|
|
----------------------------------------------------------------
(欢迎转载,但转载请保持保持文章的完整性,谢谢合作)
作者blog:(http://zheyuhonghu.cn) by:折羽鸿鹄
----------------------------------------------------------------
本来不想写的,因为我是个很懒的人,但是无意看了一些网上关于社工的入侵方式,叫我汗颜...许多直接百度百度ID、名字、QQ就是社工了,呵呵,觉得中国的计算机研究者没落了,当然我指的是一部分。所以就写下来以前一次社工的过程,其实过程并不是十分精彩,不过也比那些百度名字的要多少强点,权当抛砖引玉,供大家参考研究。
说下这次社工的背景原因,当时08年年底开发了个项目,整整三个月每天只睡三四个小时,到了09年四月份去深圳一趟,打算趁着金融危机谷底的机会抄底价收购家网吧(朋友出资),过去后由于各种原因没谈下来,五月份回到郑州,结果弄了个精神衰弱,差点就挂掉,医生说是心理压力大,有时间的话去看看心理医生。后来在网上找了几家心理医院,狗日的那收费价格有点接受不了,最便宜的也是一小时200的收费,高点的三位数都是很正常的。然后我就想入侵了他们的网站打着给他们做安全的旗号来个“互助”,呵呵。
好了扯了这么多蛋,我们入主题。
目标网站http://aaa.com简单看了下,不存在注入,注入这条路走不通,于是扫了下目录,只有个data,应是数据库目录,但爆不了库,没发现什么有价值的资料。动手猜解后台后发现aaamange, 猜解不到密码,没什么进展,于是换了思路旁注吧。
查看了下同一服务器下的网站,第一感觉,就是感觉这些网站的框架很相似,应该是同一程序改出来的,然后看了看后台,果然后台都是网站域名+manage,这意味着什么大家都很清楚,转了一圈回来,发现所有的网站都没有论坛之类的第三方程序,清一色就这个程序做出来的站,当时就郁闷了,于是就是服务器端口狂扫一通,想看看开放有没有135或1433等弱口令低能端口。
在扫端口同时我想到刚才猜解出后台后并没有扫描后台的目录,于是就看了看后台的目录,这次发现了有价值的东西,ewebeditor编辑器!哈哈,当时就乐了,大家肯定知道这是什么感觉,柳暗花明又一村!甚至已经感觉到了那可爱的webshell在召唤我,输入编辑器默认登录页面http://aaa.com/aaamange/ewebeditor/admin_login.asp,哈哈,没有被删除 ,离成功又进来一步,随后用默认密码登录,发现默认密码被改掉了,然后我随手打上db/ewebeditor.mdb,数据库存在但另我郁闷的是下载不了,当时判断应该是限制了mdb文件下载,然后看了看关于这个编辑器的一些漏洞是否存在,后发现漏洞都被封掉了,心想这个网站的程序员还是挺不错的。
表面上是到现在根本没有一点实质性进展,端口那边也没戏,但实际收集了许多对社工有用的信息,当时扫后台的时候有个help.htm的网页,上边写有技术支持的联系方式,于是直接加QQ(有个哥们问过我,为什么我总能找出很多文件他找不到的文件,这里简单说下,平时注意收集保存那些敏感的表字段或者目录文件等,你可以去我的博客下载我平时收集的资料,地址http://zheyuhonghu.cn/,有三M多的文件,其实这个help.htm很多网站都有的,但是我没见过多少人真正的去收集)。
加上QQ后客套几句就进入主题,我说想做个网站,问了问http://aaa.com是不是他做的,那哥们说是他开发的而且还负责维护,我说公司老总就看中了这个网站的框架和风格,价格不是问题,只要他把网站给架起来就可以付款,当时不太确定他有没有现成网站程序,不过那哥们挺直接的,说让我稍等一会。
五分钟不到,那个哥们给个地址http://bbb.com 还有后台帐号密码,一看就是http://aaa.com的源码,只是没有数据,但不在同一台服务器,第一反应是他临时放上去的程序,安全方面也就是说文件限制方面可能没做,连后台都没进,直接去看编辑器的数据库能不能下载,哈哈,幸运的是可以下载,那就down了一份编辑器的数据库回来,狗日的数据库还加了密,不过这些简单,三下五除二就给把帐号密码弄出来了,MD5加密的密码居然还要CMD5的会员才可以看,记得ZAKE那有CMD5的会员,让ZAKE给解出来发现居然和网站后台的帐号密码是一样的,而且数据库加密的密码也是一样的,汗.这么简单我都没试一下,还搞社工呢...现在不管那么多直奔http://aaa.com的编辑器后台,登录进去后就修改编辑器的默认样式,居然发现编辑器目录没有写入权限,狗日的,杯具啊!
