老早就打算寫(xiě)這樣一篇文章:能夠細(xì)致地反映出入侵中攻防的具體內(nèi)容,我想這比單純的技術(shù)文章有趣的多。有鑒于此，我將盡力完整描述入侵過(guò)程中的思考方式。
1.石榴裙下的kk
說(shuō)實(shí)話，就第一次拿到權(quán)限而言，沒(méi)有多少技術(shù)含量。我花了N久時(shí)間收集KK網(wǎng)絡(luò)的各種信息，最終以arp欺騙獲取權(quán)限。
kk的重要端口配置：ftp－21212；mssql－12345；terminal services－54321；
我們可以看到kk網(wǎng)管是有安全意識(shí)的，他把重要的數(shù)據(jù)端口改成10000以上的高端口，這在入侵之初就讓我吃了閉門羹。因?yàn)槲矣袀€(gè)不太好的習(xí)慣，第一次掃描端口總是在1－10000內(nèi)。而以上端口是我某次發(fā)狠心掃描1－65000發(fā)現(xiàn)的。
有了這個(gè)發(fā)現(xiàn)，我成功利用cain的arp欺騙功能獲得：ftp口令，mssql口令，終端口令
2.webshell下的徘徊
再次證明kk網(wǎng)管對(duì)安全的意識(shí)就是在webshell環(huán)境中的遭遇，我是直接使用ftp上傳shell，起初是海陽(yáng)的2006版，shell沒(méi)有寫(xiě)權(quán)限。
當(dāng)時(shí)還沒(méi)有嗅到終端口令，我在webshell里考慮著提權(quán)的可能性。mssql是2005版的，連接用戶權(quán)限是db_owner，作為不大。ftp是FileZilla Server這款軟件配置的。我之前入侵kk同段server的時(shí)候遇到過(guò)，這玩意的配置文件默認(rèn)會(huì)泄漏口令，而且是明文的。
但令我失望的是kk網(wǎng)管的專業(yè)再次延長(zhǎng)了其淪陷的時(shí)間。我從他的配置信息里讀到32位的md5加密口令，破解失敗。
當(dāng)然我收獲了第一步的成功果實(shí)，利用數(shù)據(jù)庫(kù)管理功能刷了些點(diǎn)，自己爽了一晚上。
3.天堂與地獄的距離僅一步之遙
在我嗅到終端口令后，我一舉拿下kk的2臺(tái)重要server，其中一臺(tái)是數(shù)據(jù)服務(wù)器。(口令不一樣)
我很明白：kk網(wǎng)管很專業(yè)，也很勤快，幾乎每天都會(huì)上來(lái)幾次。我必須把后門做的隱蔽些。于是我做了較為詳細(xì)的計(jì)劃，如下：
a.我上線的時(shí)間應(yīng)該是周末早上（這類成人站點(diǎn)晚上營(yíng)業(yè)，周末早上是最安全的），避開(kāi)網(wǎng)管
b.兩臺(tái)機(jī)子上的后門放置方式應(yīng)該不一樣（防治一臺(tái)被查出，另一臺(tái)也掛掉），后門也應(yīng)該是多道的
c.日志處理要極謹(jǐn)慎
于是我在周六的早上6：00，悄悄登陸，分別做了以下工作。
1.我在有web的服務(wù)器上（有多個(gè)網(wǎng)站）的幾個(gè)網(wǎng)站都插了一句話?cǎi)R，在隱蔽目錄直接留了馬，并修改了時(shí)間屬性
2.一臺(tái)機(jī)子我做了name$這樣的隱藏帳號(hào)；而另一臺(tái)我把sqldebugger用戶克隆成administrator
3.我在數(shù)據(jù)庫(kù)服務(wù)器上放了端口復(fù)用后門（后來(lái)發(fā)現(xiàn)tcp/ip篩選導(dǎo)致我這個(gè)后門無(wú)法使用）
4.我記錄了所有已經(jīng)獲得的口令，并仔細(xì)查看了web網(wǎng)站結(jié)構(gòu)，后臺(tái)登陸口，數(shù)據(jù)庫(kù)內(nèi)的管理帳號(hào)（密碼是加密的），包含經(jīng)銷商、主播、會(huì)員等的數(shù)據(jù)
5.我清理了曾經(jīng)用過(guò)的程序日志，悄悄退出，并決定不再輕易登陸
6.arp依然是我的一道后門
然而，即便如此，接下來(lái)的幾天，我都無(wú)法阻止權(quán)限的丟失。（當(dāng)然主要暴露原因是我刷庫(kù)造成的）
先是管理員發(fā)現(xiàn)了webshell的存在，他果斷的直接使用備份還原。（kk的網(wǎng)站不大）接下來(lái)他又覺(jué)察到了FTP口令泄密，修改口令，并且做了ip限制。（這是我在后面使用放置在其他站的webshell查看配置文件知道的）。
再接下來(lái)，他又對(duì)sql端口，終端端口做了ip安全策略，僅允許指定的ip和ip段訪問(wèn)。這樣我即使有口令也無(wú)可奈何了。
4.領(lǐng)土之爭(zhēng)
kk的web腳本是aspx的，原先我留的aspshell總是被他抓到，我于是留了個(gè)心眼，藏了幾個(gè)aspxshell混在里面。果然管理員并沒(méi)有發(fā)現(xiàn)。（后來(lái)知道是禁用了asp）
于是我面臨這樣的處境：
我有一個(gè)aspxshell（lake2的）可以運(yùn)行cmd，一個(gè)admin權(quán)限的用戶口令。
限制是：shell沒(méi)有寫(xiě)權(quán)限，lake2的這款shell連接sql時(shí)，遇到非1433端口，無(wú)法連接。而我又不能上傳新的shell上去。
有人問(wèn):你怎么不用nc反彈呢?
