閱讀提示： 最近，筆者做了一臺(tái)空間服務(wù)器的代理銷售人，主要負(fù)責(zé)空間的銷售，空間商對(duì)自己的服務(wù)器非常自信，說一般人根本無法攻破他的服務(wù)器，就算一個(gè)虛擬機(jī)被上傳了WEBSHELL也不會(huì)影響到別的虛擬目錄客戶，意思就是不存在跨站入侵，當(dāng)時(shí)我只是"哦"了一聲。今天閑來無事，就來看看他服務(wù)器有多么的安全，反正我只是一般人，攻不破也無所謂^_^！
一、獲取服務(wù)器信息，設(shè)想入侵思路
　　先來看看他開了哪些服務(wù)，拿出scanner掃掃他開了哪些服務(wù)吧，端口范圍就填1－6000，不一會(huì)兒時(shí)間就掃完了（如圖1），看到了吧，只開了WEB、FTP和MYSQL，最后的那個(gè)5921端口不知道是什么東西，WEB是用IIS5.0搭建的，應(yīng)該是WIN2000，打了SP4。先不管那么多，試試MYSQL有沒有弱口令，拿出牛族的mysql連接工具，IP為61.XX.XXX.XXX，用戶是ROOT，密碼為空，點(diǎn)擊開始連接按扭，果然不出我所料，連接失敗，用TELNET連接了一下MYSQL也沒得到什么信息，不知道是什么版本，不過聽空間商說是現(xiàn)在最新版本，不存在溢出，很可能還加了強(qiáng)悍的密碼，暴力破解也沒用，看來從MYSQL下手不行，SERV-U也是最新版本，沒有溢出，就算有溢出也要得到FTP用戶和密碼。IIS更不要說，一定把該打的補(bǔ)丁都打了，WEBDAV溢出是不會(huì)有了。其實(shí)還有一個(gè)方法，就是做一個(gè)用戶和密碼的字典，加載到X-scan或別的掃描工具里進(jìn)行大范圍的FTP弱口令掃描，但我知道，現(xiàn)在他服務(wù)器是剛建的，里面沒多少客戶，這屬于大家海撈針，所以就不做這些無畏的工作了。現(xiàn)在最現(xiàn)實(shí)的就是在服務(wù)器上的一個(gè)虛擬空間里搞一個(gè)WEBSHELL，然后進(jìn)行權(quán)限提升。


二、得到WEBSHELL后之"艱難"處境
　　先來看看他服務(wù)器上綁定了多少域名，然后找一個(gè)存在注入的網(wǎng)站上傳WEBSHELL。既然這樣，就請(qǐng)出桂林老兵的虛擬主機(jī)站點(diǎn)查詢工具，在里面輸入服務(wù)器的IP，然后點(diǎn)擊"域名數(shù)量"按扭，不一會(huì)兒結(jié)果就出來了（如圖2），暈，就8個(gè)國(guó)際域名，看來那些試用空間的二級(jí)域名顯示不出來，管他呢，一個(gè)一個(gè)的找，于是隨便打開了一個(gè)網(wǎng)頁，一看下了我一跳，用的是DVBBS7.0，連SP2都沒打，也沒有進(jìn)行美化，嘻嘻，看樣子是一個(gè)空間用戶正在測(cè)試空間，所以隨便上傳了一個(gè)DVBBS，看看他把默認(rèn)密碼和用戶改了沒有，在用戶名里輸入admin，密碼為admin888，然后登陸，哈哈，沒想到真的進(jìn)來了，看看后臺(tái)密碼改了沒，輸入_index.asp" target=_blank>http://www.xxxxxx.com/bbs/admin_index.asp，用戶再次輸入admin，密碼還是admin888，最后輸入附加碼后點(diǎn)擊登錄，沒想到大失所望（如圖3），可能是把a(bǔ)dmin后臺(tái)密碼改了或刪掉了admin用戶的管理員權(quán)限，看來只有通過DVBBS的漏洞得到WEBSHELL了，嘻嘻，他沒打SP2，應(yīng)該沒有補(bǔ)DVBBS那些知名BUG，為了方便，我就用DVBBS的上傳漏洞試試，上傳一個(gè)WEBSHELL來，在這里我使用的是桂林老兵的漏洞利用工具，在提交地址里填上upfile.asp這個(gè)文件的地址，一般在/upfile.asp，上傳路徑里可以把默認(rèn)上傳的文件名改一下，如果服務(wù)器用的是IIS5.0，協(xié)議版本里就選擇"http/1.0"，如果是IIS6.0，就選擇"http/1.1"，點(diǎn)擊"瀏覽"按扭找到自己要上傳的文件，其它的都不用改，然后點(diǎn)擊上傳文件按扭，哈哈，真的成功了（如圖4），可是高興的太早了，在WEBSHELL里根本什么命令都用不了，難道是不支持FSO？