对某国家级重点职教网的一次安全渗透

    一个朋友准备上某职业技术学校，说该学校号称是国家级重点中等职业学校，只要进入该学校每个学生即可享受3000元国家助学金，该学校网站如图1所示，目前要了解一个学校，只有两种方式，一种是进行实地考察，另外一种就是通过网站来了解，既然朋友给了一个网站就就看看该网站的安全情况如何。

图1 某职校网站

    一、信息收集

    1.获取IP地址信息

直接打开DOS窗口，然后使用“ping www.**j.com”获取该网站的真实IP地址，如图2所示，通过ping命令知道该主机无丢包率，延迟时间为49。

图2 获取IP地址信息

    说明：

    使用ping命令一方面是为了获取IP地址，另外通过延迟时间来判断网络速度快慢，也便于后期对该服务器的一些口令检测，例如mysql、mssql、ftp以及pop3等口令的检测。

    2.初步获取端口开放情况

    使用“sfind.exe –p 61.*.*.96”命令来获取该职校服务器的端口开放情况，如图3所示，该服务器开放了21、80以及3389端口，通过端口扫描可以初步判断为该服务器为Windows系列。

图3 获取端口初步开放情况

    技巧：

    （1）3389端口一般为远程终端服务开放端口，只要见（该端口可以初步断定为Windows系列主机。

    （2）可以先使用3389远程终端连接器连接该IP地址进行登录尝试，如果登录成功，可以看到该操作系统是Windows 2000 Server还是Windows 2003 Server。本例中通过3389远程终端连接器连接，获取该系统为Windows 2000 Server操作系统。

    （3）可以使用superscan以及X-scan等扫描软件扫描端口，X-scan扫描软件个头比较大，扫描操作相对复杂，扫描结果比较全面。

    说明：

    Superscan3.0版本扫描的结果可以直接访问80、21以及23等服务。

    二、口令检测

    1.扫描口令

    根据个人爱好，我一般是脚本检测和口令检测同步进行，在肉鸡上直接运行hscan，设置好参数开始扫描，在本次检测中比较幸运，扫描出该主机IP地址存在弱口令，在本地运行“CuteFtp8.0Professional”，单击“Site Manager”在其中新建一个站点，输入该主机IP地址和和获取的用户名以及密码，最后单击“连接”，进行登录尝试，如图4所示，登录成功。

图4 使用CuteFtp8.0Professional连接Ftp服务器

    2.信息分析

    通过“CuteFtp8.0Professional”软件对该Ftp服务器的当前用户目录中的内容进行查看，在图4中，我们可以看到该Ftp目录中存在conn.asp数据库连接文件，在该目录还可以看到一个比较熟悉的文件newasp.asp（木马程序常用的一个文件名称）文件，将以上文件下载到本地，并通过UltraEdit-32编辑器打开conn.asp文件，如图5所示。知道该Web站点使用的是Access数据库，数据库路径为根目录下的“database\”，数据库名称为“l***88.asa”，该网站系统使用的是PowerEasy，即使用动易网络论坛系列。

图5 查看conn.asp文件内容

    3.获取Webshell

    查看conn.asp文件后，继续查看其它文件，在newasp.asp文件中我们发现如图6所示，可以很清楚的看出该文件就是一个Webshell，从中还可以看到该Webshell的密码为“h***56”。既然获取该Webshell后，那就直接在该网站输入IP地址后进行尝试。

图6 获取Webshell地址

    三、实施控制和渗透

    1.获取Webshell

    在浏览器中输入“网站地址＋对应的Webshell地址”，在本例中输入“http://www.n**.com/newasp.asp”，如图7所示，该Webshell可以正常运行，说明该Webshell可用。

图7 获取Webshell

    2.通过Webshell查看文件

    在Webshell中输入密码后单击“登录”按钮，验证通过后，如图8所示，可以正常使用该Webshell，通过该Webshell可以看到该网站下的所有文件，通过Webshell可以下载、删除、移动以及编辑等操作。

图8 通过Webshell查看文件

    3.通过Serv-U提升权限

    在该Webshell中单击“Serv-U提升权限（超强版）”，进入提升权限界面，在该界面中使用默认设置即可，然后单击“提交”按钮将添加密码为“pass13”，用户名称为“user13$”的用户到管理员组中，如图9所示。

图9添加用户提升权限

    说明：

    （1）在使用Serv-U提升权限时，一般采用Webshell默认的用户名和密码为佳。（2）如果服务器口令有强制性设置，则在添加用户密码时需要满足复杂性要求，即要求满足大小写字母、特殊字符、数字以及位数等要求。

