当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 反黑之路:渗透+分析+反击

安全基础
找出安全漏洞 QQ盗号软件后门分析与反击
网络安全技术 再谈跨站脚本攻击与防御
掌控PC 如何应对僵尸主机及僵尸网络
如何在Windows中构建蜜罐?
分析并清除web服务器上的网页木马
基础知识讲解 病毒的IFEO映像劫持技术
网管秘籍 拒绝服务攻击防御全攻略
网管秘籍 如何减轻DDoS攻击带来的危害
利用输入法漏洞轻松破解Vista登录密码
安全保障!封杀木马病毒十大绝招
变态入侵:有史以来最酷的Windows后门
安全导航:认识反网络钓鱼欺骗新技术
管理好自己密码的10个技巧
如何隐藏管理员帐号
网络监听的原理、实现技术与防范方法
简单分析微软无线键盘的安全隐患
解密美国FBI的电话及网络监控技术
突破ADSL限制 通过宽带路由多机共享上网
Autorun病毒防御者 让U盘不中毒
计算机的密码设置技巧

安全基础 中的 反黑之路:渗透+分析+反击


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 32 ::
收藏到网摘: n/a

文章原作者:网路游侠

朋友的站点流量很大,这不,站做大了,黑客就来了……

X日,朋友打电话给我,说站被黑了。接着我打开页面看了下,见所有的页面都自动弹出一个比较恶心的窗口,郁闷。查看页面文件源代码,发现里面没有一个陌生的调用。郁闷中!

这样子怎么行,要朋友说我技术不过关?——No!

我问他文章调用页面一共调用了几个js,然后挨个分析。我是这么想的:既然源代码没有陌生的调用,那么问题肯定在本地的服务器。我在浏览器打开 http://www.myxust.net/js/hacker.js、http://www.myxust.net/js/heike.js这样子形式的链接,一个个提示我下载,最后一个却转向了另一个页面!htt://www.hacker.com.cn/pop.js!一定就是这个的问题了!

说到这里,可能有的朋友会问,怎么会有这样子的问题呢?我点的是本地的链接,怎么转到人家网站去了?且听游侠细细道来:

在微软的IIS里面,有这样一个选择项,可能很多朋友没有注意过,在IIS选项的“主目录”-“此资源的内容来自”-“重定向到URL”:

看到了?即使你输入你的网址,你的网址也可以转到这个js文件,这个是对整个网站的重定向,你也可以用下面的这个对单个文件重定向:

在IIS管理里面,找一个你要重定向的文件,点右键,属性。出现下面的窗口:

这样子,随便你怎么输入aboutus.html这个文件,都会转到www.myxust.net的页面去,黑客用也应该是这种方法了。既然他能做到这一步,推测他要么是高人,可以在CMD下面搞定,要么,也是最大的可能,就是和我一样,用GUI搞定。这么说,最大的可能是他已经可以完全操控这台计算机了,并且有基于GUI的远程控制工具。

朋友打电话问托管机房的管理员,管理员也证实了我上面的推测。于是,受朋友委托开始了“征服”这台服务器的路程!

渗透:

当然,既然朋友的网站在上面放着,当然不能做的很过分。不过既然人家黑客可以搞定,当然我也必然可以搞定。开始行动。

首先用老兵的whois查询工具,发现上面绑定了七八个网站,依次打开,最终只有两个可以显示的。就是朋友的这个,另外一个是某地政府的信息网。朋友的站用的系统我很熟悉,应该不存在什么问题,那么就对不住这个政府的了……

网站是asp的,用NBSI居然没有发现漏洞,出乎我的意料。但是有论坛……

可惜,是DVBBS 7 SP2的,好像截止现在还没有最新的漏洞出来。郁闷。

随手输入username:admin,password:admin888——居然进去了!天啊,中奖了!

好的,进入后台吧,输入这个用户名、密码却提示不正确,看来是被修改过了。没有办法了?No!输入:http://www.gov.com/data/dvbbs7.mdb游侠的TT就提示我下载数据库了,到这里是不是很多读者羡慕我的运气了啊?呵呵,没办法,命好!^_^

发现有两个管理员,一边复制了md5字段用破解工具进行破解,一边想别的办法,因为暴力破解实在要靠运气,虽然命好,但是“上帝是不会永远把所有的运气都给你的”,还是要自力更生,就算艰苦也要奋斗!

打开数据库,找到Dv_log表,在l_content这一列里面搜索“oldusername”找到下面的这个:

------------------------------------------
oldusername=admin&username2=admin&password2=beiheile&adduser=admin&id=9&Submit=¸ü+Д
------------------------------------------

oldusername、username2、password2,看到了吧?嘿嘿,这个可是后台登陆的用户名和密码啊。赶快登陆哦!

对了,现在先在前台上传一个改名.gif的木马,进入后台用数据库备份的方法改成.asp的,详细方法偶也不说了,看图操作。呵呵

这样子我们就有了一个在aspmm目录下面的名为ok.asp的木马。

拿这个webshell查看硬盘,却一片空白。很明显的设置了目录的访问权限。

怎么办?上传个东东再说。随便建立个asp文件,上传,没有问题。好,有戏!看来要用ServU了?呵呵。试试看:

晕,怎么会这样子?设置过了哦,不过,可能是ServU修改的,先上传一个提升工具再说。

上传serv-u.exe,用webshell执行,居然有提示信息……嘿嘿。那就不客气了!下面的截图是这个权限提升工具的利用方法。偶直接调用cmd添加管理员帐号并添加到管理员组。

先执行:servu.exe "cmd.exe net user SQLBackUper fuckusa /add"

再执行:servu.exe "cmd.exe net localgroup administrators SQLBackUper /add"

因为我知道这台机子装了SQL Server,所以起了这么个迷惑人的名字。现在就有了管理员权限了!接着用 3389.exe 远程开启终端服务。终于搞定了……

偶不急先登陆上去,webshell用习惯了,速度很快,比终端服务快一些。

这个是在命令行下面解除对用户访问权限的命令,我执行:

servu.exe "cacls.exe c: /E /T /G everyone:F"

这样子解除了C盘浏览的限制,当然我现在可以解除所有盘的限制嘿嘿