以前的女朋友告诉我,她在学校(教务管理系统)报网上选修课的帐号密码丢了,或许是被别人修改了。
入侵开始:
1;扫描学校所在的整个C类IP段在线的主机。
结果出来了,共有4个存活主机。经过测试得知
211.*.*.3 ->学校网站首页服务器
211.*.*.5 ->图书馆网站服务器
211.*.*.12 ->招生部网站服务器
211.*.*.13 ->财务部网站服务器
211.*.*.21 ->Mail系统+教务管理系统(也就是报网上选修的地方,这就是目标了)服务器
用X-Scan大概扫描了一下没有什么致命的漏洞,我想使用系统漏洞入侵的时代已经渐渐离我们远去了,现在流行的是脚本渗透,SQL注入等。
那么让我看一下211.*.*.21有没有可疑的地方,Mail系统我找不到登陆口暂时放弃,教务管理系统大概看了看,系统非常大,但是我没有可用的帐号,只能在门口转悠,里面的世界还都无法看到。我转了半天发现有一个投票接口存在SQL注入,不过可惜的是屏蔽了出错信息,这让我非常烦恼,大家知道投票一般都是限制一个IP只能投票一次来增加结果的真实性。可是这个系统却很搞笑,IP信息竟然是存放在一个Form表单中可以随意修改,设计者这一弱智的举动,仅让我对成功注入产生了极大的信心。不过最终我发现注入失败,似乎限制了查询语句的长度,而这个长度根据观察似乎只有4字节,看来要放弃这个注入点了。
这套教务管理程序从来没有见过,该系统文件命名规则让我很头疼,似乎是用拼音的缩写,我搞不明白,想试图猜解他的一些程序的路径都总是失败。我能访问到的只有很少的一部分程序。
我开始设法搞到这套系统的完整程序包,看一下底部的版权信息:青XX软件有限公司,呵呵直接把网址都给我写上了,Thank you SBAdmin(SBAdmin我发明的单词SB+Admin)。点击链接却迟迟打不开网站,最后返回“该页无法显示”的错误。暂时放弃搞到此系统完整程序包的想法。
我把注意力集中到了学校的网站首页,也就是211.*.*.3这台机器,我打开他的新闻栏目,很简陋的新闻系统,我尝试了一下 “upfile.ASP”、“upload.asp”、“upload.htm”,呵呵不出所料,存在upload.htm,而且没有验证,任何人都可以上传,我上传个.asp后门试试看,真搞笑提示“文件类型非法!...文件上传完毕!”,真够低能的,既然都检测到文件类型非法了还允许我上传,接下来我得找找我可爱的.asp后门上传到哪里了“upfiles,upfile,uploadfile,upload”等目录都找了,都不存在,看来.asp后门要稍微休息一下了,我想进入后台就该有关于上传目录的设置信息吧,决定试试看。
我很容易就猜到了新闻系统的管理员登录路径/admin,下面看一下有没有SQL注入点,太简单了,一点过滤都没有,经过探测它使用 ACsses,这个我不担心,我自己早都写好了一个使用SQL注入自动的猜解密码的程序,输入IP,Port,URL,点击开始,屏幕的字符飞跃,大概是 30秒的等待,密码已经搞定了。不过有点令我失望,表面上看来应该是MD5加密后的密码,我尝试了一下登陆,确实无法登陆上,那么拿出我的MD5穷举工具,真正的黑客技术绝对不是破解密码,而是想办法绕过密码达到目的,所以我只设置了破解8位数内的纯数字密码,管理员真给我面子,大概1分钟,密码出来了 “940207”真弱智,登录上去看看,再次失望,找不到上传目录,我搜索了一下,管理员从来没有使用过这个上传系统,所以根据新闻的相关图片来寻找上传文件路径的方法也要放弃了。暂时放弃新闻管理系统。
接着返回网站首页点一下里面的学工部,哈哈,我看到了,它使用一个叫做“Engine WenDay”的整站程序来构建的,Google搜索一下,费了点力气不过还是找到了,我下载了对应的版本开始研究他。“Db\ PW_SYS_Data.mdb”是默认数据库路径,让我试试看,哦,天啊,这个管理员竟然没有修改默认数据库,所以我开始下载他的数据库,可是无论我如何尝试,就算是用网络蚂蚁都只能下载到72%。不知道他的IIS怎么了,暂时放弃下载数据库。
[1] [2] [3]
SQL注入点一样被我轻易找到,再次猜解密码,OK搞定了,不过密码还是MD5加密的,穷举了8位的数字密码都失败了,这次运气不太好。看了看他的程序,Cookies欺骗也不好办,它使采用Session验证的。
招生的数据库查询也有注入,不过对我来说没用,我需要的是一个WebShell,211.*.*.3被我几乎翻了一遍了,有N处存在SQL注入漏洞,我也猜解出来了N个密码,不过都MD5加密了。而且没有办法上传WebShell。先看看其他机器吧。
其实花点时间根据注入搞定他是肯定没问题的,不过我恰巧没有那么多时间,我要速度。
