黑客渗透本地网通主站案例研究

前言:
    最近换上了网通4M的线路，速度就是那个安逸呀。出于网络信息安全的兴趣爱好，就检测下此站的安全系数
首先在百度搜索，得到本地网通站点的域名地址。打开命令提示符，输入CMD指令：ping 域名，得到如图一信息：

下载 (26.63 KB)

2008-8-6 21:08

我们请求的数据报文，没有得到回应，全部丢失。应该是目标服务器安装了网络安全防火墙，或者做了网络安全访问限制，以预防我们对它进行任何危险的信息刺探和扫描，保障网络安全。打开我们的扫描利器SuperScan,我比较喜欢用3.0版本的。填入IP地址或者域名，如果是域名软件会自动解析为IP地址的。选择好相关的选项，点击开始。很快就得到扫描结果。如图二：

下载 (55.86 KB)

2008-8-6 21:08

扫描的信息，只开放了三个端口，给我们利用的东西很少。110 和8080端口溢出的可能性太渺茫，现在我们只有从80的web端口撕开一个入口。



                                                                  站点的入侵测试

打开后发现站点是asp程序的站，结构很简单，没有论坛。对于这样的站我们先找下常规的漏洞，首先找注射漏洞。打开阿D的注射工具浏览该站，没有发现注射点。打开百度网，输入：site: cnc-nj.com inurl:asp,搜索asp的页面，结果发现没有数据传递的页面。找注射点的这条路阻断了。我们来输入数据库连接文件的地址，inc/conn.asp 提示无法找到，多试了几个地址也不行，看来是管理改掉了的。看来爆库的方法是不行的。猜了一下常见的数据库路径，也不行。输入ewebeditor和admin/ewebeditor都未找到。现在只有看有没有上传的漏洞了。输入up.asp upfile.asp .都无法找到 最后输入admin/upload.asp返回了主页。那说明admin的管理目录没有更改，输入admin/login.asp来到登陆页面，尝试经典的’or’=’or’万能密码登陆，提示密码错误。继续尝试常用的肉口令的密码，最后admin admin登陆后台系统。看来管理的安全意思很差，密码强度太弱。扫描器扫描服务器的结果相比，相差甚远。

看来仅凭服务器的安全是不够的，应该做到服务器 网站程序 第三方软件等各个方面的安全最重要是管理者的安全意识，不然只是外强中干，不堪一击。

如图三：

下载 (54.95 KB)

2008-8-6 21:08

通过我们查看后台服务器的参数信息得知用网站环境是IIS6.0，那么推断服务器应该是微软的WIN2003的服务器的系统版本。

                                                                       艰难的得到webshell

后台的功能很简单，没有数据库备份的功能。尝试使用网站的配置文件写入木马的，结果页面被删了。这对于我们拿webshell是很不利的。点击添加新闻，是个发布新闻的页面，有个上传文件和编辑文字的地方。发现使用的是ewebeditor的，这样路就好走多了。

选择 查看 源文件 搜索”eweb”得到路径是./ewebedit/ewebeditor.asp，路径是改了的、怪不得刚没猜出来。来到管理页面，输入默认的密码登陆，提示密码错误。不用急，还有数据库呢。很自信的输入db/ewebeditor.mdb,竟然提示无法找到。看来数据库路径是改了，猜了几个也不行。看来今天的运气不好。还有个统计系统没有看呢，说不定有可以利用的。统计系统使用的是IT学习者的统计系统，在网上下载了一套回来研究。这样的系统拿webshell一般就二种：1.数据库插一句话木马，客户端连接得到。2.网站配置页面写入木马代码拿webshell。打开数据库目录，发现数据库扩展名是asp的，默认路径:data/#ITlearner.asp,把数据库扩展名改成*.mdb，用明小子的数据库工具打开，发现有防下载的表。管理员的默认密码是：ITlearner。数据库插一句话木马这条路是走不通了，现在只有看第二种方法看行不。输入默认密码进入 http://www.cnc-XX.com/admin/cutecounter /admin.asp?action=ShowConfig,查看原代码：查找<td><input name="RecordNum" type="text" id="RecordNum" value="100" size="40" maxlength="3"></td> 修改maxlength="3"为maxlength="100">这里是为了突破固定长度的字符输入。然后查找 <form name="form1" method="post" action="?Action=SaveConfig">处 修改为action="http://www.cncXX.com/admin/cutecounter/admin?Action=SaveConfig">，存为html文件打开后在最后详细来访信息记录多少条记录，默认为100条框输入100:eval request(chr(35))，点击保存。提示无法找到，结果发现。仔细检查也是同样的结果。可能是修补了漏洞。搞到这里，我想很多朋友都要放弃了。另外这个站是独立的服务器。旁注的不行的。我们要发扬黑客精神，永不放弃。现在我们回来ewebeitor上面来，要是把密码搞到。就很有希望拿下webshell,于是我就想该站的这套代码是不是下载人家的修改版的呢？一般下载的东西都有使用说明等介绍信息和密码的配置情况。于是尝试访问ewebedit目录下的 readme.txt 说明.txt 警告.txt 用户手册.txt 安装说明.txt。。均提示无法找到，功夫不负有心人。终于在使用说明.txt找到了登陆密码。如图4

下载 (18.03 KB)

2008-8-6 21:08

下载 (57.57 KB)

2008-8-6 21:08

新增样式 添加上传的扩展名为asa…最后上传webshell.利用ewebeditor拿后台的方法我就不具体阐述了，相信大家都很精通。成功上传的免杀脚本后门如图6：

下载 (97.22 KB)

2008-8-6 21:08

服务器没有SU 也没有pcanywhere 没有安装 MSSQL 和 MYSQL 不支持PHP JSP脚本解析。终端是开启了的，端口改成了45678。网站同目录写入一个aspx的后门，竟然无法解析。C盘可以浏览，放网站数据的D盘，除网站目录可以浏览。其他均不能浏览。面对这样的服务器提权是难，尝试了几个几率高的EXP溢出工具，其中包括最近很火的本地溢出的MS08025.也不行，看来管理的补丁打的很勤快。实在要想拿服务器就只有写个Autorun文件，和上传个免杀远控软件等服务器从新启动后，管理打开磁盘，来运行你的木马了。这只是个思路。这篇文章已经结束了，其实技术就是那么几招，关键是看你要有耐性 不放弃 思维灵活运用都很重要！

本文出自 “ 晓华的个人博客” 博客，请务必保留此出处 http://zhuxihua.blog.51cto.com/1405360/303292

本文出自 51CTO.COM技术博客