kk做了tcp/ip篩選,對(duì)tcp端口的出站訪問(wèn)做了嚴(yán)格限制,僅允許80,21212,12345,54321,1935（flash media server）.這也是我的端口復(fù)用后門失效的原因.(其實(shí)端口復(fù)用后門不是真正的復(fù)用,還是要用到其他端口的)
又有人問(wèn):psexec(pstools套件里的這個(gè)工具不是可以用嗎?)
psexec的運(yùn)行需要先決條件:即rpc共享開(kāi)啟,需要開(kāi)啟server,workstation服務(wù).(kk的這兩個(gè)服務(wù)是關(guān)閉的,而我在shell下是沒(méi)有權(quán)限啟動(dòng)服務(wù)的).即便如此我在本地測(cè)試的時(shí)候都沒(méi)有成功.
我考慮了3套可行方案：
a.我想到了runas命令可以其他用戶身份執(zhí)行指令，運(yùn)行程序
b.sql的命令行用法:isql
c.入侵他允許連接的那些ip和ip段中的至少一臺(tái),作為跳板進(jìn)去.(這個(gè)列表我已經(jīng)獲得)
最終我成功的2條.
a.runas需要二次交互,直接命令行是無(wú)法完成的,需要寫(xiě)腳本,或利用第三方程序.腳本我google到一些例子,本地都沒(méi)有測(cè)試成功.工具也只是聽(tīng)說(shuō),無(wú)緣得見(jiàn),本方案失敗.
b.isql的用法
isql -S ip,port -U login_id -P pass -d database -Q "SELECT * FROM TABLE"
我翻閱了網(wǎng)上的資料，以上命令是正確的，但我在shell下連接時(shí)，卻提示“登陸失敗”?？鄲涝S久，最后才發(fā)現(xiàn)當(dāng)pass中含有特殊字符時(shí)需要用“”包含起來(lái)。這一發(fā)現(xiàn)讓我順利的解決刷庫(kù)問(wèn)題。
接下來(lái)我嘗試了猜解sa用戶的口令，以期望用此來(lái)提升權(quán)限。失敗
c.當(dāng)我在第二套方案遇到問(wèn)題時(shí)，我一邊在網(wǎng)上翻閱資料，一邊嘗試了第三套方案。這中間遇到了一個(gè)問(wèn)題。
我成功的拿到一個(gè)shell，并且找到了sa口令，本以為事情會(huì)很順利。問(wèn)題卻來(lái)了：
內(nèi)網(wǎng)，我需要上傳lcx端口轉(zhuǎn)發(fā)工具，才能遠(yuǎn)程登陸。在我上傳的時(shí)候，我發(fā)現(xiàn)無(wú)論我上傳什么，都只出現(xiàn)一個(gè)21B大小的文件。然后我利用tftp，ftp，vbs下載均告失敗。
這個(gè)問(wèn)題困擾了我?guī)滋臁?br/> 后來(lái)我想起是不是因?yàn)榻M件的問(wèn)題，導(dǎo)致我上傳文件失?。课覟g覽了server的程序文件夾發(fā)現(xiàn)其安裝有另外的上傳組件。這堅(jiān)定了我的判斷。于是解決方案也隨之出爐了：
我找了一個(gè)無(wú)組件上傳腳本，順利的解決了文件上傳問(wèn)題。當(dāng)然這里遇到我們親愛(ài)的瑞星的小小阻擾。（以前瑞星對(duì)加殼的文件查殺能力是很弱的，新版這方面有所提升，當(dāng)然免殺一個(gè)lcx并非難事，就此不表）
有了上面的成功，我成功的再次進(jìn)入kk的服務(wù)器。
5.好事多磨
當(dāng)我得意的用刷庫(kù)的帳號(hào)去網(wǎng)站溜達(dá)的時(shí)候，卻發(fā)現(xiàn)我無(wú)法正常使用該帳號(hào)，總是在連接到它的3號(hào)視訊服務(wù)器的時(shí)候，當(dāng)?shù)?。更?yán)重的時(shí)，幾次之后我的ip就會(huì)被封鎖。
我意識(shí)到問(wèn)題的棘手。通過(guò)抓包，我獲取了3號(hào)視訊服務(wù)器的ip。
并再一次成功入侵，這次入侵更有了一些意外收獲。我在翻查msn聊天記錄的時(shí)候，得到很多重要的口令。更對(duì)整個(gè)公司的運(yùn)作有了充分的了解。
6.尾聲
這場(chǎng)領(lǐng)土之爭(zhēng)談不上誰(shuí)勝了，而我寫(xiě)此文的目的也不僅是展現(xiàn)一次入侵，更是一次防守。立體的攻防演練，我們不防當(dāng)作一次黑盒測(cè)試。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。