圖1 使用URLSnooper監(jiān)聽網站所有鏈接和訪問
說明:
(1)URLSnooper是一款安全檢查工具,就其名稱意義就知道該軟件是URL監(jiān)視����,個人感覺是一款捕捉網站是否掛馬的好程序。URLSnooper安裝比較簡單��,安裝完畢后需要安裝默認的抓包軟件����。
(2)確認網站被人掛馬后,首先將網站文件進行了備份���。
直接到網站根目錄查看網站文件的最近的一些修改時間�����,從首頁更改的時間為8月25日��,因此可以借助系統(tǒng)的文件搜索功能搜索2008年8月24日至8月26日之間的文件���,如圖2所示,搜索出來好幾十個文件�,被修改文件很有特點,index.html�、index.asp、conn.asp����、top.asp、foot.asp以及js文件均被修改����,從文件中可以看出該掛馬人絕對是一個團伙或者是一個老手,他不是對所有文件進行掛馬���,而是有針對性的對一個關鍵文件進行掛馬���。
圖2 查找被修改的網站文件
2.清除掛馬代碼
將其清除。
(二)系統(tǒng)入侵痕跡搜索和整理
1.查看入侵者遺留在系統(tǒng)中的痕跡
對系統(tǒng)目錄以及服務器所有目錄進行文件查看�,發(fā)現(xiàn)該入侵者使用過"1433全自動掃描傳馬工具"。通過對該工具軟件的研究分析�����,該掃描工具中需要有配置文件����,用來下載木馬�����。果不其然��,在系統(tǒng)目錄下發(fā)現(xiàn)有一個文件cc1.txt生成日期是2008年5月29日����,大小只有64個字節(jié)�,用type命令顯示如下:
該文件是FTP自動下載的配置信息,直接使用CuteFTP軟件進行ftp登陸嘗試����,填好IP地址和帳號密碼,順利登錄如圖3所示�!從服務器上的東西不難看出,這臺機器的FTP路徑是Windows系統(tǒng)某個磁盤的根目錄����,里面有不少黑客用的工具,機主肯定是一個入侵者或者安全愛好者��。
圖3 成功登陸Ftp服務器
說明:
很多入侵者在利用網上下載的工具時,沒有很好地設置和改造����,只是進行簡單的配置后�,便開始攻擊和入侵。因此�����,在肉機上經常留下各種木馬的安裝文件����,有時甚至還有FTP自動上傳文件的配置文件?���?梢允褂?quot;dir /od /a" 命令查看當前目錄中的文件,如果存在小于100字節(jié)的文件��,則這些文件極有可能為配置文件��。
用掃描工具軟件查看以下該計算機開放哪些端口����,如圖4所示,系統(tǒng)開放了80端口和遠程終端服務3389端口。
(三)利用社會工程學進行反滲透
1.使用獲取的Ftp賬號猜測服務登陸口令
既然在服務器上面開放了3389端口�����、Ftp服務��,那么可以嘗試利用FTP的帳號和口令登錄它的3389遠程桌面����,猜測administrator的口令,結果不是gusdn�,也不是lixuanxu,說明使用Ftp賬號和口令不能進入系統(tǒng)�,換一個思路。
2.從網站入手
接下來�����,使用IE瀏覽器打開該IP地址�����,可以正常訪問網站�����,該服務提供了Web服務,網站為游戲私服服務器�����,如圖5所示��,通過HDSI以及Domain3.5等SQL注入工具對網站進行了探測����,未找到可以利用的地方���。
圖5 服務器提供web服務
3.從Ftp目錄入手
猛然想起在FTP的目錄中有一個web子目錄���,會不會與網站有關系呢?先上傳個asp木馬到web目錄試試��。不試不知道���,一試嚇一跳����,這個目錄居然正是網站的根目錄���, asp小馬可以正常運行���,如圖6所示����,通過asp木馬在網站中看了看�,發(fā)現(xiàn)可以瀏覽所有磁盤,不過只有D盤有寫權限�����。經過與FTP中的文件進行對比���,F(xiàn)TP的根目錄也就是D盤���。
圖6 上傳Asp木馬
好了,現(xiàn)在既可以上傳文件��,也可以瀏覽文件����。要想提升權限,還必須要能執(zhí)行命令�。我上傳了一個asp的cmd木馬到web目錄�����,結果竟然不能執(zhí)行�����。繼續(xù)利用asp木馬在機器上找找其它的突破口�����,結果一無所獲��。FTP不是用Serv-U開的,C盤不可寫��,不能執(zhí)行命令�����,怎么辦����?
