一个数据库引发的血案

王朝互联网·作者佚名  2011-12-21
窄屏简体版  字體: |||超大  

事出原因:朋友公司站点被挂马,,于是让我这个超级大菜鸟帮忙检测一下服务器安全性。

Ping 之。返回如下,数据包丢失,初步猜测 [upload=1]

1. 防护墙

2. 策略

用S扫1-65535端口只开了80端口其实管理员安全意识不差。(不过在后面证明我的想法是错的)

然后常规性用X-SCAN,全局扫描了一下看是否有其他收获。但都没什么可利用的信息。

[upload=2]

开始从WEB入手,思路 : 啊D+GOOGLE 找注入 后台 上传

站点没有可注入页面,上传页没发现。通过猜目录拿到数据库地址,还好没有防下载措施,然后读出MD5加密的密码,上XMD5破解之得到一个弱智的生日号码。

然后啊D扫后台,没发现。通过迅雷下载全部链接得出后台地址,通过后台顺利拿到Webshell.从Wbshell看出站点处于内网(IP172.1.1.2)

(具体过程,截图省略)

[upload=3]

把他公司的站的情况跟他说明后,上传CMD无法执行命令,Serv-u提权无效,习惯性翻看磁盘信息。居然除C盘外其他盘均可浏览,甚至读写(这里说明我上面的猜测是错误的,管理员应该不怎么重视安全)。

在G和E中,又发现几个个企业站和某市的GOV信息站(汗一下),于是在GOV的WEN里放了个WEBSHELL,GOV的WEBSHELL下发现此站还带了N个子站。深入发现还有.NET程序。于是上传ASPX的马,可以执行CMD命令。

[upload=4]

上传LCX转发端口。本地监听。等了N都没反映。Net start 发现Terminal Services服务开启,估计管理员更改终端端口了,通过读取注册表发现终端端口为1987,加了个账户。在转发!

网络问题等了很久本地终于有反映, [upload=5]

登陆之,失败,NET USER 发现根本没加到用户,于是在加,(Serv-u提权无效)郁闷!(大牛看到的话帮忙解释下,能列用户但无法创建用户是何原因??)

看看本地账户,N个,估计被不少“黑客”光顾过,而且是光天化日加的账户,可惜管理员没察觉。 发现有个名字很眼熟“jiaozhu”于是尝试用“jiaozhu”账户登陆,经测试密码和账户都相同顺利登陆终端。

[upload=6] [upload=7]

NET VIEW 发现内网还有20多台存活主机,由于时间问题,本人没有在进一步渗透,清理脚印后通知管理员。

不过自渗透都发帖后管理员仍然没有修复漏洞,在此我不得不-_-!汗一下!

总结:此次渗透纯属菜鸟行为,未对站点服务器造成任何破坏数据行为,并非是什么高深技术,只是站点管理员的疏忽和不负责任的态度造成。

1:企业站的管理员没有对数据库做好任何防下载或更改目录措施。

2:服务器管理员未对WEB目录做安全权限设置。

3: 发现服务器装有咔吧等杀毒软件已经防火墙但并未开启,导致我我未免杀的WEBSHELL畅行无阻。

4:服务器无缘无故出现多个系统账户,但管理员并未发觉或采取相应措施。

5:某位“黑客”估计安全意识不高还是怎么的,账户密码设置相同直接让我顺利登陆终端。

归根结底还是此政府站点管理员安全意识不高而导致服务器陷落,小小数据库引发内网服务器被渗透,若是居心叵测之人蓄意破坏服务器数据甚至渗透自内网所有主机,造成的损失将不堪设想,安全问题不容忽视啊。

有什么问题欢迎和我交流!

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航