一.事情的经过
就今天我还在网上忙着找些CIW安全培训教材的时候,我的一个网友突然传给我一个网址http://x.x.x.x.(被我马赛克了),告诉我他现在当上了网管,网站服务内容是为企业,为个人提供收费型的虚拟空间服务,他叫我帮他检测检测他网站的安全性。我一看是一家很不错的服务空间提供网站,就满口答应了他。我想他本来就当过某黑客站点的站长,系统安全方面应该没什么大问题。
我首先进行了一些扫描port的活动,既然是朋友,又被授了合法检测权,就用不着使用SYN刺探方式,而且SYN准确性不太高。我运行了我第二个最喜欢的扫描器superscan(经过我重新配置,加入不少重要的服务port),然后扫描了一下,结果(如图1):
http://edu.chinaz.com/Files/BeyondPic/image001.png
共开了10个端口,重要的有80,110,135,139,3389等等几个,可利用的服务不算多。从扫描的80信息显示是iis5.0,还开了一个win2k专有的远程桌面管理(port:3389),再加上端口的开放情况,现在能确定对方的系统一定是一台win2k+iis5.0,这是我比较熟悉的系统之一。
现在看来他没有对端口进行过滤,这是一个入侵者喜欢的开端。先从最基本的开始,看看能不能顺利与服务器建立空连接:
E:>net use x.x.x.xipc$ "" /user:""
系统发生 53 错误。
找不到 网络 路径。
空链接漏洞被补上了,看来利用空链接枚举账号清单并尝试破解的想法要落空了,早就知道没这么容易。
下面再进行iis5.0的刺探吧,这个服务最复杂也最重要,所以winnt/2k的黑客很多研究都是基于这个服务的。先试试有没有idq溢出漏洞,选了好几种idq溢出点都没成功,看来网管要么删了idq映射要么给服务器打了sp3补丁,如果是打了这个补丁那么iis就不会有什么漏洞了。另一个对sp2补丁可能有效的asp溢出也试了,也没用,其它的如printer溢出就不用试了,因为那个溢出只应用到sp1。
下面进行iis扫描,我用的是xfocus安全小组开发的x-scan1.3扫描器,实践证明这个扫描器的漏洞资料库比较全面,它能扫出流光4.7扫不出的很多重要的cgi和iis等漏洞(包括打上sp2补丁包并没进行严格配置的win2k)。我把x-scan对win2k的扫描项都选上了,等了几分钟扫描终于完毕,生成检测报告,报告结果挺让我失望,没有一点问题,结合上面的扫描情况,我估计他很有可能给iis5.0打上了sp3补丁,我可不知道有什么漏洞可以突破打上最新补丁包的iis5.0,至少还没听说过打上sp3的iis5.0还有什么致命的漏洞。现在的分析结果是win2k+iis5.0+sp3。
其它方面就不太可能有漏洞了,比如登录上3389服务,看看有没有什么非系统自带的输入法,因为有些类型的输入法还是有帮助文件和URL的,比如有个旧版本的紫光输入法。
主页也没有什么漏洞。这时我朋友看我没有办法检测出漏洞入侵,非常得意,为自己的安全配置感到很放心。当从他口中得知的确是打上了win2k的最新补丁包sp3,我也放弃了继续分析下去,认为不会有什么明显漏洞了,也没有其它可利用的服务。接着他给了我开一个虚拟网站的账号,免费提供给我一个200Mb的服务空间,并且告诉我这个空间可以支持asp、php,并开放了所有权限给我(也就是说有脚本执行权)。哈,这回他得意忘形了吧。我照这个配置条件就可以拿到admin权限了。
我先用ftp 命令登录进去,的确是200Mb,完全免费,又开放所有脚本和权限,真爽。为了能更直观地表现过程,我下面全部使用CuteFTP图形界面软件xx作,下面是我上传文件的情况(见图2):
http://edu.chinaz.com/Files/BeyondPic/image004.jpg
我总共计划上传两个文件,一个是win.exe,一个是temp.asp。win.exe是我精心配置的一个大小仅有几kb的木马,功能不但强大,最大的好处是目前还不被含最新病毒库的金山毒霸查杀。还有一个就是大家熟知的asp木马cmdasp.asp(我把它改名为temp.asp,这样防止过快被网管注意)。Temp.asp它不光是个特殊木马,有些时候也只能利用它才能拿到admin。
两个文件很快就上传完毕了。我们现在可以用刚上传上去的asp木马查看一下服务器的详细情况了,见图3:
http://edu.chinaz.com/Files/BeyondPic/image006.jpg
顺便查查我的xhacker空间目录在什么位置,用这条命令dir/s d:xhacker
很快得出结果:
驱动器 D 中的卷没有标签。
卷的序列号是 F00B-626E
d:web2xhacker 的目录
2002-06-02 19:57 6,976 win.exe
1 个文件 6,976 字节
列出所有文件:
1 个文件 6,976 字节
0 个目录 24,849,289,216 可用字节
现在知道我主页空间在服务器的绝对路径了,看到win.exe了没?这就是我刚刚传上去的木马。现在把win.exe的路径记下来,下面要用到。
再顺便看看账号情况:
D:>net user
的用户帐户
-------------------------------------------------------------------------------
Guest IUSR_INTERL-4VYGJ3RM IWAM_INTERL-4VYGJ3RM
secretboy TsInternetUser
命令运行完毕,但发生一个或多个错误。
根据经验看来账号权限被他们重新配置过,不然不会出现错误。这将意味着我不能在服务器本地用net命令创建账号了。看的出这方面还是下了功夫了,连administrator默认账号都改了名了。看来我没有先尝试破解是对的,破解的成功率实在太小了。
光使用temp.asp当后门可不够保险,我决定另外开个后门。接下来我删除了temp.asp,准备运行另一个win.exe木马。怎么运行它呢,了解unicode的人都知道,有了木马在服务器的绝对路径,并且木马所在的目录有脚本可执行权限,我们就能运行它了(abc.exe是我临时copy的一个cmd.exe)。见图4
http://edu.chinaz.com/Files/BeyondPic/image008.jpg
看到IE状态栏的进度条了吗?表示我们在服务器端运行了程序,速度会显的很慢,其实没必要等到进度条走完。了解web服务器程序设计原理的话,就知道我们即使按停止也没关系,因为这已经在服务器上执行了运行程序的命令。现在就可以用刚开的后门进去了。回到cmd窗口,执行命令:
telnet x.x.x.x 木马所开端口
,哈!成功进去了。现在我可以执行任何命令了,包括重启,关闭服务器,查看、上传、下载,删除等任意文件。见图5:
http://edu.chinaz.com/Files/BeyondPic/image010.jpg
的确安装了php,perl等。
再在看看服务器一些情况:
D:>net user secretboy
用户名 secretboy
全名
注释 管理计算机(域)的内置帐户
用户的注释
国家(地区)代码 000 (系统默认值)
帐户启用 Yes
帐户到期 永不
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7178747/viewspace-161728/,如需转载,请注明出处,否则将追究法律责任。
">