不可能啊，論壇可以使用，怎么會(huì)不支持FSO呢，看來一定是配置了BT的權(quán)限，WEBSHELL功能實(shí)在是太小，還是上傳一個(gè)海洋ASP木馬看看，不上傳還好，上傳上去下了我一跳，在免FSO頁面里打什么命令都沒反應(yīng)，這還不止，進(jìn)了FSO支持頁面里連本目錄的東西都看不到（如圖5），C、D、E盤都不能訪問。我真的有點(diǎn)懷疑空間到底支持不支持FSO組件，別說是跨站入侵，就連想改自己虛擬目錄里的東西都不容易（因?yàn)榭床坏侥夸浝锏奈募吐窂剑磥碚娴氖菦]什么希望了，只能說空間商太BT，說實(shí)話，在國(guó)內(nèi)這樣的服務(wù)器還真的少見。就這樣放棄？覺得有點(diǎn)不甘心，再這樣繼續(xù)滲透？怎么搞的下去？一看表，馬上就要到12點(diǎn)了，因?yàn)閷W(xué)校一到12點(diǎn)就會(huì)對(duì)寢室限電，只能開一盞日光燈，我可不想把CPU燒掉，這樣不是賠了夫人又折兵？還是等明天再說吧，于是關(guān)電腦睡覺了，那天晚上做了個(gè)好夢(mèng)，夢(mèng)到拿掉了服務(wù)器了最高權(quán)限^_^，所以第二天一大早起來就覺得很有信心，感覺可以突破權(quán)限。先開機(jī)，上QQ，在我QQ的一個(gè)群接收到一個(gè)ASP木馬，發(fā)現(xiàn)是Asp站長(zhǎng)助手6.0，又是桂林老兵作品，當(dāng)時(shí)突然在想，海洋ASP木馬不行，上傳Asp站長(zhǎng)助手6.0也許會(huì)好一點(diǎn)，于是就抱著試一試的想法上傳了Asp站長(zhǎng)助手6.0，沒想到的確比海洋ASP木馬好一些，起碼可以看到本目錄下的文件和目錄，試試有沒有刪除本虛擬目錄里文件的權(quán)限（如圖6），真暈死，沒有刪除權(quán)限，經(jīng)過我測(cè)試只能添加文件和修改文件，而且只能在自己的虛擬目錄里活動(dòng)，比如我現(xiàn)在所在的虛擬目錄的路徑是e:\web\aaa里，你只能訪問aaa目錄里的文件，連瀏覽web目錄的權(quán)限都沒有，這還不止，在自己的虛擬目錄里連執(zhí)行權(quán)限都沒有，也就是說不能用WEBSHELL執(zhí)行所上傳的文件，這樣就算在自己虛擬目錄里上傳了本地溢出程序也不能執(zhí)行。









三、尋找突破點(diǎn)
　　沒想到IIS權(quán)限配置的這么BT，現(xiàn)在唯一的方法就是找一個(gè)能執(zhí)行的目錄，還能寫入文件，可是權(quán)限配置的這么BT，要找到這樣的目錄真的很困難，也許都沒有，不過一般C:\winnt我想應(yīng)該能進(jìn)入，瀏覽里面的目錄和文件，因?yàn)镮IS5.0的Internet 來賓帳戶一般都是GUESTS權(quán)限，而WINNT目錄都給予GUESTS權(quán)限讀取、運(yùn)行和列出文件夾目錄，就是不能寫入，如果WINNT目錄不給予這樣的權(quán)限，可以系統(tǒng)里的一些服務(wù)就不能正常運(yùn)行，所以還是在c:\winnt里找找突破點(diǎn)，也就是可能存在可以寫入的目錄，先試試可不可以讀取文件，在Asp站長(zhǎng)助手的"地址欄"里輸入"c:\winnt"（如圖7）看到了吧，果然能瀏覽文件和文件夾，就是不能寫入文件，現(xiàn)在就要找到一個(gè)能寫入和能執(zhí)行的目錄，然后上傳一個(gè)本地溢出程序，進(jìn)行本地溢出得到管理員權(quán)限。不過WINNT目錄里有這么多文件夾，怎么找？如果一個(gè)一個(gè)的找，要找到什么時(shí)候？于是經(jīng)過一陣沉思，突然想到，IIS的那個(gè)文件夾，也就是在c:\winnt\system32\inetsrv目錄里會(huì)不會(huì)有這樣的目錄？