文章作者:小贼(
http://hi.baidu.com/zei86/)
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com)
注:此文章已发表在《黑客防线》第11期杂志上,后由原创作者友情提交到邪恶八进制论坛。
事情起因:某日在某论坛上看到有人在发贴寻求能写某程序的人,当时刚好没事干,看那人又是我们西安本地的,就联系上他,说帮他开发那套程序,说白了就是偷代码。
和那人谈好价钱和要求后就开工了,首先看了下他的站
http://www.xxx.com(我以这个域名代替)网站程序是ASP+ACCESS+雪孩BBS,一般我先从BBS入手,从网上找到了此网站的源代码,看了下其实内核就是用的DVBBS,很自然的找到默认数据库地址,地址栏打入
http://www.xxx.com/bbs/DataBase/Snowboy.mdb,很顺利的下载到他的数据库,又很顺利的破出了MD5,这里我以为在一切顺利的情况下就可以搞到个webshell了,然而当穿了jpg的马准备备份的时候发现备份出错。。。(图1)
然后返回首页看了下,果然是不支持FSO.所以备份没办法用。(图2)
论坛的基本设置那里可以设置上传类型,我就加了个ASP的,然后返回前台,还真上传上去了ASP文件,但是在地址栏输入文件地址
http://www.xxx.com/bbs/UploadFace/200771469170465.asp却显示的是 “您试图从目录中执行 CGI、ISAPI 或其他可执行程序,但该目录不允许执行程序。”搞了半天也没想出什么好办法。就放弃论坛
然后在主站部分找到上传照片地方,失败NC提交不成功,小明的也不行,开始用论坛的管理帐号和密码(帐号用ddst代替)ddst /198211去登陆主站后台,admin/198211试了也不行,ddst/198211也进不去or也行,admin/admin也不行。然后想着,主要能在这个服务器上找个注入点,再加上DVBBS后台显示路径,就基本上可以备份个马上去了,就一个站一个站的找,还真找到了个注入点,不过仔细一看是public权限,public在默认情况下是没有备份权限的,在注入点上执行后发现确实没有备份权限,扫了下同段的windows鸡,就那么几个,但运气还算好,成功找到个discuz5.0暴密码,apache+windows2003的,默认情况下是system权限,果然模板写进去马之后可以执行,”net user xiaozei 123456 /add”。”net localgroup administrator xiaozei /add” net user后发现xiaozei用户存在,默认端口改了,打开CMD切换到S下 执行s TCP 211.155.221.XX 1-65535 512 成功的扫到终端端口5151,mstsc上服务器,tracert arp -a下发现在一网关,装winpcap4.0,cain后发现嗅不了,大概是做了防ARP设置,看来ARPsniff是走不同了。。另寻出路!
在google上搜了下他的ID:ddst发现他在好多站长站上都注册过,然后进了一个他注册过的破论坛,是DVBBS的,没有改默认数据库,很顺利的下下来那数据库,破出了ddst的密码是ddst1314521,然后用ddst/ddst1314521登陆
http://www.xxx.com/admin/login.asp后台失败,用admin/ddst1315521登陆成功,(图5)
后台只是很简单的界面,只有ewebeditor可以利用,但后台地址被删了。失望。
这时,有点绝望,费了那么多神,放弃的话太不是男人了,在ww.net.cn上查了下域(图3)
名信息 主要记下了他的邮箱
ddst@163.com然后在google baidu里狂搜索油箱 和他的ID,由于他的ID有点复杂,不是大众化的,所以搜起来垃圾东西还算少,连他祖宗十八代都搜出来了,最后搜集到了他的QQ,知道了他经常上的站im286.com,bbs.china.com好多跟站长有关的站,还有几个他申请的垃圾blog,借用了女同学的QQ号加了他,想哪个男人不好色(男人的致命弱点),跟他不时的聊上几句,都是乱扯淡,因为他总是隐身,看不到什么时候在线,这样是为了收集他每天上线时间和习惯,大概知道了他是个人站长,没有固定工作的那种,而且每天下午时间他在睡觉,这样就抱比较大的希望,因为一般公司的制度很相对与个人来说严很多,下来就一直试油箱密码,希望能找到更多有用的信息,一翻艰苦的磨难后,最后用ddst198211顺利登陆油箱(图6)
下来就是查看一些邮件了,但查看邮件的话对方会知道,没有被查看过的标题是黑体的字,终于想到好办法就是用163油箱的双克隆功能,把邮件克隆到我申请的邮箱里,在在我邮箱里进行查看(图7)
邮箱里好东西还真不少,邮箱里发现他在玩网注册过,而且还是代理。直接用万网密码找回功能直接修改了密码进入了他帐户(图8)
(图9)
帐户里还有1千6百多人民币啊,哈哈,不过没动他的钱,是想找他资料里的东西,在个人资料修改的地方找到了很多有用信息,手机号,身份证号,地址等(图10)
最重要下面还收集了一张他买服务器的托管协议还是什么之类的东西,
上面虽然写的是公司,但其实经过一系列调查,发现其实就是一个个人站长租的服务器,就先搞个webshell上去看能提权不,一般象这种情况,比如是卖空间的我就装着大客户的样子,说先让他们给开点空间,开sql,mysql什么的,测试下,如果可以了,就买上几十个G,钱不是问题什么什么的,如果是个人的服务器,也就买空间什么的,反正发挥聪明才智,让他给开个空间,带数据库什么的,如果发现路径有规律直接用mssql备份过去,或者列路径,好了,这样,我就用QQ加了哪个人,下面是聊天记录,贴出重要部分。。。
--------------------------------------------------------------------------
引用:
孤寂 19:08:22
你哪位?
