科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道对某国家级重点职教网的一次安全渗透

对某国家级重点职教网的一次安全渗透

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一个朋友准备上某职业技术学校,说该学校号称是国家级重点中等职业学校,只要进入该学校每个学生即可享受3000元国家助学金,该学校网站如图1所示,目前要了解一个学校,只有两种方式,一种是进行实地考察,另外一种就是通过网站来了解,既然朋友给了一个网站就就看看该网站的安全情况如何。

作者:51CTO 来源:51CTO 2008年11月13日

关键字: 黑客

  • 评论
  • 分享微博
  • 分享邮件

 

    一个朋友准备上某职业技术学校,说该学校号称是国家级重点中等职业学校,只要进入该学校每个学生即可享受3000元国家助学金,该学校网站如图1所示,目前要了解一个学校,只有两种方式,一种是进行实地考察,另外一种就是通过网站来了解,既然朋友给了一个网站就就看看该网站的安全情况如何。

 
图1 某职校网站

    一、信息收集

    1.获取IP地址信息

直接打开DOS窗口,然后使用“ping www.**j.com”获取该网站的真实IP地址,如图2所示,通过ping命令知道该主机无丢包率,延迟时间为49。

 
图2 获取IP地址信息

    说明:

    使用ping命令一方面是为了获取IP地址,另外通过延迟时间来判断网络速度快慢,也便于后期对该服务器的一些口令检测,例如mysql、mssql、ftp以及pop3等口令的检测。

    2.初步获取端口开放情况

    使用“sfind.exe –p 61.*.*.96”命令来获取该职校服务器的端口开放情况,如图3所示,该服务器开放了21、80以及3389端口,通过端口扫描可以初步判断为该服务器为Windows系列。

 
图3 获取端口初步开放情况

    技巧:

    (1)3389端口一般为远程终端服务开放端口,只要见(该端口可以初步断定为Windows系列主机。

    (2)可以先使用3389远程终端连接器连接该IP地址进行登录尝试,如果登录成功,可以看到该操作系统是Windows 2000 Server还是Windows 2003 Server。本例中通过3389远程终端连接器连接,获取该系统为Windows 2000 Server操作系统。

    (3)可以使用superscan以及X-scan等扫描软件扫描端口,X-scan扫描软件个头比较大,扫描操作相对复杂,扫描结果比较全面。

    说明:

    Superscan3.0版本扫描的结果可以直接访问80、21以及23等服务。

    二、口令检测

    1.扫描口令

    根据个人爱好,我一般是脚本检测和口令检测同步进行,在肉鸡上直接运行hscan,设置好参数开始扫描,在本次检测中比较幸运,扫描出该主机IP地址存在弱口令,在本地运行“CuteFtp8.0Professional”,单击“Site Manager”在其中新建一个站点,输入该主机IP地址和和获取的用户名以及密码,最后单击“连接”,进行登录尝试,如图4所示,登录成功。

 
图4 使用CuteFtp8.0Professional连接Ftp服务器

    2.信息分析

    通过“CuteFtp8.0Professional”软件对该Ftp服务器的当前用户目录中的内容进行查看,在图4中,我们可以看到该Ftp目录中存在conn.asp数据库连接文件,在该目录还可以看到一个比较熟悉的文件newasp.asp(木马程序常用的一个文件名称)文件,将以上文件下载到本地,并通过UltraEdit-32编辑器打开conn.asp文件,如图5所示。知道该Web站点使用的是Access数据库,数据库路径为根目录下的“database\”,数据库名称为“l***88.asa”,该网站系统使用的是PowerEasy,即使用动易网络论坛系列。

 
图5 查看conn.asp文件内容

    3.获取Webshell

    查看conn.asp文件后,继续查看其它文件,在newasp.asp文件中我们发现如图6所示,可以很清楚的看出该文件就是一个Webshell,从中还可以看到该Webshell的密码为“h***56”。既然获取该Webshell后,那就直接在该网站输入IP地址后进行尝试。

 
图6 获取Webshell地址

 

    三、实施控制和渗透

    1.获取Webshell

    在浏览器中输入“网站地址+对应的Webshell地址”,在本例中输入“http://www.n**.com/newasp.asp”,如图7所示,该Webshell可以正常运行,说明该Webshell可用。

 
图7 获取Webshell

    2.通过Webshell查看文件

    在Webshell中输入密码后单击“登录”按钮,验证通过后,如图8所示,可以正常使用该Webshell,通过该Webshell可以看到该网站下的所有文件,通过Webshell可以下载、删除、移动以及编辑等操作。

 
图8 通过Webshell查看文件

    3.通过Serv-U提升权限

    在该Webshell中单击“Serv-U提升权限(超强版)”,进入提升权限界面,在该界面中使用默认设置即可,然后单击“提交”按钮将添加密码为“pass13”,用户名称为“user13$”的用户到管理员组中,如图9所示。

 
图9添加用户提升权限

    说明:

    (1)在使用Serv-U提升权限时,一般采用Webshell默认的用户名和密码为佳。(2)如果服务器口令有强制性设置,则在添加用户密码时需要满足复杂性要求,即要求满足大小写字母、特殊字符、数字以及位数等要求。

