[推荐]入侵《黑客防线》官方站点之旅

注：本文发表于《黑客x档案》杂志第11期，《黑客x档案》版权所有，如需转载，请注明版权。后由作者友情提交到邪恶八进制信息安全团队。
入侵黑客防线之旅
  前几天，我对黑客防线网站进行了一次攻击测试。下面我谈下具体过程，由于当时抓图较少，而且弄丢了，下面帖图较少，不过文章浅显易懂，HOHO！
  黑防的网站主要由两部分组成，即新闻系统和论坛。新闻系统被改造得看不出是什么系统，打开一个文章链接，提交单引号。返回“我就这样在痛苦和现实的边缘沉沦----------BY臭要饭的!”很明显，臭要饭的和黑客防线的关系不一般,他帮忙检测了脚本安全!因为要饭的比较牛，这个新闻系统应该不存在什么问题。再看论坛，是动网7.0sp2的。这个论坛一些常见的漏洞都补了，最近动网又出了不少新漏洞，但利用起来要有斑竹或前台管理员权限，我在论坛什么也不是，这样也没什么希望了。
  早就听说黑防用的是自己的服务器，但这并不表明服务器上就放一个网站，也就是绑定一个域名。我就把旁注工具搬出来查询，发现上面又四个域名。再逐个检测这几个网站，这几个网站都比较垃圾，其中有一个特别垃圾的。这个网站是一个新闻系统，存在注入漏洞，我就把目标对准它了，可惜用nbsi注入的时候猜不出表名。这个时候我可以根据网站的一些特征到网上去搜索，找出这是什么系统，搞清楚数据表结构。但是我比较懒，找到它的后台，就是http://xxx.com/admin/login.asp了，凭经验就知道这个登陆的地方存在漏洞。我直接来个帐号:';or';=';or';,密码:';or';=';or';,果然直接进了后台。接着找到备份数据库的地方。上传木马图片，备份数据库，好几个目录都没有写权限，好不容易找了目录可写可执行。就这样轻松得到webshell.
  上去一看，win2000的系统,sp4的补丁，什么盘都能进，可以执行命令。先不管，把所有得数据库down下来，
再把一些好玩的有用的全部down下来。黑客防线的站就在D:\wwwroot\web目录下面，没有写权限。再netstart看一下关键服务，
开了终端服务，massql,ftp(不过不是serv-u). 再仔细看下，没有什么杀毒软件，也没什么防火墙。不支持php,我尝试连
接ftp和3389发现不能连接。这就是黑防服务器的大致环境了，现在我得提升权限。
  可能有人说用asp.dll来提升asp木马的权限，实际上这种方法很多人研究过，这种方法只适合得到系统权限喉再提升asp木马
的权限，我吗asp木马是以iis来宾的guest权限来运行的，没有执行adsutil.vbs的权限。可能也有人说c:\Documents and Settings\
All Users\「开始」菜单\程序\启动"写入bat，vbs等木马，这个目录我们默认只有读权限，没有写权限。甚至可能有人说
再某个盘的根目录写autorun.inf文件，等待管理员打开这个盘的时候运行我们的木马。关于这种方法我可是一次也没有
成功过，只有在特定的环境下才能成功的。那怎么提升权限呢？看一下C:\winnt\sysytem32目录可以写，于是想到了最后的
也是唯一的方法——替换服务。
    我请好朋友kyo(希望黑防不要怀恨在心）帮忙一起搞，kyo二话没说就是上去了。kyo说只要我能让服务器重启他能得到系统权限。大家都知道替换服务得重新启动机器才有效。可能许多人都再重启机器方面感到很吃力，连ddos这些方法都想到了。实际上大多数情况下我们
可以用一种很简单的办法达到目的。还记得那个开3389的3389.exe么？它有个参数。0表示重启，1表示不重启。我把这个3389.exe传到
c:\winnt\system32\inetsrv\data\这个目录，这里一般是erveryone 完全控制的。我就在webshell的cmd哪里执行c:\winnt\system32\inetsrv\data\3389.exe 0，机器马上重启了，网站马上出现DNS错误打不开（这里比较简单，地球人都会，就不截图了）
。过了两分钟后，网站又能打开了。这个小工具就有这个好处，执行不需要很高的权限，用来重启机器效果特别好。
    可惜kyo把他专用的反向连接的后门替换了一个系统服务对应的程序，然后用上面的方法重启。可惜后门没有连到他哪里。关于替换服务，实际上是运用了windows的一个特点，对于正在运行的程序，我们不可以将它删除，也不能覆盖，但是可以改名。比如系统里面有个服务对应
的是C:\winnt\sysytem32\1.exe,我们可以把它重命名为2.exe，我们再把我们的后门改名为1.exe,放在C:\winnt\sysytem32\下面。这样只要
我们让机器重启了，系统就会自动运行我们的1.exe,也就是我们的木马了。还有，我们用asp木马的时候要注意，海洋顶端木马2005版和2006版是不一样的，2006会直接把1.exe改名为2.exe，但是2005版改名为2.exe之后，原来的1.exe还会存在，二者之间有明显的区别。替换服务应该
找那种不是很重要的而且启动方式为自动的服务，不能把系统关键服务替换了，否则可能导致意想不到的后果。kyo失败后，我不服，先把我的
一键安装的radmin传上去，替换了一个服务对应的程序，重启之后看到admin的2046端口开了，但是连不上。我再把一个反向连接的使用80端口
