扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO 来源:51CTO 2008年11月13日
关键字: 黑客
一个朋友准备上某职业技术学校,说该学校号称是国家级重点中等职业学校,只要进入该学校每个学生即可享受3000元国家助学金,该学校网站如图1所示,目前要了解一个学校,只有两种方式,一种是进行实地考察,另外一种就是通过网站来了解,既然朋友给了一个网站就就看看该网站的安全情况如何。
图1 某职校网站 |
一、信息收集
1.获取IP地址信息
直接打开DOS窗口,然后使用“ping www.**j.com”获取该网站的真实IP地址,如图2所示,通过ping命令知道该主机无丢包率,延迟时间为49。
图2 获取IP地址信息 |
说明:
使用ping命令一方面是为了获取IP地址,另外通过延迟时间来判断网络速度快慢,也便于后期对该服务器的一些口令检测,例如mysql、mssql、ftp以及pop3等口令的检测。
2.初步获取端口开放情况
使用“sfind.exe –p 61.*.*.96”命令来获取该职校服务器的端口开放情况,如图3所示,该服务器开放了21、80以及3389端口,通过端口扫描可以初步判断为该服务器为Windows系列。
图3 获取端口初步开放情况 |
技巧:
(1)3389端口一般为远程终端服务开放端口,只要见(该端口可以初步断定为Windows系列主机。
(2)可以先使用3389远程终端连接器连接该IP地址进行登录尝试,如果登录成功,可以看到该操作系统是Windows 2000 Server还是Windows 2003 Server。本例中通过3389远程终端连接器连接,获取该系统为Windows 2000 Server操作系统。
(3)可以使用superscan以及X-scan等扫描软件扫描端口,X-scan扫描软件个头比较大,扫描操作相对复杂,扫描结果比较全面。
说明:
Superscan3.0版本扫描的结果可以直接访问80、21以及23等服务。
二、口令检测
1.扫描口令
根据个人爱好,我一般是脚本检测和口令检测同步进行,在肉鸡上直接运行hscan,设置好参数开始扫描,在本次检测中比较幸运,扫描出该主机IP地址存在弱口令,在本地运行“CuteFtp8.0Professional”,单击“Site Manager”在其中新建一个站点,输入该主机IP地址和和获取的用户名以及密码,最后单击“连接”,进行登录尝试,如图4所示,登录成功。
图4 使用CuteFtp8.0Professional连接Ftp服务器 |
2.信息分析
通过“CuteFtp8.0Professional”软件对该Ftp服务器的当前用户目录中的内容进行查看,在图4中,我们可以看到该Ftp目录中存在conn.asp数据库连接文件,在该目录还可以看到一个比较熟悉的文件newasp.asp(木马程序常用的一个文件名称)文件,将以上文件下载到本地,并通过UltraEdit-32编辑器打开conn.asp文件,如图5所示。知道该Web站点使用的是Access数据库,数据库路径为根目录下的“database\”,数据库名称为“l***88.asa”,该网站系统使用的是PowerEasy,即使用动易网络论坛系列。
图5 查看conn.asp文件内容 |
3.获取Webshell
查看conn.asp文件后,继续查看其它文件,在newasp.asp文件中我们发现如图6所示,可以很清楚的看出该文件就是一个Webshell,从中还可以看到该Webshell的密码为“h***56”。既然获取该Webshell后,那就直接在该网站输入IP地址后进行尝试。
图6 获取Webshell地址 |
三、实施控制和渗透
1.获取Webshell
在浏览器中输入“网站地址+对应的Webshell地址”,在本例中输入“http://www.n**.com/newasp.asp”,如图7所示,该Webshell可以正常运行,说明该Webshell可用。
图7 获取Webshell |
2.通过Webshell查看文件
在Webshell中输入密码后单击“登录”按钮,验证通过后,如图8所示,可以正常使用该Webshell,通过该Webshell可以看到该网站下的所有文件,通过Webshell可以下载、删除、移动以及编辑等操作。
图8 通过Webshell查看文件 |
3.通过Serv-U提升权限
在该Webshell中单击“Serv-U提升权限(超强版)”,进入提升权限界面,在该界面中使用默认设置即可,然后单击“提交”按钮将添加密码为“pass13”,用户名称为“user13$”的用户到管理员组中,如图9所示。
图9添加用户提升权限 |
说明:
(1)在使用Serv-U提升权限时,一般采用Webshell默认的用户名和密码为佳。(2)如果服务器口令有强制性设置,则在添加用户密码时需要满足复杂性要求,即要求满足大小写字母、特殊字符、数字以及位数等要求。
4.提升权限成功
如图10所示,提升权限成功后会给出相应的提示,不过需要注意有时候即使显示成功也不一定添加用户成功。