    4.提升权限成功

    如图10所示,提升权限成功后会给出相应的提示,不过需要注意有时候即使显示成功也不一定添加用户成功。

 
图10 提升权限显示成功

    5.登录服务器

    打开远程终端登录器(mstsc.exe),输入刚才添加的用户名和密码,进行登录尝试,登录验证通过后,成功进入该服务器,如图11所示,在该服务器上查看管理员用户组时发现除刚才添加的用户外,还可以看到“iis_helper”用户也为管理员组,通过查看该用户密码修改时间,获取该用户是2008年10月28日添加的,查看newasp.asp文件的时间是2007年8月11日,可以判断该服务器可能在2007年8月就曾经被入侵过。

 
图11登录服务器


    四、内网渗透和查看

    1.查看内网计算机

    在Dos窗口中输入“net view”命令查看该服务器上相邻计算机的情况,如图12所示,包括本机,一共有四台计算机,后面通过“ipconfig /all”来查看该计算机网络配置以及IP地址分布情况,该服务器是采用NAT方式,映射内网IP地址到外网,提供Web服务。

 
图12 查看内网情况

    2.实施内网渗透

    在使用脚本上传文件时发现文件一上传就不见了,上传了好几次都是如此,看来该服务器上存在强力杀毒软件,如图13所示,提供过打开“服务”管理器,找到杀毒软件所在服务,在本例中显示的服务名称为“McAfee Framework服务”,将其停止即可,然后上传工具软件。

 
图13停止杀毒软件服务

    3.内网渗透失败

    使用NTScan内网口令扫描程序在内网进行扫描,内网口令扫描无直接结果。

    4.再次查看计算机情况

在程序(Program Files)目录中可以看到,系统已经被人安装过Cain嗅探工具,如图14所示,通过该程序名称“Cain_cn”可以知道该主机可能是国内的人“来访”过。

 
图14 获取Cain安装目录

    5.获取网站用户管理登录口令

    Cain是一款口令嗅探工具,使用Cain监听后,会自动在该程序安装目录中生成相应的LST文件,例如http嗅探结果会保存为http.lst,见http.lst修改为http.txt,然后打开该文件,从中可以看到网站传输的用户名和加密后的md5值,如图15所示。

 
图15 查看cain嗅探http结果

    技巧:

    (1)查看cain嗅探结果只需要到cain安装目录,查看有大小的lst文件即可,cain嗅探有结果后会自动将结果保存在安装目录。(2)安装Cain时,先安装,安装时程序选择一个不容易发现的目录,安装完毕后将安装目录剪切到其它一个程序目录中,然后删除程序菜单中的有关cain的快捷方式,可以达到隐藏的目的。(3)运行cain时可以设置为隐藏模式,这样即使管理员登录,如果不仔细检测,也不容易发现服务器被安装了Cain,通过使用定义的快捷键才能呼出Cain操作界面。(4)Cain嗅探时间不能太长,否则通过查看流量和数据包的异常,知道有人在进行嗅探。

    6.通过Cain查看嗅探结果

    在Cain查看lst文件不如直接通过Cain程序来看嗅探结果直观。直接到Cain安装目录,找到Cain.exe程序,双击运行该程序,如图16,可以比较直观的看见Cain的修改结果,在“Passwords”中可以看到Ftp与SMB监听结果为1,Http监听结果为145条,Http监听结果显示为用户gxr的登录密码和相关网页操作。

 
图16 通过cain直接查看嗅探结果


    五、简单的安全加固

    1.使用“360安全卫士”进行简单安全加固

    在该计算机上发现安装有“360安全卫士”,打开“360安全卫士”对系统进行一些简单的安全扫描,如图17所示,在恶意插件扫描中,一共发现有9个,将其清除,修复系统存在的安全漏洞。后面还使用360卫士清理启动选项等,对该服务器进行简单加固。

 
图17 使用“360安全卫士”进行简单加固

    2.使用杀毒软件清除系统中的病毒

    使用MacFee杀毒软件对系统中的磁盘进行扫描处理,如图18所示,发现系统中存在一些病毒,该文件所在目录为一个Ftp匿名登录目录,可以猜测有可能是入侵者利用社会工程学在进行挂马。

 
图18 使用杀毒软件进行杀毒

    六、总结

    本次安全检测仅仅通过扫描Ftp、Mysql以及MSSQL弱口令就获取了某职业学校的控制权限,如果有时间和耐心应该可以渗透该内部网络。本次安全检测的关键就是通过“CuteFtp8.0Professional”软件获取了网站的一些关键文件,包括Webshell,直接通过Serv-U就提升权限成功,进而成功控制系统,就个人经验来说,可以采取以下一些措施来加固系统。

    (1)重新更换系统中的所有密码,删除多余的管理员。

    (2)对系统进行杀毒、木马检测、端口查看、网络连接等安全检查。

    (3)对网站代码进行安全检测,查看代码中是否包含后门和木马代码。

    (4)安装防火墙并及时升级系统防火墙、系统补丁。

    (5)更改3389端口为其它端口,在事件中增加安全审核,并仅仅授权管理IP地址,即仅仅某一个网段或者某一个IP地址才能访问3389。

(6)严格控制Ftp用户以及目录,如果没有特殊的需要,尽量使用Windows自带的Ftp服务。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章