当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 反黑之路:渗透+分析+反击

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 反黑之路:渗透+分析+反击


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 34 ::
收藏到网摘: n/a

文章原作者:网路游侠

朋友的站点流量很大,这不,站做大了,黑客就来了……

X日,朋友打电话给我,说站被黑了。接着我打开页面看了下,见所有的页面都自动弹出一个比较恶心的窗口,郁闷。查看页面文件源代码,发现里面没有一个陌生的调用。郁闷中!

这样子怎么行,要朋友说我技术不过关?——No!

我问他文章调用页面一共调用了几个js,然后挨个分析。我是这么想的:既然源代码没有陌生的调用,那么问题肯定在本地的服务器。我在浏览器打开 http://www.myxust.net/js/hacker.js、http://www.myxust.net/js/heike.js这样子形式的链接,一个个提示我下载,最后一个却转向了另一个页面!htt://www.hacker.com.cn/pop.js!一定就是这个的问题了!

说到这里,可能有的朋友会问,怎么会有这样子的问题呢?我点的是本地的链接,怎么转到人家网站去了?且听游侠细细道来:

在微软的IIS里面,有这样一个选择项,可能很多朋友没有注意过,在IIS选项的“主目录”-“此资源的内容来自”-“重定向到URL”:

看到了?即使你输入你的网址,你的网址也可以转到这个js文件,这个是对整个网站的重定向,你也可以用下面的这个对单个文件重定向:

在IIS管理里面,找一个你要重定向的文件,点右键,属性。出现下面的窗口:

这样子,随便你怎么输入aboutus.html这个文件,都会转到www.myxust.net的页面去,黑客用也应该是这种方法了。既然他能做到这一步,推测他要么是高人,可以在CMD下面搞定,要么,也是最大的可能,就是和我一样,用GUI搞定。这么说,最大的可能是他已经可以完全操控这台计算机了,并且有基于GUI的远程控制工具。

朋友打电话问托管机房的管理员,管理员也证实了我上面的推测。于是,受朋友委托开始了“征服”这台服务器的路程!

渗透:

当然,既然朋友的网站在上面放着,当然不能做的很过分。不过既然人家黑客可以搞定,当然我也必然可以搞定。开始行动。

首先用老兵的whois查询工具,发现上面绑定了七八个网站,依次打开,最终只有两个可以显示的。就是朋友的这个,另外一个是某地政府的信息网。朋友的站用的系统我很熟悉,应该不存在什么问题,那么就对不住这个政府的了……

网站是asp的,用NBSI居然没有发现漏洞,出乎我的意料。但是有论坛……

可惜,是DVBBS 7 SP2的,好像截止现在还没有最新的漏洞出来。郁闷。

随手输入username:admin,password:admin888——居然进去了!天啊,中奖了!

好的,进入后台吧,输入这个用户名、密码却提示不正确,看来是被修改过了。没有办法了?No!输入:http://www.gov.com/data/dvbbs7.mdb游侠的TT就提示我下载数据库了,到这里是不是很多读者羡慕我的运气了啊?呵呵,没办法,命好!^_^

发现有两个管理员,一边复制了md5字段用破解工具进行破解,一边想别的办法,因为暴力破解实在要靠运气,虽然命好,但是“上帝是不会永远把所有的运气都给你的”,还是要自力更生,就算艰苦也要奋斗!

打开数据库,找到Dv_log表,在l_content这一列里面搜索“oldusername”找到下面的这个:

------------------------------------------
oldusername=admin&username2=admin&password2=beiheile&adduser=admin&id=9&Submit=¸ü+Д
------------------------------------------

oldusername、username2、password2,看到了吧?嘿嘿,这个可是后台登陆的用户名和密码啊。赶快登陆哦!

对了,现在先在前台上传一个改名.gif的木马,进入后台用数据库备份的方法改成.asp的,详细方法偶也不说了,看图操作。呵呵

这样子我们就有了一个在aspmm目录下面的名为ok.asp的木马。

拿这个webshell查看硬盘,却一片空白。很明显的设置了目录的访问权限。

怎么办?上传个东东再说。随便建立个asp文件,上传,没有问题。好,有戏!看来要用ServU了?呵呵。试试看:

晕,怎么会这样子?设置过了哦,不过,可能是ServU修改的,先上传一个提升工具再说。

上传serv-u.exe,用webshell执行,居然有提示信息……嘿嘿。那就不客气了!下面的截图是这个权限提升工具的利用方法。偶直接调用cmd添加管理员帐号并添加到管理员组。

先执行:servu.exe "cmd.exe net user SQLBackUper fuckusa /add"

再执行:servu.exe "cmd.exe net localgroup administrators SQLBackUper /add"

因为我知道这台机子装了SQL Server,所以起了这么个迷惑人的名字。现在就有了管理员权限了!接着用 3389.exe 远程开启终端服务。终于搞定了……

偶不急先登陆上去,webshell用习惯了,速度很快,比终端服务快一些。

这个是在命令行下面解除对用户访问权限的命令,我执行:

servu.exe "cacls.exe c: /E /T /G everyone:F"

这样子解除了C盘浏览的限制,当然我现在可以解除所有盘的限制嘿嘿