接着我开始打图书馆的注意,也就是211.*.*.5,图书馆也使用了一套整站程序,不过版权信息修改了,我一时半会无法确定是那套系统,不过这些不重要,重要的是我又找到了SQL注入,再次猜解密码,这次完美,密码MD5加密了,不过根据我的记忆,这应该是“123456”的加密后的代码,尝试验证了我的想法,靠啊,你丫就不知道修改一个复杂的密码?这智商还当管理员。进入了后台,我惊喜地发现有一个上传文件的地方,我先修改设置允许上传. asp,然后上传,结果返回HTTP 500错误,程序出错了,郁闷,到底是哪里错了?或许是磁盘故障吧,恰巧损坏了upfile.asp文件,因为所有文件都无法上传,我很倒霉。不过我相信因为我的出现管理员更倒霉。
让我试试看用这个账号密码登陆211.*.*.3的财务处的那套整站程序,Shit,竟然成功了,我说管理员啊,求求你给我个机会,不要再对安全所无所谓,责任感你懂吗?财务部和图书馆是一样的系统,不过这里的上传可以用,我上传了自己写的.asp WebShell防止杀毒软件警报响起。进去看了看,Fat32文件系统,我可以读取任意文件,打个ipconfig /all命令看看网络情况,呵呵,有意思。这台机器4个IP。
211.*.*.3
211.*.*.5
211.*.*.12
211.*.*.13
看来学校主页,财务部,招生部,图书馆我都已经入侵了。探测了一下局域网,似乎不存在,这个机器是孤立的。而且我所需要的教务管理系统并不在这台机器上。失望了,白忙活了。
我把之前SQL探测出来的密码汇总做成一个字典,然后开始尝试211.*.*.21的登陆,包括Web管理员入口和FTP,都失败了。
想到教务管理系统的服务器(211.*.*.21)有FTP服务,于是写了个程序端口重绑在了211.*.*.3 的21端口监听FTP的用户密码并记录下来在日后等我来取,或许这两台机器的管理员使用相同的FTP帐号密码也说不定。接着打扫日至退出 211.*.*.3 。
接着睡觉……
梦里我看到青XX软件有限公司的网站可以打开了,惊醒后尝试一下果然如此,迫不及待的看一下这套系统,收费2W一套,郁闷这么垃圾的系统也能收这么高的费用?学校的人才都哪里去了?在这里我奉劝大家一句,千万不要在大学报计算机专业啊,你学不到什么东西的。好了回归正体,既然是商业系统我肯定下载不到啦,不过我有更伟大的办法,看我的。
点一下成功案例,看一下购买过他的系统的学校列表,好长一大串子,这个青XX公司发财了。闭上眼睛随便点一个,阿哦,我点了湖南XX大学的网站,在首页中找到了类似的教务管理系统,令我欣慰的是湖南XX大学的教务管理系统和主网站在一个服务器,这意味着我只要入侵了他的网站服务器就可以轻松的搞到这个系统了。
一个栏目一个栏目的点击,在工会的主页找到了upfile.asp文件,不用登陆可以直接上传,我尝试上传我的WebShell,结果失败,不允许上传.asp文件,试一下有没有类似DVBBS的那种0x00字符结束导致的上传漏洞,我以前写过这个程序的,直接输入URL就可以了,2秒钟提示,上传完毕,这次运气不错直接告诉我了上传后文件的URL。
使用WebShell我找到了那个教务管理系统所在的路径,几百个文件莫非我要一个一个下载?哈哈不必如此,管理员安装了WinRAR, Winrar有一个命令行版本的,用命令打包就可以了,等了5分钟打包完毕。197M大呢。Copy到Web目录下载之,速度还不错200K/s。先去休息休息,吃点东西。等下载完了继续。
终于下载好了,迫不及待的解压缩,察看研究这个系统,糟糕的文件命名,没有缩进的代码书写习惯,大小写不分,真是让我郁闷。根据分析这套系统使用 MSSQL作数据储存。既然这样那我找找看连接MSSQL的conn.asp文件在哪里,找到了文件名是GetAdminData.dat,.dat文件名让我兴奋,因为可以直接下载,不过看起来里面的内容似乎使用了微软的screnc.exe加密了原代码,我猜测SQL数据库的连接密码一定在这里。没有关系,Google一番找到了解密serenc.exe的工具作者是Codalon,感谢Codalon。解密后果然不出所料,SQL连接密码写在这里。哈哈SoGood.我基本上可以说是已经成功了。
回到211.*.*.21,下载211.*.*.21/xxxx/GetAdminData.dat成功,然后解密成功,最后我找到了 211.*.*.21机器上运行的MSSQL的sa用户的密码。用MSSQL的客户段连接上,查询一下朋友的学号对应的密码,搞定了。我想我没有必要提升自身的权限了,因为我已经得到sa用户的密码,而且XP_cmdshell还可以使用,这和Administrator权限有什么区别呢?还是不要浪费时间了,入侵到此结束。
[1] [2] [3]
给管理员桌面上写了一个Txt文件,告诉他存在的漏洞和解决方法,以及一些安全建议,然后清空日至,打扫痕迹,最后点了Exit退出了主机,入侵到此结束了。
前面真是走了很多弯路。不奢望教育什么,只是记录自己的入侵过程。
总结:
教育类网站的安全性让人担忧,我是善意入侵,如果我删除它数据库,修改考生成绩,修改财务信息,那么后果一定很严重,祖国的花朵需要一个安全的网络环境。
(出处:http://www.sheup.com)
[1] [2] [3]
(出处:http://www.sheup.com)
[1] [2] [3] [4]