作者:xhacker
绿盟是国内一家著名的网络安全公司(注:此文不便透露该网站真实名称,所以用x盟为名),可以说在安全界是无人不知。所谓树大招风,曾有不少入侵者企图入侵x盟或者找到一点bug,但绝大多数人都以失败而告终,其中当然也有个别的成功者,比如几年前小鱼巫师利用sql injection技术把x盟论坛的数据库删除了,造成了一定的影响。正是由于x盟在安全界非常显眼,所以也激起了我心中从来都不曾安分过的挑战欲,我决定在周末对其进行渗透入侵。下面是简单的渗透过程以及思路(这不论结果如何只注重过程):
首先进行一系列的信息收集:
C:\>ping bbs.xxxxxxx.net
Pinging bbs.xxxx.net [21.16.6.16] with 32 bytes of data:
Reply from 21.16.6.16: bytes=32 time=110ms TTL=236
Reply from 21.16.6.16: bytes=32 time=91ms TTL=236
Reply from 21.16.6.16: bytes=32 time=110ms TTL=236
Reply from 21.16.6.16: bytes=32 time=100ms TTL=236
Ping statistics for 21.16.6.16:
[注:这里的bbs.xxxxxxx.net和21.16.6.16是假设的,如有雷同则纯属巧和]
用superscan进行全端口扫描的结果:
* + 21.16.6.16
|___ 29 MSG ICP
|___ 31 MSG Authentication
|___ 33 Display Support Protocol
|___ 37 Time
|___ 38 Route Access Protocol
|___ 35 any private printer server
|___ 39 Resource Location Protocol
|___ 41 Graphics
|___ 42 WINS Host Name Server
|___ 43 Who Is
|___ 44 MPM FLAGS Protocol
|___ 45 Message Processing Module [recv]
|___ 46 MPM [default send]
|___ 47 NI FTP
|___ 48 Digital Audit Daemon
|___ 71 Remote Job Service
|___ 67 Bootstrap Protocol Server
|___ 69 Trivial File Transfer
|___ 72 Remote Job Service
|___ 70 Gopher
|___ 68 Bootstrap Protocol Client
|___ 73 Remote Job Service
|___ 74 Remote Job Service
…………………………………………
这不是误报,这肯定是IDS产生的端口。看来我们没办法得到真实开放的端口了。本想接下来进行cgi扫描的,但是想想有那么多人都试过了,我再试也不会扫出什么漏洞,况且对付这么著名的安全网站常规方法一定行不通。
由于X盟安装了IDS(肯定还有防火墙),我用扫描器就收集不了信息。所以我们得想出另一种手段:
既然目标主机配置的非常安全,我们一时没有想出很好的办法进行渗透入侵(经前面检测,x盟脚本的输入输出过滤很全面,所以脚本没什么可利用的),但是我们可以从其网http://bbs.xxxxxx.net看到,x盟还是存在很严重的安全隐患-----------传统的http协议没有加密。所以我们可以从x盟同一交换机的其他主机开始渗透入侵,然后利用arp欺骗技术嗅探x盟的通信数据包,达到间接入侵的目的。
接着我用各种扫描器x-scan、hscan、流光4.7对x盟所在的一个c类IP段进行了全面扫描,试图用各种办法控制其中的一台主机。扫描发现这个网段有一些winnt/2000的主机,可是用unicode编码漏洞、webdav溢出、ida溢出、idq溢出、IPC弱口令、sql溢出等都无法攻破这个网段。后来想到了rpc溢出,这个漏洞我曾经在sp0-sp3(英文、简/繁体)的主机上测试通过,成功率极高,但是使用这个溢出攻击的人却极少,原因我想是因为大家的注意力都吸引到webdav溢出上了,而且rpc溢出需要对方开放Remote Procedure Call (RPC) Locator服务。除了域控制器,谁开会开放这个服务呢?根据常识我们知道,域控制器会开放特定端口,所以我先找找21.16.6.1-21.16.6.254有没有域控制器,结果还不错,找到了三台域控制器:
21.16.6.30
21.167.67.61
21.167.67.68
接下来顺利地利用rpc溢出得到了21.16.6.30主机的系统控制权,并且21.16.6.30还有终端服务(端口:3389),这点我不是太了解,为什么90%的域控制器都开放3389?接着登录上21.16.6.30的终端服务,先看一下:
C:\>query user
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>test rdp-tcp#9 1 运行中 . 2003-4-14 12:28
还好3389只有我一个
C:\>net session
清单是空的。
这里也没人
这下可以放心地干了,先安装winpcap 2.1,然后安装x-sniffer对bbs.xxxxxxx.net进行攻击,先看一下本机:
C:\>ipconfig
Windows 2000 IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 21.16.6.30
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 21.16.6.1
OK,运行x-sniffer工具配置好并抓包,一会功夫就有了结果:
C:\>dir log1.txt
驱动器 C 中的卷没有标签。
卷的序列号是 68AB-0241
C:\ 的目录
2003-04-14 11:20 1,474,800 log1.txt
1 个文件 1,474,800 字节
0 个目录 961,003,520 可用字节
再来看看有什么好东东:
find /I “username” log1.txt
---------- A.TXT
act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%
BDact=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD??act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD211.167.67.167(37395)->211.167.67.167(80)??act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD211.167.254.76(80)->211.167.254.76(37401)
act=Login&do=01&UserName= lanker&PassWord=ljyjsjx9803
UserName=aoxue&PassWord=KFmyTUav
UserName=antisecurity&PassWord=nsfocus
