圖1 使用URLSnooper監(jiān)聽網(wǎng)站所有鏈接和訪問

      說明:

      (1)URLSnooper是一款安全檢查工具,就其名稱意義就知道該軟件是URL監(jiān)視,個人感覺是一款捕捉網(wǎng)站是否掛馬的好程序。URLSnooper安裝比較簡單,安裝完畢后需要安裝默認(rèn)的抓包軟件。

      (2)確認(rèn)網(wǎng)站被人掛馬后,首先將網(wǎng)站文件進(jìn)行了備份。

      直接到網(wǎng)站根目錄查看網(wǎng)站文件的最近的一些修改時間,從首頁更改的時間為8月25日,因此可以借助系統(tǒng)的文件搜索功能搜索2008年8月24日至8月26日之間的文件,如圖2所示,搜索出來好幾十個文件,被修改文件很有特點(diǎn),index.html、index.asp、conn.asp、top.asp、foot.asp以及js文件均被修改,從文件中可以看出該掛馬人絕對是一個團(tuán)伙或者是一個老手,他不是對所有文件進(jìn)行掛馬,而是有針對性的對一個關(guān)鍵文件進(jìn)行掛馬。

圖2 查找被修改的網(wǎng)站文件

      2.清除掛馬代碼

      將其清除。

       (二)系統(tǒng)入侵痕跡搜索和整理

      1.查看入侵者遺留在系統(tǒng)中的痕跡

      對系統(tǒng)目錄以及服務(wù)器所有目錄進(jìn)行文件查看,發(fā)現(xiàn)該入侵者使用過"1433全自動掃描傳馬工具"。通過對該工具軟件的研究分析,該掃描工具中需要有配置文件,用來下載木馬。果不其然,在系統(tǒng)目錄下發(fā)現(xiàn)有一個文件cc1.txt生成日期是2008年5月29日,大小只有64個字節(jié),用type命令顯示如下:

      該文件是FTP自動下載的配置信息,直接使用CuteFTP軟件進(jìn)行ftp登陸嘗試,填好IP地址和帳號密碼,順利登錄如圖3所示!從服務(wù)器上的東西不難看出,這臺機(jī)器的FTP路徑是Windows系統(tǒng)某個磁盤的根目錄,里面有不少黑客用的工具,機(jī)主肯定是一個入侵者或者安全愛好者。

圖3 成功登陸Ftp服務(wù)器

      說明:

      很多入侵者在利用網(wǎng)上下載的工具時,沒有很好地設(shè)置和改造,只是進(jìn)行簡單的配置后,便開始攻擊和入侵。因此,在肉機(jī)上經(jīng)常留下各種木馬的安裝文件,有時甚至還有FTP自動上傳文件的配置文件??梢允褂?quot;dir /od /a" 命令查看當(dāng)前目錄中的文件,如果存在小于100字節(jié)的文件,則這些文件極有可能為配置文件。

      用掃描工具軟件查看以下該計(jì)算機(jī)開放哪些端口,如圖4所示,系統(tǒng)開放了80端口和遠(yuǎn)程終端服務(wù)3389端口。

 

 

       (三)利用社會工程學(xué)進(jìn)行反滲透

      1.使用獲取的Ftp賬號猜測服務(wù)登陸口令

      既然在服務(wù)器上面開放了3389端口、Ftp服務(wù),那么可以嘗試?yán)肍TP的帳號和口令登錄它的3389遠(yuǎn)程桌面,猜測administrator的口令,結(jié)果不是gusdn,也不是lixuanxu,說明使用Ftp賬號和口令不能進(jìn)入系統(tǒng),換一個思路。

      2.從網(wǎng)站入手

      接下來,使用IE瀏覽器打開該IP地址,可以正常訪問網(wǎng)站,該服務(wù)提供了Web服務(wù),網(wǎng)站為游戲私服服務(wù)器,如圖5所示,通過HDSI以及Domain3.5等SQL注入工具對網(wǎng)站進(jìn)行了探測,未找到可以利用的地方。

圖5 服務(wù)器提供web服務(wù)

      3.從Ftp目錄入手

      猛然想起在FTP的目錄中有一個web子目錄,會不會與網(wǎng)站有關(guān)系呢?先上傳個asp木馬到web目錄試試。不試不知道,一試嚇一跳,這個目錄居然正是網(wǎng)站的根目錄, asp小馬可以正常運(yùn)行,如圖6所示,通過asp木馬在網(wǎng)站中看了看,發(fā)現(xiàn)可以瀏覽所有磁盤,不過只有D盤有寫權(quán)限。經(jīng)過與FTP中的文件進(jìn)行對比,F(xiàn)TP的根目錄也就是D盤。

圖6 上傳Asp木馬

      好了,現(xiàn)在既可以上傳文件,也可以瀏覽文件。要想提升權(quán)限,還必須要能執(zhí)行命令。我上傳了一個asp的cmd木馬到web目錄,結(jié)果竟然不能執(zhí)行。繼續(xù)利用asp木馬在機(jī)器上找找其它的突破口,結(jié)果一無所獲。FTP不是用Serv-U開的,C盤不可寫,不能執(zhí)行命令,怎么辦?