图10 提升权限显示成功 |
5.登录服务器
打开远程终端登录器(mstsc.exe),输入刚才添加的用户名和密码,进行登录尝试,登录验证通过后,成功进入该服务器,如图11所示,在该服务器上查看管理员用户组时发现除刚才添加的用户外,还可以看到“iis_helper”用户也为管理员组,通过查看该用户密码修改时间,获取该用户是2008年10月28日添加的,查看newasp.asp文件的时间是2007年8月11日,可以判断该服务器可能在2007年8月就曾经被入侵过。
图11登录服务器 |
四、内网渗透和查看
1.查看内网计算机
在Dos窗口中输入“net view”命令查看该服务器上相邻计算机的情况,如图12所示,包括本机,一共有四台计算机,后面通过“ipconfig /all”来查看该计算机网络配置以及IP地址分布情况,该服务器是采用NAT方式,映射内网IP地址到外网,提供Web服务。
图12 查看内网情况 |
2.实施内网渗透
在使用脚本上传文件时发现文件一上传就不见了,上传了好几次都是如此,看来该服务器上存在强力杀毒软件,如图13所示,提供过打开“服务”管理器,找到杀毒软件所在服务,在本例中显示的服务名称为“McAfee Framework服务”,将其停止即可,然后上传工具软件。
图13停止杀毒软件服务 |
3.内网渗透失败
使用NTScan内网口令扫描程序在内网进行扫描,内网口令扫描无直接结果。
4.再次查看计算机情况
在程序(Program Files)目录中可以看到,系统已经被人安装过Cain嗅探工具,如图14所示,通过该程序名称“Cain_cn”可以知道该主机可能是国内的人“来访”过。
图14 获取Cain安装目录 |
5.获取网站用户管理登录口令
Cain是一款口令嗅探工具,使用Cain监听后,会自动在该程序安装目录中生成相应的LST文件,例如http嗅探结果会保存为http.lst,见http.lst修改为http.txt,然后打开该文件,从中可以看到网站传输的用户名和加密后的md5值,如图15所示。
图15 查看cain嗅探http结果 |
技巧:
(1)查看cain嗅探结果只需要到cain安装目录,查看有大小的lst文件即可,cain嗅探有结果后会自动将结果保存在安装目录。(2)安装Cain时,先安装,安装时程序选择一个不容易发现的目录,安装完毕后将安装目录剪切到其它一个程序目录中,然后删除程序菜单中的有关cain的快捷方式,可以达到隐藏的目的。(3)运行cain时可以设置为隐藏模式,这样即使管理员登录,如果不仔细检测,也不容易发现服务器被安装了Cain,通过使用定义的快捷键才能呼出Cain操作界面。(4)Cain嗅探时间不能太长,否则通过查看流量和数据包的异常,知道有人在进行嗅探。
6.通过Cain查看嗅探结果
在Cain查看lst文件不如直接通过Cain程序来看嗅探结果直观。直接到Cain安装目录,找到Cain.exe程序,双击运行该程序,如图16,可以比较直观的看见Cain的修改结果,在“Passwords”中可以看到Ftp与SMB监听结果为1,Http监听结果为145条,Http监听结果显示为用户gxr的登录密码和相关网页操作。
图16 通过cain直接查看嗅探结果 |
五、简单的安全加固
1.使用“360安全卫士”进行简单安全加固
在该计算机上发现安装有“360安全卫士”,打开“360安全卫士”对系统进行一些简单的安全扫描,如图17所示,在恶意插件扫描中,一共发现有9个,将其清除,修复系统存在的安全漏洞。后面还使用360卫士清理启动选项等,对该服务器进行简单加固。
图17 使用“360安全卫士”进行简单加固 |
2.使用杀毒软件清除系统中的病毒
使用MacFee杀毒软件对系统中的磁盘进行扫描处理,如图18所示,发现系统中存在一些病毒,该文件所在目录为一个Ftp匿名登录目录,可以猜测有可能是入侵者利用社会工程学在进行挂马。
图18 使用杀毒软件进行杀毒 |
六、总结
本次安全检测仅仅通过扫描Ftp、Mysql以及MSSQL弱口令就获取了某职业学校的控制权限,如果有时间和耐心应该可以渗透该内部网络。本次安全检测的关键就是通过“CuteFtp8.0Professional”软件获取了网站的一些关键文件,包括Webshell,直接通过Serv-U就提升权限成功,进而成功控制系统,就个人经验来说,可以采取以下一些措施来加固系统。
(1)重新更换系统中的所有密码,删除多余的管理员。
(2)对系统进行杀毒、木马检测、端口查看、网络连接等安全检查。
(3)对网站代码进行安全检测,查看代码中是否包含后门和木马代码。
(4)安装防火墙并及时升级系统防火墙、系统补丁。
(5)更改3389端口为其它端口,在事件中增加安全审核,并仅仅授权管理IP地址,即仅仅某一个网段或者某一个IP地址才能访问3389。
(6)严格控制Ftp用户以及目录,如果没有特殊的需要,尽量使用Windows自带的Ftp服务。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者