当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 反黑之路:渗透+分析+反击

安全基础
因特网特殊的几个IP地址的用途
ADSL掉线的原因
分析系统中木马病毒的运行方式
系统和网络安全的七大误解
安全威胁术语简单介绍
光电鼠标几种故障和维修方法
移动硬盘加密软件TrueCrypt使用指南
屏蔽QQ广告和迷你首页广告的技巧
XXCOPY克隆硬盘 DOS命令恢复系统
利用Google免费接收天气预报手机短信
拒绝腾讯QQ弹出迷你首页广告
网页上隐藏Email地址的技巧
进程Explorer.exe和IExplore.exe认识
网卡MAC地址导致笔记本电脑不能上网
木马经常藏身的地方和清除方法
删除文件和粉碎文件两个功能的区别
用户不再关心Windows频繁弹出的对话框
ADSL设备出厂时默认初始IP用户名和密码
内部网络管理员降低风险的策略
频繁发生的无线互访故障现象以及应对办法

安全基础 中的 反黑之路:渗透+分析+反击


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 94 ::
收藏到网摘: n/a

文章原作者:网路游侠

朋友的站点流量很大,这不,站做大了,黑客就来了……

X日,朋友打电话给我,说站被黑了。接着我打开页面看了下,见所有的页面都自动弹出一个比较恶心的窗口,郁闷。查看页面文件源代码,发现里面没有一个陌生的调用。郁闷中!

这样子怎么行,要朋友说我技术不过关?——No!

我问他文章调用页面一共调用了几个js,然后挨个分析。我是这么想的:既然源代码没有陌生的调用,那么问题肯定在本地的服务器。我在浏览器打开 http://www.myxust.net/js/hacker.js、http://www.myxust.net/js/heike.js这样子形式的链接,一个个提示我下载,最后一个却转向了另一个页面!htt://www.hacker.com.cn/pop.js!一定就是这个的问题了!

说到这里,可能有的朋友会问,怎么会有这样子的问题呢?我点的是本地的链接,怎么转到人家网站去了?且听游侠细细道来:

在微软的IIS里面,有这样一个选择项,可能很多朋友没有注意过,在IIS选项的“主目录”-“此资源的内容来自”-“重定向到URL”:

看到了?即使你输入你的网址,你的网址也可以转到这个js文件,这个是对整个网站的重定向,你也可以用下面的这个对单个文件重定向:

在IIS管理里面,找一个你要重定向的文件,点右键,属性。出现下面的窗口:

这样子,随便你怎么输入aboutus.html这个文件,都会转到www.myxust.net的页面去,黑客用也应该是这种方法了。既然他能做到这一步,推测他要么是高人,可以在CMD下面搞定,要么,也是最大的可能,就是和我一样,用GUI搞定。这么说,最大的可能是他已经可以完全操控这台计算机了,并且有基于GUI的远程控制工具。

朋友打电话问托管机房的管理员,管理员也证实了我上面的推测。于是,受朋友委托开始了“征服”这台服务器的路程!

渗透:

当然,既然朋友的网站在上面放着,当然不能做的很过分。不过既然人家黑客可以搞定,当然我也必然可以搞定。开始行动。

首先用老兵的whois查询工具,发现上面绑定了七八个网站,依次打开,最终只有两个可以显示的。就是朋友的这个,另外一个是某地政府的信息网。朋友的站用的系统我很熟悉,应该不存在什么问题,那么就对不住这个政府的了……

网站是asp的,用NBSI居然没有发现漏洞,出乎我的意料。但是有论坛……

可惜,是DVBBS 7 SP2的,好像截止现在还没有最新的漏洞出来。郁闷。

随手输入username:admin,password:admin888——居然进去了!天啊,中奖了!

好的,进入后台吧,输入这个用户名、密码却提示不正确,看来是被修改过了。没有办法了?No!输入:http://www.gov.com/data/dvbbs7.mdb游侠的TT就提示我下载数据库了,到这里是不是很多读者羡慕我的运气了啊?呵呵,没办法,命好!^_^

发现有两个管理员,一边复制了md5字段用破解工具进行破解,一边想别的办法,因为暴力破解实在要靠运气,虽然命好,但是“上帝是不会永远把所有的运气都给你的”,还是要自力更生,就算艰苦也要奋斗!

打开数据库,找到Dv_log表,在l_content这一列里面搜索“oldusername”找到下面的这个:

------------------------------------------
oldusername=admin&username2=admin&password2=beiheile&adduser=admin&id=9&Submit=¸ü+Д
------------------------------------------

oldusername、username2、password2,看到了吧?嘿嘿,这个可是后台登陆的用户名和密码啊。赶快登陆哦!

对了,现在先在前台上传一个改名.gif的木马,进入后台用数据库备份的方法改成.asp的,详细方法偶也不说了,看图操作。呵呵

这样子我们就有了一个在aspmm目录下面的名为ok.asp的木马。

拿这个webshell查看硬盘,却一片空白。很明显的设置了目录的访问权限。

怎么办?上传个东东再说。随便建立个asp文件,上传,没有问题。好,有戏!看来要用ServU了?呵呵。试试看:

晕,怎么会这样子?设置过了哦,不过,可能是ServU修改的,先上传一个提升工具再说。

上传serv-u.exe,用webshell执行,居然有提示信息……嘿嘿。那就不客气了!下面的截图是这个权限提升工具的利用方法。偶直接调用cmd添加管理员帐号并添加到管理员组。

先执行:servu.exe "cmd.exe net user SQLBackUper fuckusa /add"

再执行:servu.exe "cmd.exe net localgroup administrators SQLBackUper /add"

因为我知道这台机子装了SQL Server,所以起了这么个迷惑人的名字。现在就有了管理员权限了!接着用 3389.exe 远程开启终端服务。终于搞定了……

偶不急先登陆上去,webshell用习惯了,速度很快,比终端服务快一些。

这个是在命令行下面解除对用户访问权限的命令,我执行:

servu.exe "cacls.exe c: /E /T /G everyone:F"

这样子解除了C盘浏览的限制,当然我现在可以解除所有盘的限制嘿嘿