小賊。 19:08:36
哦 我是要买哪个XXX程序的
孤寂 19:09:20
那程序我近期要改版
小賊。 19:09:35
什么意思 那卖不卖
孤寂 19:10:13
合作人不同意我卖,没办法.
要不然他撤手不管理了,我也没时间
小賊。 19:11:08
你们公司能不能帮我开发一套那程序..
钱没什么问题 如果能见面我可以先打定金
孤寂 19:11:25
见面?
我在杭州,你在哪个城市?
小賊。 19:12:54
我现在不在杭州
但杭州有朋友
孤寂 19:13:43
可以,合作人就是担心源码外泄后不安全,所以不同意我卖.另外开发就没什么后顾之忧了.你预算多少?
小賊。 19:14:15
对了 你们公司是干什么的
孤寂 19:14:49
这家教程序是我自己开发的.
还有一个合作人一起打理这站.
小賊。 19:15:41
你是自己做的 还是有公司
孤寂 19:16:13
自己做的
小賊。 19:16:39
你卖空间域名不.
我想顺便买空间
孤寂 19:16:48
卖的
小賊。 19:17:17
主页是哪个
孤寂 19:17:22
空间也是自己的服务器.
上面目前没放多少网站,因为不是主营这个的,所以速度还算快
孤寂 19:17:51
我不是主营IDC的,所以没放那种卖域名和空间的主页.
小賊。 19:18:12
2G你卖多少钱
孤寂 19:18:30
支持哪些服务
小賊。 19:19:06
ASP MSSQL 的就行
孤寂 19:19:38
一般的,2G 800元一年
mssql 500M之内
孤寂 19:20:22
cpu 10%
带宽10%
不限IIS并发
小賊。 19:20:44
你们没公司 那能不能找图王中介(图王是落伍有名的人,喜欢给人做中介防止被骗)
孤寂 19:21:14
我不认识图王
小賊。 19:21:36
或者找落伍版主中介也行..
孤寂 19:22:17
不用这么麻烦,你直接给你开空间,一个月为限,一个月后你再决定付不付钱好了.
小賊。 19:25:23
先给个你服务器上的站
我看下速度吧
孤寂 19:25:37
www.XXX.com(ping了下知道了IP,这里松了口气,还怕他服务器多,给开别的服务器)
小賊。 19:27:11
恩 速度挺不错
小賊。 19:27:37
之前在落伍上买过好多空间
他们都垃圾站 天天采集 所以速度都慢
孤寂 19:27:59
我半年把自己的垃圾站全关了.
从良了,正经做正规站.
孤寂 19:28:46
小賊。 19:24:35
那好吧。
要么你先给开500M的 我用两天
没问题就先把这500M钱付了
小賊。 19:33:28
对了 比如我做个上海的XX网
放在你们服务器上 和你们那没什么冲突吧
你们也做XX网 没什么关系吧
孤寂 19:34:08
我们只做杭州地区的
孤寂 19:34:33
ftp:211.155.XXX.XX
user:201201
PWD:22444201
小賊。 19:35:01
好的。
还有 你回去想下哪个找你们开发个那套程序大概多钱
孤寂 19:35:56
当初我一个人做那套程序从策划到美工页面到后台程序,最后上线,前后花了我将近两个月左右.
