在我的印象中比較深刻的有三次進入到教務處網站。第一次是剛到學校讀書的時候,老師老是叫我們到教務處找考試的消息。我就注意到教務處網站的重要性啦。當時還是sql注入和上傳最流行的時候。當然我們學校網站也不例外啊。教務處網站用的是windows 2000 server系統。瀏覽下教務處網站覺得做的還不錯的啊,掃了下開放的端口和檢查下sql注入,竟然沒有找到任何的漏洞(當時還是靜態網站)。我不相信沒有漏洞,也懷疑是不是學校有高人存在的原因。拿出啊D的注入工具找上傳的網頁,當出現有http://xxx.xxx.xxx.xxx/bbs/upfile1.asp的時候,我心里一陣狂喜。打開后才知道dvbbs6.0論壇上傳網頁。原來管理員把上傳頁面改了。呵呵,對不起啦,找到壓箱寶底桂林老兵的上傳利用程序上傳asp木馬,拿到了webshell。掃了下21端口,網站用的還是serv-u4.0版本,最后上傳su.exe溢出拿到了網站的絕對權限。網站還開了3389也省了我開終端端口,克隆了guest帳號,讀出管理員的密碼,清理腳印走人。當時也是得意的很啊。我想管理員不會輕易發現我的存在了吧。過了很長一段時間,用克隆的帳號進入主機的時候,發現我再也進不去啦。管理員的密碼也進不去,當時也很生氣學校要我們交這個方面的錢,那個方面的錢。不得不讓我再次下定決心入侵教務處,也就有了我的第二次。這次學校網站也改為動態的網站啦,用的是asp的程序。我想管理員發現了入侵者不一定在web程序上下功夫。打開留下的asp木馬果然還在。當我再次拿出su.exe程序溢出時發現怎么也登陸不上主機。掃了下端口。暈的是管理員竟然把serv-u卸載啦。su溢出取得權限已經行不通啦。在主機上找有沒有什么可以利用的漏洞。可惡的是管理員沒有留下可以直接取得權限的東西。留下的asp木馬可以瀏覽任意盤,看來也只有走這條路啦。思路是寫個死循環,放個vbs到啟動項目去。當主機啟動時也就啟動了我留下的后門。我的vbs放在c:\Documents and Settings\Administrator\「開始」菜單\程序\啟動\shell.vbs下。利用瑞士軍刀nc反向連接返回一個cmdshell,運行死循環的批處理。此時的cmdshell是guest權限,而guest權限下的確是有能力讓主機重起的。(guest權限下重起代碼已經打包給大家了)這個時候就只有等待咯。當黑客也是要有耐心的。呵呵,果然過了幾天的時間網站打不開了,我想管理員應該去重新啟動下主機了吧,后來也理所當然的再次拿到了主機的絕對權限。也再次克隆了guest帳號和管理員的密碼。
快要畢業了,學生一切的行動都要按照教務處的去做。呵呵我有網站的絕對權限我怕什么(后來學校把成績這一塊也放到了教務處)。我想怎么改成績就怎么改。某一天,當我再次得意的用guest帳號和管理員密碼進入主機的時候,它對我說"NO"。哦,當時我快瘋掉啦,快要畢業了這么緊要的關頭我再次與教務處網站說"BYEBYE"。我在想不知道是那個名人說過"如果連自己學校的網站都搞不定,他不適合當黑客"。這句話對我的印象很深刻。也就有了我最進的第三次比較深刻的入侵,也就是本文要講的核心內容。(前二次是"過去式",沒有給大家抓圖,對不起各位看官啦:))后來教務處有了很大的變化,我的asp木馬終于被管理員發現了。webshell也就沒有啦。dvbbs論壇也被刪掉了。看來走上傳拿到webshell行不通。網站不是用的asp的程序嗎,看有沒有sql注入漏洞。經過檢查典型的sql注入漏洞。拿出大名鼎鼎的nbsi掃下,原來是DB_OWNER的權限(圖一)。
哦,現在教務處用的是asp+mssql黃金組合。利用sqlhello.exe遠程溢出程序,怎么也返回不了主機的cmdshell,看來溢出這條路也行不通啦。好的,整理下思路,首先是利用備份差異拿到webshell。當然要知道網站的數據庫是不是放在同一個網站上吶,用nbsi的列目錄功能,幸運的是數據庫和web是同一個主機上的。(圖二)
好的,緊張的時刻到了,差異備份得到
說明你已經成功啦。利用藍屏客戶端連接,添上你的
提交后出現了令人激動的
小樣看你能飛出我的五指山!!呵呵!!!掃描下是否開放了
看來取得權限只是時間上的問題啦。利用剛剛得到的
仍然可以瀏覽任意盤,并且可以利用
就這樣第X次拿到學校教務處的絕對權限。因為開了3389所以不費力氣去開終端,(圖九)
這次不會讓“肉雞”跑了。不僅克隆了guest帳號和再次讀出了管理員的密碼還放了內核級的后門程序,最后當然是清理腳印。我想管理員沒有想到這么快會有入侵者再次“光臨”吧。
sql注入、上傳型漏洞、serv-u提升權限已經流行了很長一段時間啦,說明教務處網站管理員不是很注意網絡的安全。從小小的一個sql注入漏洞竟然可以拿到系統的administrator權限是多么恐怖的一件事情。可以看出安全是一個整體。畢竟是自己學校的網站也不好意思去破壞。(本人可是個好人哦)還是幫學校做下安全吧。系統已經打上了sp4和最新的補丁,管理員只是注重系統的安全,也可以說管理員很懶惰。問題的原因還是web程序上出現了漏洞,補上sql防注入的程序,serv-u下個最新的版本,并嚴格控制權限。mssql也打上了最新的補丁,并且嚴格控制任意盤的權限,重中之重是控制好c:\program file\serv-u、啟動項目、等一些重要的目錄的權限。web程序也給出專門的管理人員權限,我想基本上算是安全了吧。本文沒有什么技術含量,用到的都是一些常用的入侵方法。比如guest權限下重起主機,這也是提升權限的一個方法。只是想告訴大家入侵并不是一成不變的,如果在入侵中多動下腦收獲會更多。文章寫作匆忙,難免會有紕漏,還望指正。