的木马Flux来替换。结果半天也没连到我这边来。看见lcx大哥上线了，我问他有什么独特的办法，lcx把他的hackdf(够狠吧!)搞上去替换服务。我意识到有问题，绝对是搞了安全策略的。而且kyo在webshell里面ping www.163.com，居然ping不通.我想到了只有防火墙有这功能，禁止本机ping外部，以前还听说黑防服务器有硬件防火墙，还有IDS,不过感觉不大可能。(后来才知道是一个不怎么出名但是很厉害的软件防火墙，因为以前没见过，叫什么名字我也忘了所以开始我net start看它服务的时候没有识别出来。)一下午黑防的机器因为我们重启了不知道多少次，可惜还没搞定。时候也不早了，而且我当时还是在网吧做事，诸多不便。我就先下线了，整理下思路再搞。
    防火墙禁止连接外部所有端口，而只允许外部访问它的80端口。看来要搞定先得突破防火墙，实际上也不难。我可以把防火墙服务对应的可执行文件替换了就行了。或者写个vbs,这个vbs把iis_xxx这个帐号加到管理员组。我可以把这个vbs做成自解压文件，后缀就是exe了，替换我开始替换的服务。这样webshell的权限就大了，就可以为所欲为了。
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net localgroup administrators iis_xxx /add",0
注意想好了，感觉相当有信心搞定黑防的服务器。
  第二天，我早早的爬上网，马上打开黑防得网站，没想到居然打不开。我再试很多此，都一样。我马上去问kyo，kyo说他把防火墙服务给
替换了，重启后就这样了。看样子机器并没有重启，而是关机了。这种结果是我没有想到的，这下我就没办法了，出现了意外。只有等待他们
机器开机，我好趁机得手。没办法，只有等了。
  下午我又上网，黑客防线网站打不开。晚上我照样上网，网站还是打不开。第二天了，网站一天都打不开......
  又一天了，我上网了，心想如果还打不开的话，那我真没话说了。这次没有让我失望，正常打开了。可是我们得webshell都被删除了，连
我们开始入手得垃圾网站也被补了不少漏洞(注入漏洞依然存在).我感到该结束了，黑防网站命不该绝，注定要成功得时候功败垂成。本来我可以继续入侵，不是还有几个网站么，还有那个开始着手得垃圾网站漏洞还有很多的。但是我已经没有那份心情了，已经知道了黑防的服务器上面没什么好东西，再搞定了也没多少快感。
  上面不是提到mssql么？其实入侵的第一天我就进行了探测。我把他文章系统的数据库down下来后，打开数据库就看到了所有的密码帐号。 如图1. 至于mssql，我找了半天才发现只有黑防的论坛用的是msql数据库。我看下连接文件conn.asp,connStr="FILE NAME=E:\wwwroot\date\hkbbshkdh0616.udl"把那个udl文件down下来之后，双击打开，看到了数据库连接地址，用户名，连接密码是用星号显示的，下载一个星号密码查看器，就看到了明文密码(不是sa权限）。如图2 我就在webshell的数据库操作那里，把密码帐号什么的都填上，直接查看数据库的admin表就看到了所有的管理员帐号密码，有好几个呢。因为是md5加密的，几个密码当中应该至少有一个弱一点的口令吧，不过我懒得去暴力破解。我就查看它的DV_log表，这里是记录论坛日志的地方，希望在这看到帐号密码，可是因为黑防的人好久没有登陆后台了，我查了半天也只查到一些垃圾信息。
  入侵告一段落，后来我到一个qq群灌水，一个网名叫地主的朋友告诉我，其实他早就得到了webshell，只是没有系统权限。但是他还通过内网arp嗅探的办法得到了黑防的ftp帐号密码。这令我吃惊不小，大家都看过xiaolu很早就写的一篇文章《黑客防线——来自主机外部的危险》。这篇文章讲的主要就是arp嗅探，本来我相信黑防已经有了防护措施，没想到他仍然得手了。得到ftp密码了因为防火墙肯定登陆不上，不过在它内网里面应该可以。
  ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
  许多天后，也就是国庆节前的某一天吧，我想到网吧那飞快的网度，于是又到网吧上网。习惯性地到各大网站转了一遍之后，有开始检测黑防的安全。当我打开挝上面提到地那个挝开始着手入侵地那个垃圾网站地时候，它依然以一大堆漏洞出现再我面前，不知道怎么搞的，不是补了么？既然这样，我就先得到一个webshell。得到这个webshell，我可是吃了不少把头，黑防机器居然有了一个比较厉害地杀毒软件。我吧各种asp马传上去都被杀，我又把一句话asp木马传上去，也被杀。我只好搞点大小写转换，改为居然不被杀。我接着找大马，找了几个都不怎么理想。最后我把海洋顶端木马做成cs模式，这下好了，不被杀，功能一样强大。通过海洋2006木马一看，发现居然黑防重装系统了，这次是windows2003的。而且这次又以下特点:
1.目录设置比上次更严格，D盘不可浏览，网站放在E:\wwwroot\web下面，我开始跳到E:\wwwroot\失败，跳到E:\wwwroot\web下面成功，依然 不可写，这就是黑防官方网站根目录了。
2.装了杀毒软件，很厉害，再网吧做事，很匆忙，没仔细看。估计是诺顿，因为我的radmin都被它杀了，据我所知，目前只有诺顿杀radmin。
3.cmd命令不能用，wscript，也用不了，传cmd也传不上去。
4.防火墙依然很bt，我发现还多了windows自带的防火墙，ipsec服务开着。(用海洋木马看服务失败，我是用好梦的方法看的).
