1.xxxx.com


Default Server: ns1.xxx.com


Address: 21.152.8.69




> ls -d xxxx.net


[ns1.xxxx.com]


xxxx.net. SOA xxxx.net root.xxxx.net. (2003021801


86400 1200 604800 3600)


xxxx.net. NS ns1.xxxx.com


xxxx.net. NS dns1.hichina.com


xxxx.net. A 21.15.8.69


xxxx.net. MX 5 mail.xxxx.com


smtp A 21.152.8.69


security A 21.167.67.16


intra A 10.0.0.1


pop A 21.15.8.69


magazine A 21.16.67.16


localhost A 127.0.0.1


mail A 21.15.8.69


www A 21.16.6.16


bbs A 21.16.6.16


ns1 A 21.152.8.69


xxxx.net. SOA xx.net root.xxxxx.net. (2003021801 86400 1200




604800 3600)>





怎么说这里都是一处安全隐患吧,dns居然可以支持读取域名信息,这里我成功读取了x盟的整个域的信息,让我们非常清晰地看到了网站结构。好,我们看到对方的mail主机IP是21.15.8.69,看来我们没法用刚才的肉鸡进行嗅探了呀。先看看mail的版本和配置的如何:


D:\>nc 21.15.8.69 25


220 xxxx.com ESMTP Service


helo yahoo


250 xxx.com


mail from:adam@xxxx.net


250 Ok


vrfy to:adam@xxxx.net


252 to:adam@xxxx.net


vrfy to:adam1@xxxx.net


252 to:adam1@xxxx.net


vrfy adam1@xxxx.net


252 adam1@xxxx.net


vrfy adam1@xxxx.net


252 adam1@xxxx.net


vrfy to:adam


252 to:adam


expn adam


502 Error: command not implemented


ehlo


501 Syntax: EHLO hostname




ESMTP 软件配置的还可以。再确定是否真的不在同一网络,否则错过岂不可惜:


C:\>tracert 21.15.8.69




Tracing route to 21.15.8.69 over a maximum of 30 hops




1 <10 ms <10 ms <10 ms 192.168.0.1


2 81 ms 90 ms 110 ms 218.17.0.1


3 60 ms 50 ms 60 ms 61.144.238.97


4 60 ms 90 ms 50 ms 61.144.236.161


5 60 ms 91 ms 90 ms 61.144.236.13


6 90 ms 80 ms 50 ms 61.140.1.21


7 80 ms 70 ms 50 ms POS2-0-R2-C-GZ-A.gd.cn.net [202.105.1.161]


8 60 ms 70 ms 60 ms 61.140.0.17


9 140 ms 120 ms 131 ms 202.97.34.105


10 91 ms 150 ms 120 ms 202.96.12.34


11 110 ms 141 ms 140 ms 202.106.193.170


12 110 ms 110 ms 110 ms 202.106.193.206


13 111 ms 120 ms 130 ms 210.74.174.178


14 110 ms 120 ms 120 ms 210.77.139.177


15 121 ms 110 ms 130 ms 210.77.139.246


16 100 ms 100 ms 110 ms 21.15.8.69




Trace complete.




C:\>tracert 211.167.67.167




Tracing route to 211.167.67.167 over a maximum of 30 hops




1 <10 ms <10 ms <10 ms 192.168.0.1


2 50 ms 70 ms 60 ms 218.17.0.1


3 70 ms 50 ms 70 ms 61.144.238.97


4 40 ms 70 ms 60 ms 61.144.236.105


5 70 ms 90 ms 80 ms 61.144.236.13


6 60 ms 70 ms 60 ms 61.140.1.21


7 50 ms 70 ms 81 ms POS2-0-R2-C-GZ-A.gd.cn.net [202.105.1.161]


8 90 ms 70 ms 80 ms 61.140.0.17


9 100 ms 120 ms 121 ms 202.97.34.105


10 110 ms 121 ms 120 ms 202.96.12.34


11 100 ms 120 ms 100 ms 202.106.192.158


12 110 ms 90 ms 111 ms 202.96.13.142


13 120 ms 100 ms 90 ms 211.167.80.194


14 131 ms 120 ms 120 ms 211.167.67.167




Trace complete.





呵呵,没戏唱给Mail服务器听了。不过我们还是可能对Mail服务器arp欺骗的,聪明的读者一下就想到了,我在这就不说了。





作者:我们论坛里的一位版主:)

这篇文章我看呢很多篇呢,每次都感觉非常的爽。这篇文章看起来没有太高的技术,但是作者入侵的思路和对网络底程原理的深度了解令我汗颜。既然正面不能攻破的目标,那可以迂回攻击吗?毕竟:安全是一个整体,而在绝大多数时候,人是最不安全的因素。同样的情况同样的技术水平下,成功者靠的是一种灵活的思路和一些天才的想象力。

佩服作者:我从中学到呢很多的东西:)




备注:

作者是xhacker就是叫小小丁当或小丁当的人。据说还是isno的死党呢。。
xhacker 中国深圳人 QQ66680800 从事网络安全业2年多,1999年进入网络安全领域,最新先起步的地方好像是小榕论坛。此人经常出现于黑客杂志上,有较多的FANS。现任小榕论坛版主。
他的留言板www.touch.sh/gb/gbook.php?user=xhacker



看看内容还是不错的。

地主 发表时间: 04-02-25 15:33
回复: shuishi [shuishi]   论坛用户   登录
^_^ 好东西~~~~!!

B1层 发表时间: 04-03-02 17:46
回复: wangsong [wangsong]   论坛用户   登录
有价值

B2层 发表时间: 04-03-07 10:01
回复: yilin [yilin]   论坛用户   登录
你很烈害

B3层 发表时间: 04-03-14 15:27
回复: happy_365 [happy_365]      登录
好东西啊!!!

B4层 发表时间: 04-03-14 19:29
回复: bridex [bridex]   论坛用户   登录
不是我厉害,是人家专业!

B5层 发表时间: 04-03-14 20:40
回复: snowred [snowred]   论坛用户   登录
本来想回去睡觉的
但是看到这个
只有看完再睡了

B6层 发表时间: 04-03-14 22:00
回复: ysfilone [ysfilone]   论坛用户   登录
不错

B7层 发表时间: 04-03-15 12:25
回复: hl82 [hl82]   论坛用户   登录
佩服!

B8层 发表时间: 04-03-15 19:31

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号