      4.上傳Asp.net木馬提升系統(tǒng)權(quán)限

      忽然想起用3389登錄這臺機(jī)器時,它的操作系統(tǒng)是2003,可能支持asp.net,我為什么不上傳個aspx的CMD的木馬試試。說干就干。果然,aspx木馬能執(zhí)行命令了,如圖7所示。查看機(jī)器的用戶列表,居然沒有administrator卻有個xuanyu,而FTP的口令是lixuanyu,一定是管理員把超級用戶改名過來的。它的口令會是什么呢?還是用3389登錄器測試一番,不是gusdn,不是lixuanyu,更不是12345678,猜不出來了。

圖7 使用asp.net木馬查看系統(tǒng)管理員賬號

 

      5.獲取數(shù)據(jù)庫用戶管理員密碼

      按照密碼設(shè)置習(xí)慣,入侵者極有可能使用了相同密碼,因此可以嘗試獲取數(shù)據(jù)庫中用戶的密碼來登陸遠(yuǎn)程終端服務(wù)器。使用CuteFtp對整個網(wǎng)站目錄中的文件進(jìn)行查看,在TT目錄中發(fā)現(xiàn)數(shù)據(jù)庫文件"$_$%●yingzi★!#%&^$#.asa",使用FTP下載回來后,把文件的后綴改為mdb,使用access直接打開該數(shù)據(jù)庫,如圖8所示,從中找到管理員使用的表Gq_Admin。

如圖8所示,獲取管理員表Gq_Admin

      從表Gq_Admin中發(fā)現(xiàn)存在gusdn用戶,并且是個高級管理員,他的密碼用MD5加密后是5334e6dd7b8exxxx。趕緊打開網(wǎng)頁www.cmd5.com,填好16位密碼,解密! Ok,不到1分鐘密碼出來了,12703XXX,如圖9所示。

圖9 獲取用戶的密碼

 

      6.再次登陸遠(yuǎn)程終端

      直接打開遠(yuǎn)程終端連接器,在其中輸入用戶名"xuanyu",密碼"12703XXX",然后單擊"連接",很快成功進(jìn)入該計(jì)算機(jī),如圖10所示。

圖10 成功進(jìn)入入侵者計(jì)算機(jī)服務(wù)器

 

      7.查看入侵者服務(wù)器

      使用systeminfo工具查看系統(tǒng)的詳細(xì)情況:

 

      幾天后,這臺機(jī)器的FTP服務(wù)沒有了,網(wǎng)站也從122.138.14.8搬到了122.138.14.4,并且只能用域名www.sow2i.com來登錄了。不過,它們的3389還都是有的,而且兩臺機(jī)器的帳號和口令都是一樣的。這樣,成功滲透第二臺計(jì)算機(jī),在計(jì)算機(jī)上面給了一個警告,呵呵,當(dāng)然徹底的查看了該計(jì)算機(jī)上面的所有資料。

      (四)總結(jié)

      網(wǎng)絡(luò)安全與維護(hù)是攻擊與防護(hù)的對立統(tǒng)一,好的攻擊就是好的防護(hù),從掛馬的計(jì)算機(jī)中中獲取的痕跡,反過來滲透到入侵者的計(jì)算機(jī),也不是不可能的事情。回想反滲透入侵者的服務(wù)器過程中,突破口只是一個FTP口令,接下來從網(wǎng)頁木馬到數(shù)據(jù)庫下載,從MD5的管理員口令到主機(jī)用戶口令,最后實(shí)現(xiàn)了3389的遠(yuǎn)程桌面登錄。整個過程并沒有多少技術(shù)含量,就是因?yàn)槿肭终叩氖韬龃笠猓Y(jié)果被反滲透!因此在網(wǎng)絡(luò)管理與維護(hù)過程中,碰到問題不要害怕,仔細(xì)分析,合理利用每一個掌握的信息,極有可能發(fā)生意想不到的事情,讓我們在網(wǎng)絡(luò)維護(hù)過程中享受工作的樂趣。

 

 

分享到

yajing

相關(guān)推薦