    4.提升权限成功

    如图10所示，提升权限成功后会给出相应的提示，不过需要注意有时候即使显示成功也不一定添加用户成功。

图10 提升权限显示成功

    5.登录服务器

    打开远程终端登录器（mstsc.exe），输入刚才添加的用户名和密码，进行登录尝试，登录验证通过后，成功进入该服务器，如图11所示，在该服务器上查看管理员用户组时发现除刚才添加的用户外，还可以看到“iis_helper”用户也为管理员组，通过查看该用户密码修改时间，获取该用户是2008年10月28日添加的，查看newasp.asp文件的时间是2007年8月11日，可以判断该服务器可能在2007年8月就曾经被入侵过。

图11登录服务器

    四、内网渗透和查看

    1.查看内网计算机

    在Dos窗口中输入“net view”命令查看该服务器上相邻计算机的情况，如图12所示，包括本机，一共有四台计算机，后面通过“ipconfig /all”来查看该计算机网络配置以及IP地址分布情况，该服务器是采用NAT方式，映射内网IP地址到外网，提供Web服务。

图12 查看内网情况

    2.实施内网渗透

    在使用脚本上传文件时发现文件一上传就不见了，上传了好几次都是如此，看来该服务器上存在强力杀毒软件，如图13所示，提供过打开“服务”管理器，找到杀毒软件所在服务，在本例中显示的服务名称为“McAfee Framework服务”，将其停止即可，然后上传工具软件。

图13停止杀毒软件服务

    3.内网渗透失败

    使用NTScan内网口令扫描程序在内网进行扫描，内网口令扫描无直接结果。

    4.再次查看计算机情况

在程序（Program Files）目录中可以看到，系统已经被人安装过Cain嗅探工具，如图14所示，通过该程序名称“Cain_cn”可以知道该主机可能是国内的人“来访”过。

图14 获取Cain安装目录

    5.获取网站用户管理登录口令

    Cain是一款口令嗅探工具，使用Cain监听后，会自动在该程序安装目录中生成相应的LST文件，例如http嗅探结果会保存为http.lst，见http.lst修改为http.txt，然后打开该文件，从中可以看到网站传输的用户名和加密后的md5值，如图15所示。

图15 查看cain嗅探http结果

    技巧：

    （1）查看cain嗅探结果只需要到cain安装目录，查看有大小的lst文件即可，cain嗅探有结果后会自动将结果保存在安装目录。（2）安装Cain时，先安装，安装时程序选择一个不容易发现的目录，安装完毕后将安装目录剪切到其它一个程序目录中，然后删除程序菜单中的有关cain的快捷方式，可以达到隐藏的目的。（3）运行cain时可以设置为隐藏模式，这样即使管理员登录，如果不仔细检测，也不容易发现服务器被安装了Cain，通过使用定义的快捷键才能呼出Cain操作界面。（4）Cain嗅探时间不能太长，否则通过查看流量和数据包的异常，知道有人在进行嗅探。

    6.通过Cain查看嗅探结果

    在Cain查看lst文件不如直接通过Cain程序来看嗅探结果直观。直接到Cain安装目录，找到Cain.exe程序，双击运行该程序，如图16，可以比较直观的看见Cain的修改结果，在“Passwords”中可以看到Ftp与SMB监听结果为1，Http监听结果为145条，Http监听结果显示为用户gxr的登录密码和相关网页操作。

图16 通过cain直接查看嗅探结果

    五、简单的安全加固

    1.使用“360安全卫士”进行简单安全加固

    在该计算机上发现安装有“360安全卫士”，打开“360安全卫士”对系统进行一些简单的安全扫描，如图17所示，在恶意插件扫描中，一共发现有9个，将其清除，修复系统存在的安全漏洞。后面还使用360卫士清理启动选项等，对该服务器进行简单加固。

图17 使用“360安全卫士”进行简单加固

    2.使用杀毒软件清除系统中的病毒

    使用MacFee杀毒软件对系统中的磁盘进行扫描处理，如图18所示，发现系统中存在一些病毒，该文件所在目录为一个Ftp匿名登录目录，可以猜测有可能是入侵者利用社会工程学在进行挂马。

图18 使用杀毒软件进行杀毒

    六、总结

    本次安全检测仅仅通过扫描Ftp、Mysql以及MSSQL弱口令就获取了某职业学校的控制权限，如果有时间和耐心应该可以渗透该内部网络。本次安全检测的关键就是通过“CuteFtp8.0Professional”软件获取了网站的一些关键文件，包括Webshell，直接通过Serv-U就提升权限成功，进而成功控制系统，就个人经验来说，可以采取以下一些措施来加固系统。

    （1）重新更换系统中的所有密码，删除多余的管理员。

    （2）对系统进行杀毒、木马检测、端口查看、网络连接等安全检查。

    （3）对网站代码进行安全检测，查看代码中是否包含后门和木马代码。

    （4）安装防火墙并及时升级系统防火墙、系统补丁。

    （5）更改3389端口为其它端口，在事件中增加安全审核，并仅仅授权管理IP地址，即仅仅某一个网段或者某一个IP地址才能访问3389。

（6）严格控制Ftp用户以及目录，如果没有特殊的需要，尽量使用Windows自带的Ftp服务。