小賊。 19:36:49
明天你给我个大概的报价
我觉得没问题就先给定金 你们就开始做
(让他感觉我很重视的样子)
小賊。 19:37:51
恩 对了
给我开个sql
孤寂 19:40:32
sql IP:211.155.224.XX,2433
user:201201
PWD:211155201
------------------------------------------------------------------------------
连接mysql之后发现是public权限,public权限默认情况下是备份不了的,试了之后果真如此。。。
------------------------------------------------------------------------------
(过了一个小时)
引用:
小賊。 20:13:12
大哥,我安装程序安装不上,我们技术说
是mssql权限问题,我不知道,你看下吧
孤寂 20:14:35
哦,不好意思,我没注意到,按默认开了帐号
小賊。 20:15:03
难怪呢,我还以为程序问题,在骂底下人呢
孤寂 20:11:21
不好意思啊,现在给你弄.
禁止外部连接,自己构造个注入点吧,在数据库里建了个admin的表,写了个ID的字段,用conn.asp连接数据库,在建立个x.asp文件,内容是
复制内容到剪贴板
代码:
<!--#include file="conn.asp"-->
<%
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id '
rs.open strSQL,conn,1,3
rs.close
%> 然后在NBSI里输入
http://my.xiaozei.cn/x.asp?id=1可以注,本以为结合之前BBS的路径备份下就结束了,但最后才发现原来之前BBS的目录是虚拟的,服务器关闭了错误提示,没办法列目录,猜了好几个目录也不行,传了个免FSO的马上去提权也没希望…这时候有点绝望,删除了空间里的马,另想其他办法…..
既然他手机号,身份证,地址,邮箱,姓名之类的所有信息我都知道,那我就等于是他了么,而且我手里还有他的一份托管协议,直接想到了机房那边,一般这种天天挂网上的人都是以QQ联系的,什么都知道了,弄他QQ密码过来应该不难,而且邮箱里有他之前取回QQ密码的记录,说明这个邮箱就是绑密码保护的,身份证号也有了,就差保护答案了,查了下密码保护问题,问题是:您老婆的生日是几月几号?然后几用手机发短信给他,
引用:
我:昨天我生日,你老婆送我礼物了,替我谢谢她。
他:你是谁啊,我怎么不知道?
我:啊,哈哈,我不告诉你,你当然不知道。明天见了再说吧。
他:哦。
我:对了,你老婆生日几号,到时候我也送他个娃娃。
他:哦,她是4月20号的,都过了,你不知道?
我:我靠,生日都不给我说,郁闷。不
…………
然后420 ,4月20号,4月20日试了都不行,他是1982年的 那就1982420,1981420终于成功。顺利改了QQ密码,上去发现有个网名叫世博科技的,签名上写着什么虚拟主机多钱,看来就是他了。前面用女QQ和他聊天发现他每天下午时间都不在,大概是睡觉时间,就在他正忽忽大睡的一个时间上他QQ和世博科技的人说话。
---------------------------------------------------------------
引用:
我: 你好,我服务器密码忘了,很急啊。
世博科技:哦,请问您的IP是多少
我: 211.155.XXX.XX
世博科技:哦,这服务器确实是我们公司的,您打电话XXXX与我们技术部联系吧
然后电话打了过去
我:您好,我服务器密码忘了,客户一个站在测试,今天得给人家交工。
技术:哦,服务器密码如果您改过的话,我们没办法帮您找回或修改的,您如果忘记密码那只能ghost恢复系统了。
我:那就恢复吧,现在真的急的很。
技术:哦,您寄张您的身份证复印件,以及托管协议过来,我们这边看了后才能给您恢复。
我:不是吧,寄过去得一两天呢,我那些程序今天必须得下下来,不然损失好几万,托管协议我用签协议时候的邮箱给你发过去,还有身份证号什么的,不都一样的么,不然我公司的损失你给负责啊。
技术:那请您梢等下,我征求下上面意见。
(半个多小时后电话回过来)
引用:
技术:您好,上面同意您用邮件的形式发证明材料,您把信息发送到admin@11111.COM,确认后我们会给你进行ghost恢复,初始密码会变为11111.com@777请您及时修改密码。
我:恩,好的,麻烦尽快!
半个小时后成功用11111.com@777登陆服务器,OK,打包,下程序。
一般我不习惯留后门在服务器上,只是放个gina,然后留好多一句话,记下root密码,然后把启动项目录权限设置为可写,把任何一个系统软件如su的目录设置为eveyone完全控制,记下一些数据库路径什么的,一般都很少丢。。。。。
总结:回顾这次入侵经过,没有用到什么高深的技术,不是所有的服务器都可以用纯技术去入侵的,所以一些往往被人忽视的人为漏洞成为了我们突破的目标,漏洞就是人为的疏忽,制度的不规范,不严格导致。