再一次受打击,那哥们这时候问我网站行不行,我说下午要给公司老总看下,网站让他暂时开放着,那哥们说没问题,我就开始针对http://bbb.com 的提权了,我的思路是提权拿到SHELL然后看数据库地址,在去http://aaa.com下载数据库,在说拿到这个站的源码http://aaa.com就很好渗透了。
进了http://bbb.com 的后台发现可以提权的有两个地方,一个是备份数据库的功能,还有个上传功能,当然编辑器也不会忘记,先看了下备份功能,看不到数据库地址,应该是参数传递调用的地址,没有恢复数据库功能,备份的数据库目录地址为backdata不可以自定义目录,备份的数据库后缀为rar也是固定的,而且最为变态的是备份的数据库名字是按1.2.3.4排序指定的,也就是说第一次备份名字bak1.rar,第二次备份名字bak2.rar,这个备份用法在help.htm上有说明,也就是说备份数据库没有提权的可能,然后就看上传了。
上传就简单多了,直接抓个cookies修改验证本地上传就OK了,呵呵,到现在终于是拿到WEBSHELL了,看数据库地址http://bbb.com/data/xxx.mdb 然后跑到aaa.com上去下载数据库了,眼看都要搞定了,狗日的数据库被限制下载了,差点喷血,辛苦了那么长时间居然把这事给忘记了....
当时是在网吧玩的时间快到了就回家了,在路上想想有点太郁闷,到家的时候打开http://bbb.com看程序代码的时候看到了backdata这个文件,突然想到他的备份的数据库是RAR,而且是固定的,只要备份了肯定就能下载,然后打开http://aaa.com/backdata/bak1.rar 存在,又打开http://aaa.com/backdata/bak2.rar 也存在,他一共备份了四次,那全部down回来,后边就简单了,改后缀,破解密码,完了我到这一步突然发现,狗日的http://aaa.com 居然那用的是http://bbb.com的默认密码,晕死,我绕了那么大一圈怎么就没开始先测试下呢,这么简单的问题让我给搞的那么复杂,那是相当的郁闷。
进来http://aaa.com的后台了,那后边的过程就没什么意思了,值得一提的是提权的时候,后来我测试那网站程序员的QQ信箱密码也是那个密码,发现了一些略有价值的东西,不过我对那个没兴趣,达到我的目标就OK了,SQL数据库SA的密码也是那个密码,顺手就提了服务器,远程端口改为27***21了,提权拿服务器过程很轻松,没什么技术含量就不说了。
至此整个入侵过程已经完毕,其实大家都看到并没有什么很高深的技术含量,社工么,要理解透人性的弱点,后来我分析过入侵的整个过程,程序员的服务器权限设置的很死,MDB都不可以下载,但是他是为了网站管理员的方便,就把备份的数据库写成RAR,方便管理员本地下载备份,但正是这里造成了一个致命的弱点,整体网站程序还是比较安全的,至少我没有发现什么明显的漏洞,其实他完全可以备份成MDB,让网站管理员用FTP下载的,可能是为了显示人性化吧,另外一个方面就是程序员如果给我http://bbb.com的时候源码稍微改一下也不会让我的阴谋得逞,只是因为他没有防备我的心理,让我明白了http://aaa.com的网站构架,当然就很轻松的渗透进去了。
还有一个是我个人疏忽的原因造成入侵过程那么艰难,如果当时程序员把http://bbb.com的后台帐号密码给我的时候,我直接拿去http://aaa.com上测试一下,或许整个过程就很轻松了。
之所以写出这篇文章原因有二,一是送给广大的计算机研究者,共同研究探讨学习,二是也是重要的一点提醒网站程序开发员,注意不要在不同的场合使用常用的密码,从这篇文章可以看,虽然他的整体程序包括服务器安全还是不错的,但就是因为一个小小的疏忽导致整个服务器的沦陷。
---------------
后记:这个文章我前前后后写了进一个月,都是写一点不想写了,如果不是我在QQ信箱里写的话(有自动保存草稿功能),估计这篇文章就夭折了。 |
|
发表于 2010-4-23 15:43:22