注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

溪亭残月的博客

I want bring you into my heart !!

 
 
 

日志

 
 

一次“完整”的渗透过程  

2009-02-20 23:26:00|  分类: 入侵检测 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

刚换过来新公司,闻听公司有网站,像我这种人当然不能放过了。直接打开http://www.xxx.com.cn,

发现网站全为ASPX的,初步判断为2003的系统,绕了一圈后发现没有漏洞,直接旁注发现有5个站点,

一个站点一个站点的看,发现http://www.xxx2.com.cn的后台目录,发现为朗晨后台管理系统,图1。'or'='or'

一下,发现不行,用默认用户名和密码admin顺利进入,找到了政策法规、图片管理,有个上传文件,直接上传

ASP木马,成功运行,呵呵,运气好。图2。

 

 

 发现C、D、E盘没有权限访问,命令组件为真,但是执行不了命令,上传CMD也不行,郁闷了,直接在本机上

上的CMD下执行:ftp 目标IP,返回了如图3所示;SERV-U5.0的,汗死。古董了。直接上传ASP提权工具,添加

帐户试下,这里我添加的是cmd /c net user hacklu hacklu /add & net localgroup administrators hacklu /add,

没有成功,刚开始以为是改了默认密码什么的,可是发给李丰初看,他说没改。后来添加buestaa成功了。

扫描一下开了3389,拿出小组成员A$OFT兄弟写的可以直接复制的3389连接器,却告诉我超过最大的连接数。

郁闷。这也好办,直接在ASP版的提权工具内执行:shutdown -r -t 30 。这是让服务器30秒重启。过了一会再试,

成功连接上了,图4;

 

 

 上面只是简单的说下简单的脚本入侵过程,也非本文的重点,3389是连上了,可惜管理员在CMD下或者在

我的电脑--管理--计算机管理--用户里可以看到的,图5,下面我们就来添加隐藏的超级用户。首先

在肉鸡的CMD下执行:net user hacklu$ hacklu /add,加$符号是为了在CMD下看不到它。再次运行--regedt32来到

HKEY_LOCAL_MACHINE\SAM\SAM,此时如果SAM下没有键值是说明当前用户的SAM权限没设置。我们在SAM上单击右鍵,

选择权限,在弹出的SMA权限对话框中选择“添加”在弹出的选择用户或组的对话框中选择“高级”。在弹出的对话框

中选择“立即查找”如图6所示。

 

 接着找到我们刚才添加的hacklu$,连续两次确定,来到SAM权限的对话框,把完全控制前面打上勾,如图7所示。

再次运行打上:regedit,(注意和上次的不一样),来到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下,

注意与Names项同级的若干个0000xxx之类的键。它们分别对应着Names下的各个帐号,查看对应关系是单击每个帐号,此时

在这个帐号右侧窗格中就会出现一个类型值。像我单击hacklu$对应的就是固定的0x422。图8;

 

 

 也就说明hacklu$对应的是00000422,像Administrator对应的就是固定的ox1f4,也就是000001F4,选择Administrator对应

的000001F4,单击文件--导出,命名为11.reg。同样,在选择hacklu$对应的00000422,同样把它导出。命令为12.reg。接

着选中hacklu$帐号。单击文件--导出。命名为hacklu$.reg。选择刚才导出的11.reg。也就是管理员的。用记事本打开,

我们会看到F和V两个部分,选择F部分的,图9;然后复制,在用记事本打开12.reg,粘贴在F部分,也就是使hacklu$用户

具备ADMIN的权限,保存一下12.reg退出。在回到CMD下用net user hacklu$ /del删除这个帐号。双击12.reg,将它导入注册表,

再双击hacklu$.reg,也导入注册表。在CMD下用net user命令查一下,看不到hacklu$,图10。再来到计算机管理--用户里看一下,

也看到hacklu$,图11.但我们这个用户还是超级用户的

 

 

 

 

   随然我们添加了隐藏的管理员用户,但为了安全我们必须要把日志清除干净。也就是把PP擦干净。而且手纸一定要好呀。

一个好的管理员会经常看日志的,就连我们平时提交的asp?id=11 and 1=1这样的都会记录在日志里的,关于怎么看日志查

入侵者不在本文讨论之中。要清除日志那么首先要了解一下日志。开始--运行--eventvwr,或我的电脑--管理--系统工

具--事件查看器。在所有的WINDOWS版本里至少都能看到三种日志记录事件。

 1:应用程序日志:包含由应用程序或系统程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。

 2:安全性日志:记录诸如有效和无效的登录尝试等事件。以及记录与资源使用相关的事件。如创建、打开文件或其他

对象。管理员可以指定在安全日志中记录什么事件。例如,如果你启用登录审核,登录系统的尝试工,将会记录在安全日志里。

 3:系统日志:包含WIN系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。

 原理说的差不多了,下面一起来清除。当然我们得知道放在什么地方了,运行--inetmgr或右键我的电脑--管理--服务和应用

程序--INTR信息服务。找到我们访问的网站,右键属性,在活动日志处点属性,图13。找到该目录,直接删是删不了的,我们改成

W3C扩充日志文件格式,过一会就会以别的文件生成新的日志了,而这个文件就可以删了。

 在推荐大家两个工具,MT和CLEANIISLOG,在删除系统日志直接用在CMD下用MT -clog all就可以删除所有日志。但这样更会引起管理

的注意,所以并不推荐这样做。IIS日志删除工具。挺不错的工具。运行cleanIISlog.exe 日志路径文件名 自己的IP。就可以把自己的

IP删掉了。图14。做到上面这几步,管理员已经很难发现我们了,其实我们还可以把WEBSHELL提升为管理员权限的。也就是能访问任何目录

和能执行命令的,其实方法很多,将IIS提升为SYSTEM权限或将IUSR提升为管理员都可以的。不过这样会把服务器弄的不安全了。下面给大家

带来一种方法,先来到IIS管理器,右键我们的WEBSHELL,选择--属性--文件安全性--在身份验证和访问控制中点击编辑,此时的WEB

SHELL权限是IUSE,图15所示。我们直接把刚才建的隐藏管理员用户和密码添上,这时我们的WEBSHELL就可以执行命令和浏览任意目录了。

 

 

 本文前面介绍一次很简单的入侵,最后介绍一下添加隐藏用户和清除日志,提升WEBSHELL等。希望能给比我菜的朋友们带来帮助。

欢迎大家来NOHACK和我交流。我的ID是樱花浪子。

本篇文章来源于 中国安全在线 原文链接:http://www.cnsafer.com/Article/Tech/200710/3538.htm

  评论这张
 
阅读(101)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017