对台湾视频站点的再次渗透尝试

这篇叙述性较强的日志文献将全程记录这次渗透，不管成败如何。我将站在教程的角度去表述。希望给大家完整的渗透入侵的感觉。

———————————————————————————————————-

No.1

文章背景：

我那篇渗透台湾情色视频服务器群全程日志的文章相信大伙已经看过了。去年的事，当时进行挂马操作，导致权限丢失太快。这个周末重新整理日志的时候翻到它，决定再次进行渗透。

61.**.***.230-254（具体ip我照例隐藏掉）

这一段是目标公司的服务期ip，对外开放的端口是80，1027，17616（这个端口是我进行全面扫描是才发现的）。服务器由于一早被我入侵过，原先开 放的21，5631都已经封掉了。这使这次再次渗透变得艰难。这个17616端口我很奇怪，于是telnet到此端口看下banner信息，得到一个笑脸 图标。我记得好像是早一点的版本的mysql。用客户端连接上去出现错误。郁闷得一米，先放下不表。

（ps：因为我手头还保存着第一次入侵收获的很多口令信息，所以才有此一试）

站点是asp mssql的，服务器去年是win2000。由于第一次的暴露，管理员重写了代码，封死了注射。这是经我多次检测得出的结论。

———————————————————————————————————-

没法子，看下同c段的情况。

scan:

nmap -sT -p 80 -P0 61.**.***.2-229

我是用nmap进行扫描的。简单说下参数：

-sT 是tcp协议握手的方式扫描，好处是精度高。缺点是速度慢，容易被发现。（这里是台湾人的站点，怕毛！）

-p 80 指扫80端口。多个端口用, 隔开，连续端口可用1-65500这样的

-P0 指跳过ping这个环境。这扫描器默认是要用ping来检测远程主机是否存活的，目前大多数机子防火墙或者其他规则都是禁止ping的。所以加上这个参数。

后面是扫描的ip段。我取的是 2－229

———————————————————————————————————

看了会电视回来收报告，开80的机子很多。我陆续测试了一些。发现几个切入点：

1. 50这个ip是个教育网站，找到注射点，可惜是db_owner权限＋内网数据库，暴字段的时候由于是繁体中文，工具报错。暂搁不表。

2. 142这个ip是一个交友网站（这个段交友网站很多）。jsp的（玩惯asp的见到它有点怕吧，哈哈）。简单看了下注射，过滤了。注册个号，需要身份证， 台湾身份证是10位的，第一个是字母，我手头有现成的，还有手机，也跟大陆的不一样的很。很快注册完成。既然是交友网站多半是可以传相片的。看了下上传， 直觉告诉我有上传漏洞。老套路抓包，修改，nc提交。hoho顺利得到一个jspshell（system权限的喔）。

No.2

前面拿到权限的机子，我让大少帮我开了终端。其中遇到些纳闷的鸟事就略过不谈了。常规思路，在一阵基本的检查后，没有获取有价值的东西。偶打算开始嗅探。

偶给肉鸡做了个即时的ftp，随用随关，方便传东西。用xlight做的。

把cain打了个包上去（这东西的好处是不用安装，驱动安装也不用重启就可以使用），看了下肉鸡的program files文件夹已经有了winpcap了，可能是大少安装的吧。偶乐得偷闲，打开cain。晕死，连网卡都找不到。郁闷了我一阵。后来一想，应该是驱动问题，重新安装下cain安装包自带的驱动就可以使用了。

略做配置。scan了下mac，host列表有138，139，151，152，155，156，157，158，没有我的目标。

但是我在139这个ip访问的时候，出现的是一个情色视频站点，jsp的web脚本，结构跟142很相似，从一些特征上分析，跟我的目标也很有共同点。于是决定就对它进行arp欺骗。

选择arp，添加对139–158的通讯方向进行欺骗。158是网关ip。一会就看到password里出现http登录口令了。看了下口令出现的速度，不快。于是断开肉鸡终端，看电影，明天上去检查。

———————————————————————————————————-

第二天，连上去得到很多口令。全是http的。略作分析整理：

得出一些经营模式：他们的管理是挺成熟的。网站分公司管理入口，经销商入口，视频主持人入口和客户入口。公司管理负责对客户数据进行维护，各经销商独立的，其下瞎有视频主持（小姐）。

供应商帐号密码特征：

606a/6abc1234

605a/5abc1234

其所辖小姐的帐号密码特征：

606a01/123456

606a02/123456

……

605a03/123456

…..

注意到没？帐号应该是系统按一定规律分配的，密码默认也是有规律的。小姐密码默认是123456，她们几乎都没改。而经销商和他们所辖小姐之间的帐号有存在联系。hoho

客户注册是需要经过手机这道关卡的，所以俺不能注册。不过嗅探也得到很多客户口令。公司管理人员的信息还未嗅探到。

———————————————————————————————————–

首先用小姐的帐号登录进去。为啥先挑她们？因为网站上都有小姐的照片，有照片就该有上传，此web程序跟我们前面通过上传拿下的已经可以认定是同一款，那么也应该有绕过验证的漏洞。so…

登录后发现，除了上班视频外就是业绩查询，后台很简单。

继续用经销商帐号登录。发现上传。原来小姐的管理都是由经销商来完成的，资料都是他们输入的。（模式蛮成熟的）上传是肯定有漏洞。老套路抓包，NC提交。拿到shell。和上台机子一样，远程管理是用radmin的。轻车熟路，本地安装一个radmin，端口设置跟它一样8899，设置密码，导出注册表，上传到d:\\my.reg.目标主机 导出注册表regedit -e d:\\bal.reg HKEY_LOCAL_MACHINE\\SYSTEM\\RAdmin 备份下。 然后net stop "Remote Administrator Service" 导入咱的regedit /s d:\\my.reg继续 net start “Remote Administrator Service” ok，radmin连上去。加个用户，hoho为所欲为了。用完后还原备份，删除闪人。

问题是，我通过图形界面开启终端，默认是3389端口，却发现被硬防拦了。看来只能端口转发了。radmin毕竟用来太风险。又多了台肉鸡。

No3.

拿到权限后，我启用肉鸡的远程桌面，并修改端口，肉鸡是使用自带的防火墙，我设置其允许出站，即可远程登陆了。配置上与前一台没什么差别。由于目标是视讯网站的数据库，所以我翻看tomcat的conf目录，查找数据库连接信息。郁闷的是并没有找到口令。（jsp我也没咋接触过）后来才知道管理员用的是空口令，汗倒。人家禁止外部连接，所以不设口令。上传了个 mysql-front (mysql数据库图形编辑工具)，翻查数据库表。把用户表和管理表导出，并下载回本地。这时我发现有个表allowedip很奇怪，分析一下，才知道原来管理员帐号登陆后台是有IP限制的，未经允许的ip不能登陆，够严格啊。

更BT的是，设计者在网页的很多页面加了如下代码：

以下是引用片段：

<script LANGUAGE=\’javascript\’>

var wwwname=navigator.userLanguage;

if(wwwname ==\’zh-cn\’)

window.location.href=\’401.htm\’;

啥意思？屏蔽掉简体中文浏览器访问了。我是用firefox访问所以没有问题的。NND，把他去掉。

经一番折腾已经拿到所有权限。所以日志也就没有继续的必要了。完