因?yàn)镮IS的Internet 來賓帳戶很可能要調(diào)用inetsrv目錄里的一些文件，或是加載文件，而這就要求必須有寫權(quán)限，于是馬上進(jìn)入c:\winnt\system32\inetsrv目錄里，發(fā)現(xiàn)里面有一個(gè)DATA目錄，于是試著在里面建一個(gè)文件，在ASP站長(zhǎng)助手里點(diǎn)擊左邊的那個(gè)"新建文本"，隨便建一個(gè)文件試試，哈哈，沒想到真的成功了（如圖8），我在里面建了一個(gè)serv.txt的文本文件，看來能寫入，不知道能不能執(zhí)行，于是馬上把cmd.exe上傳到c:\winnt\system32\inetsrv\data目錄里，再點(diǎn)擊左邊的"命令行模塊"，在最下面的"SHELL路徑："下填寫c:\winnt\system32\inetsrv\data\cmd.exe，因?yàn)槲以赿ata目錄里上傳了一個(gè)cmd.exe，就以data下的cmd.exe運(yùn)行，而c:\winnt\system32\的cmd.exe沒有執(zhí)行權(quán)限，BT空間商把來賓用戶的權(quán)限取消了，填寫好后在"執(zhí)行"按扭上面輸入ipconfig /all命令，主要是看看能不能執(zhí)行（如圖9），哈哈，真的成功了，突然發(fā)現(xiàn)勝利的曙光在眼前一閃^_^。
四、進(jìn)行權(quán)限提升，進(jìn)行BUG修補(bǔ)
　　現(xiàn)在就來提升權(quán)限，不過我聽空間商說，過了SP4的那些本地溢出漏洞他都補(bǔ)了，就連最近新出的一些都補(bǔ)掉了，所以我就不在這里做這些沒用的事浪費(fèi)時(shí)間了，用社會(huì)工程學(xué)覺得沒必要，對(duì)了，試試SERV-U的那個(gè)本地權(quán)限提升工具，具我預(yù)感應(yīng)該可以，因?yàn)槲衣犝fSERV-U5.2的那個(gè)用戶和密碼還是沒改，應(yīng)該還存在這樣的漏洞吧？好了，廢話不多說，來試試，用ASP站長(zhǎng)助手上傳SERV-U的那個(gè)溢出程序，上傳到DATA目錄里，然后進(jìn)行溢出，命令是：serv-u "要執(zhí)行的命令"，比如我想建一個(gè)yibing的用戶，就輸入serv-u "net user yibing /add"，呵呵，沒想到真的溢出成功了，真想不通怎么最新的SERU-U程序也存在這樣的BUG，現(xiàn)在就是看看終端開的沒有，上傳了mport.exe，發(fā)現(xiàn)5921這個(gè)端口就是終端的端口，由于篇幅的原因，這些我就不再截圖了，于是連接終端，進(jìn)入后在ADMINISTRATOR這個(gè)管理員用戶的桌面上建了一個(gè)TXT的文件，里面寫了幾句話，提個(gè)醒。
　　現(xiàn)在我拿到了管理員權(quán)限，因?yàn)槭亲约杭业姆?wù)器，所以就把這兩個(gè)BUG給補(bǔ)好吧，首先先把c:\winnt\system32\inetsrv\data這個(gè)目錄的Everyone刪掉就可以了，這樣就不能寫入文件了，Everyone權(quán)限是所有用戶的意思，只要加上這個(gè)權(quán)限，不管是ADMINISTRATORS權(quán)限還是GUESTS權(quán)限，都包括在Everyone權(quán)限里，然后就是修補(bǔ)SERV-U這個(gè)BUG了，在這里我用藏鯨閣里開發(fā)的一個(gè)工具，用法很簡(jiǎn)單，打開后點(diǎn)擊"選擇"按扭選擇SERV-U所在的目錄，然后在第一行"管理端口"里改一下那個(gè)致命的端口，再在下面的"管理帳號(hào)"里改一下SERV-U里的那個(gè)管理員用戶，在這里要注意了，長(zhǎng)度一定要為18個(gè)字符，如果長(zhǎng)了或短了很可能會(huì)出現(xiàn)意外的錯(cuò)誤，下面的"管理密碼"也要改，長(zhǎng)度一定要是14個(gè)字符，都填好修改的內(nèi)容后點(diǎn)下面的"修改"按扭，如果成功會(huì)提示修改成功的對(duì)話框，不過一定要注意，在修改之前，必須要把SERV-U的所有進(jìn)程和服務(wù)都關(guān)掉！

五、總結(jié)
　　經(jīng)過依冰測(cè)試，通過此方法入侵，我一夜就搞定了四臺(tái)空間服務(wù)器，根本上是IIS5.0 SERV-U，有一個(gè)WEBSHELL就可以搞得定，因?yàn)檫@是WIN2000默認(rèn)配置的權(quán)限，而且又在系統(tǒng)目錄里，所以一般沒有管理員去特意的配置它。希望國(guó)內(nèi)多多重視一下網(wǎng)絡(luò)安全，好了，就到這里吧，如果文中有什么錯(cuò)誤或不明白的地方，可以來X檔案官方論壇和我探討。（相關(guān)程序都已經(jīng)收錄）

最新評(píng)論