…………
随便用adam用户登录,发现真的进去了(如图1):
(图1)
只要我愿意,想得到多少用户密码就得到多少用户密码。而我想得到的是更多的权限,我想得到论坛管理员的密码如果论坛又支持上传文件的话就有办法获得shell了,可是这论坛管理员也不知什么时候才会登录,我决定试一下其他的地方说不定有新的转机。
现在ping一下x盟的主站:
ping –A http://www.xxxxxxx.net/
Pinging www.xxxxxxx.net [211.16.6.16] with 32 bytes of data:
Reply from 21.16.6.16: bytes=32 time=181ms TTL=236
Reply from 21.16.6.16: bytes=32 time=130ms TTL=236
Reply from 21.16.6.16: bytes=32 time=191ms TTL=236
Reply from 21.16.6.16: bytes=32 time=150ms TTL=236
Ping statistics for 21.16.6.16:
原来bbs论坛和x盟主站是同一台web主机,怎么原来没试呢。再看看mail服务器是不是,如果是的话还可以得到他们公司员工的E-mial密码了,这样可就真的赚大了。先看看对方的域信息:
> ls -d ns1.xxxx.com
[ns.szptt.net.cn]
*** Can';t list domain ns1.xxx.com: BAD ERROR VALUE
> server ns1.xxxx.com
Default Server: ns1.xxx.com
Address: 21.152.8.69
> ls -d xxxx.net
[ns1.xxxx.com]
xxxx.net. SOA xxxx.net root.xxxx.net. (2003021801
86400 1200 604800 3600)
xxxx.net. NS ns1.xxxx.com
xxxx.net. NS dns1.hichina.com
xxxx.net. A 21.15.8.69
xxxx.net. MX 5 mail.xxxx.com
smtp A 21.152.8.69
security A 21.167.67.16
intra A 10.0.0.1
pop A 21.15.8.69
magazine A 21.16.67.16
localhost A 127.0.0.1
mail A 21.15.8.69
www A 21.16.6.16
bbs A 21.16.6.16
ns1 A 21.152.8.69
xxxx.net. SOA xx.net root.xxxxx.net. (2003021801 86400 1200
604800 3600)>
怎么说这里都是一处安全隐患吧,dns居然可以支持读取域名信息,这里我成功读取了x盟的整个域的信息,让我们非常清晰地看到了网站结构。好,我们看到对方的mail主机IP是21.15.8.69,看来我们没法用刚才的肉鸡进行嗅探了呀。先看看mail的版本和配置的如何:
D:\>nc 21.15.8.69 25
220 xxxx.com ESMTP Service
helo yahoo
250 xxx.com
mail from:adam@xxxx.net
250 Ok
vrfy to:adam@xxxx.net
252 to:adam@xxxx.net
vrfy to:adam1@xxxx.net
252 to:adam1@xxxx.net
vrfy adam1@xxxx.net
252 adam1@xxxx.net
vrfy adam1@xxxx.net
252 adam1@xxxx.net
vrfy to:adam
252 to:adam
expn adam
502 Error: command not implemented
ehlo
501 Syntax: EHLO hostname
ESMTP 软件配置的还可以。再确定是否真的不在同一网络,否则错过岂不可惜:
C:\>tracert 21.15.8.69
Tracing route to 21.15.8.69 over a maximum of 30 hops
1 <10 ms <10 ms <10 ms 192.168.0.1
2 81 ms 90 ms 110 ms 218.17.0.1
3 60 ms 50 ms 60 ms 61.144.238.97
4 60 ms 90 ms 50 ms 61.144.236.161
5 60 ms 91 ms 90 ms 61.144.236.13
6 90 ms 80 ms 50 ms 61.140.1.21
7 80 ms 70 ms 50 ms POS2-0-R2-C-GZ-A.gd.cn.net [202.105.1.161]
8 60 ms 70 ms 60 ms 61.140.0.17
9 140 ms 120 ms 131 ms 202.97.34.105
10 91 ms 150 ms 120 ms 202.96.12.34
11 110 ms 141 ms 140 ms 202.106.193.170
12 110 ms 110 ms 110 ms 202.106.193.206
13 111 ms 120 ms 130 ms 210.74.174.178
14 110 ms 120 ms 120 ms 210.77.139.177
15 121 ms 110 ms 130 ms 210.77.139.246
16 100 ms 100 ms 110 ms 21.15.8.69
Trace complete.
C:\>tracert 211.167.67.167
Tracing route to 211.167.67.167 over a maximum of 30 hops
1 <10 ms <10 ms <10 ms 192.168.0.1
2 50 ms 70 ms 60 ms 218.17.0.1
3 70 ms 50 ms 70 ms 61.144.238.97
4 40 ms 70 ms 60 ms 61.144.236.105
5 70 ms 90 ms 80 ms 61.144.236.13
6 60 ms 70 ms 60 ms 61.140.1.21
7 50 ms 70 ms 81 ms POS2-0-R2-C-GZ-A.gd.cn.net [202.105.1.161]
8 90 ms 70 ms 80 ms 61.140.0.17
9 100 ms 120 ms 121 ms 202.97.34.105
10 110 ms 121 ms 120 ms 202.96.12.34
11 100 ms 120 ms 100 ms 202.106.192.158
12 110 ms 90 ms 111 ms 202.96.13.142
13 120 ms 100 ms 90 ms 211.167.80.194
14 131 ms 120 ms 120 ms 211.167.67.167
Trace complete.
呵呵,没戏唱给Mail服务器听了。不过我们还是可能对Mail服务器arp欺骗的,聪明的读者一下就想到了,我在这就不说了。
作者: chinanic 时间: 2005-6-9 14:15 标题: [转载]对绿盟的一次渗透