網管必看 滲透某大型信息港網絡全過程

　　天天在網上轉悠，總看到有網站被黑，我對那些入侵高手的技術佩服得五體投地，敬仰之情如同滔滔江水天上來。這天下午我在和sophia閒聊，他請我搞站，我看心情好就同意了，和sophia一起滲透該網站。一直忙到晚上3點才搞定，搞定了沒事做就想寫點什麼，寫什麼好呢?就把滲透過程寫下來好了，希望能給那些在黑色道路上不斷摸索前行和彷徨的朋友一點點啟發。

　　http://www.xxx.cn/(ip:xx.103.160.22)是一大型信息港門戶網站。xxx.cn有以下特點:1.二級域名多，至少20個，根據ping完後的結果看。那些二級域名都沒有綁定在一個ip上面，自然也就不在一台服務器上咯;2.支持的腳本語言多，首頁上有jsp,php,asp.net,asp，等等。3.信息量打得驚人，很多東西哦都是鏈接到其它網站或二級域名，單這些就可以把人搞得昏頭轉向。對於這種站，只有搞過的人才知道入侵它是多麼累，多麼痛苦。

　　個人覺得這種站關鍵還是要找到合適的入手點，找到致命的漏洞。搬出domain旁注一下，發現該服務器只綁定一個域名。就先先具體了解下網站吧?.畢竟 知己知彼 百戰百勝嘛!幾只煙下來，開始有點小暈了.主站上面雖然支持腳本是比較多,但動態頁面似乎少的可憐.其他的都是連接到二級域名的!看來只能從主站入手了我先看下網站有什麼直接的漏洞比如注射啊，上傳漏洞啊。於是開始了慢長的搜尋過程。首先當然是拿比較熟手的asp了,不錯.開了主頁就找到個asp鏈接，後面還帶參數的.哈哈!趕快and 1=1試一下，不爽!這家伙居然用通用防注入程序再仔細找也沒有發現注入點。再試下aspx,提交什麼都返回整頁的錯誤，沒辦法。jsp的頁面也沒有問題。看到有php的頁面，眼前一亮.說不定他開3306了啊。。掃個若口令，不錯!請出nc ip 3306 很快連接了上去.返回信息了4.0.24的版本，首先注射查詢裡使用UNION函數是滿足了.來登陸下先..mysql -hip -uroot .嘿嘿，起碼的先來個空口令嘛。很不幸運，失敗了，順便又猜了幾個常見的若口令，均失敗告終.看來投機是不成了.老實點來吧!又一次鑽入主站，開始搜尋傳說中的php注射點，終於找到個看起來有點問題的頁面!

　　http://it.xxx.cn/publicpress_content.phpid=96/**/and/**/1=2/**/union/**/select/**/1,1,1,1,1,1,1

　　由於系統過濾了空格，就用/**/代替好了，可是連字段數也沒辦法也猜不出來，估計猜表名也很困難，只好放棄了。

　　找到http://gongqiu.xxx.cn/fabuinfo.asp,這是發布供求信息的地方，注冊後可以上傳圖片( 限 jpg 格式 )。我正准備抓包，卻發現上傳一個正常的圖片也不行，看來上傳的地方出了毛病。

　　最後在http://www.xxx.cn/life/lifehtm/pro_list.asp下面找到個搜索的框框，輸入關鍵字反探測'返回:

　　Microsoft OLE DB Provider for ODBC Drivers 錯誤 '80040e14'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: '%' 附近有語法錯誤。

　　/life/lifehtm/pro_list.asp，行94

　　接著輸入“反探測' and 1=1 and '%'='”和“反探測' and 1=1 and '%'='”返回不一樣，這就證明有注射漏洞。手工注入累死人，抓包嗅談地址，如:http://www.xxx.cn/life/lifehtm/pro_list.asp?protype=%C6%E4%CB%FC%CE%EF%C6%B7 ,用nbsi注入不了，用啊D工具檢測還是DB_owner權限，支持多句執行，權限雖然不大，但是還可以列目錄，在他的3個盤裡面仔細查找，只發現一些數據庫備份，沒有任何網站目錄，想到數據庫和web分離的，也不知道這台數據庫機器的ip,備份得到webshell的思路估計是沒門了。猜解表名沒找到諸如admin啊,manager之類的表.又在主站上面搜索了回後台，沒有找到.看來這注射點利用價值也不多了.列出還有C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/目錄，但配置文件現在又拿不到。

　　這時候sophia的掃描結果出來了，superscan掃描速度真是快啊，看來只有從內網入手了，並不一定是arp嗅談啊，那東西得看運氣，十有八九會出現Spoof的錯誤，這個問題曾經在E.S.T裡面熱烈討論過，但是一直沒有人很好地解決。 掃描同一網段機器的端口。

　　仔細分析了一下這些內網機器所開的端口,讓偶發現了點小秘密。大部分機器都開ftp的21端口了，觀察之後發現連接信息是諸如xxweb,xxdatabase之類的，另外返回信息裡面看不到ftp的用什麼,但有個220.好家伙!聰明點人的不難發現那些代表什麼意思了!當然是serv-u了啊。.還有積聚、就是是很多機器都開了5631的pcanywhere端口，一個內網為了方便應該裝點遠程控制軟件來管理主機吧?連了好幾個3389都沒成功.這時候我感覺5631能夠帶給我們好運氣。這麼多機器ftp信息是有規律的,pcanywhere也應該多少有點聯系的..社會工程學?嘎嘎! 大概的思路已經出來了,先拿幾台機器的webshell提權或者直接下他的pcanywhere的配制文件,之後運用社會工程學or嗅談(當然嗅談是最壞的打算了)來拿到目標站.ok!和sophia開工了，先得拿到一個webshell再說。

12下一頁閱讀全文