4.上傳Asp.net木馬提升系統(tǒng)權限
忽然想起用3389登錄這臺機器時,它的操作系統(tǒng)是2003�����,可能支持asp.net,我為什么不上傳個aspx的CMD的木馬試試��。說干就干�。果然,aspx木馬能執(zhí)行命令了�����,如圖7所示����。查看機器的用戶列表,居然沒有administrator卻有個xuanyu�,而FTP的口令是lixuanyu,一定是管理員把超級用戶改名過來的���。它的口令會是什么呢����?還是用3389登錄器測試一番�����,不是gusdn,不是lixuanyu�����,更不是12345678��,猜不出來了����。
圖7 使用asp.net木馬查看系統(tǒng)管理員賬號
5.獲取數(shù)據庫用戶管理員密碼
按照密碼設置習慣,入侵者極有可能使用了相同密碼�����,因此可以嘗試獲取數(shù)據庫中用戶的密碼來登陸遠程終端服務器���。使用CuteFtp對整個網站目錄中的文件進行查看,在TT目錄中發(fā)現(xiàn)數(shù)據庫文件"$_$%●yingzi★!#%&^$#.asa"�,使用FTP下載回來后,把文件的后綴改為mdb�,使用access直接打開該數(shù)據庫,如圖8所示�,從中找到管理員使用的表Gq_Admin。
如圖8所示�����,獲取管理員表Gq_Admin
從表Gq_Admin中發(fā)現(xiàn)存在gusdn用戶,并且是個高級管理員���,他的密碼用MD5加密后是5334e6dd7b8exxxx�����。趕緊打開網頁www.cmd5.com��,填好16位密碼��,解密�! Ok���,不到1分鐘密碼出來了���,12703XXX,如圖9所示���。
圖9 獲取用戶的密碼
6.再次登陸遠程終端
直接打開遠程終端連接器�����,在其中輸入用戶名"xuanyu"�����,密碼"12703XXX"��,然后單擊"連接"��,很快成功進入該計算機����,如圖10所示。
圖10 成功進入入侵者計算機服務器
7.查看入侵者服務器
使用systeminfo工具查看系統(tǒng)的詳細情況:
幾天后���,這臺機器的FTP服務沒有了�����,網站也從122.138.14.8搬到了122.138.14.4�,并且只能用域名www.sow2i.com來登錄了����。不過��,它們的3389還都是有的,而且兩臺機器的帳號和口令都是一樣的�����。這樣���,成功滲透第二臺計算機��,在計算機上面給了一個警告�,呵呵�����,當然徹底的查看了該計算機上面的所有資料���。
(四)總結
網絡安全與維護是攻擊與防護的對立統(tǒng)一�,好的攻擊就是好的防護��,從掛馬的計算機中中獲取的痕跡����,反過來滲透到入侵者的計算機,也不是不可能的事情?�;叵敕礉B透入侵者的服務器過程中�����,突破口只是一個FTP口令����,接下來從網頁木馬到數(shù)據庫下載,從MD5的管理員口令到主機用戶口令����,最后實現(xiàn)了3389的遠程桌面登錄。整個過程并沒有多少技術含量���,就是因為入侵者的疏忽大意���,結果被反滲透!因此在網絡管理與維護過程中����,碰到問題不要害怕,仔細分析�����,合理利用每一個掌握的信息�,極有可能發(fā)生意想不到的事情,讓我們在網絡維護過程中享受工作的樂趣�����。