  和上次做了比较之后，感觉更有难度了，而且window2003本来就比windows2000安全。我冷静下来继续刺探情况。没相哦阿这次和上次有点不一样，注定黑防当有此劫。我居然看到黑防论坛conn.asp里面连接帐号是sa，开始我还以为自己看错了。
Dim SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName
SqlDatabaseName = "hacker_master"
SqlPassword = "pass_word"
SqlUsername = "sa"
SqlLocalName = "127.0.0.1"
ConnStr = "Provider = Sqloledb; User ID = " & SqlUsername & "; Password = " & SqlPassword & "; Initial Catalog = " & SqlDatabaseName & "; Data Source = " & SqlLocalName & ";"
有了sa，就好办多了。我想了一下，要进它机器还搞定防火墙，再配上免杀反弹木马。可是我的免杀木马再宿舍电脑里，没带上，而且没有外网ip，我看我还是算了，给它网站点提醒就ok了。再webshell的数据库操作里面把帐号，密码，数据库名，地址都填上。再exec master.dbo xp_cmdshell ';net localgroup administrators iis_xxx /add >E:\wwwroot\xxx\manage\1.txt';.这样做是为了把iis来宾帐号提高，webshell就是administrator权限了。可是执行完了，发现权限没有变，估计这里来宾帐号不是iis_xxx。不管了，exec master.dboxp_cmdshell ';cacls d: /E /T /G everyone:F >E:\wwwroot\xxx\manage\1.txt';,到E:\wwwroot\xxx\manage\下面查看回显1.txt，发现执行成功。依次执行这样就把C,D,E盘设为everyone完全控制了。我再进E:\wwwroot\web，index.htm删除失败，我就把它重命名，再在本地设计一个比较好看的网页，传上去后,打开http://www.hacker.com.cn,就发现被我涂了，算是提醒吧！如图3 过了段时间后我再执行exec master.dbo xp_cmdshell‘netstat －an >E:\wwwroot\xxx\manage\1.txt’，查看1.txt，发现3389端口与一个ip的某个端口established.不用想就知道是wtf通过3389维护服务器了。至于后来呢？后来的事就不说了......   入侵到这里彻底结束了，从这个过程中，大家可以看出黑防服务器的安全是很不到位的。如果换上一个比较狠毒的人，恐怕不只是网站被黑这么简单。黑防的杂志，网站上面总是醒目的写着“在攻与防地对立中寻求统一”，是不是有点可笑呢。本文没用到多少技术，我是用了黑防服务器的弱点才得手的，主要技术算是旁注了。旁注再当前是一种流行的有效的攻击手段，只有把服务器的安全做好，才能有效防止旁注。也正是由于当前国内网站管理员的技术水平，导致旁注流行一时，导致一些能把这种技术发挥到极至的人可以攻无不克......
  写本文的目的是为和大家交流，爱好技术的朋友和我联系好了，本人QQ：156544632，如果大家在入侵方面有什么好的的思路，别忘了一起讨论。当然我们也可以到《黑客x档案》的论坛去交流!
http://www.wzyouth.com/tp/tp/images/pic/1.bmp
http://www.wzyouth.com/tp/tp/images/pic/2.bmp
http://www.wzyouth.com/tp/tp/images/pic/3.jpg
http://www.wzyouth.com/tp/tp/images/pic/4.jpg
http://www.wzyouth.com/tp/tp/images/pic/5.jpg
http://www.wzyouth.com/tp/tp/images/pic/6.jpg