教科书般2分钟纯手工入侵湖工大教务处
文/图独孤沉雪
前两天上微博看到一条消息在学校微博转发得火热:我苦逼的湖南工地大学教务处网站被一高中生入侵,大学网站被黑本不是什么新鲜事,也就是平常的安全检测而已。可黑客自称入侵的动机竟是想要到本校来上学希望被破格录取……我说你小朋友学网络信息安全应该去西安电子科技大学嘛,全国信息安全专业第一的牛校啊!不过他既然说自己连工地大都考不上,那西电都省得做梦想了。
言归正传,作为一个曾经的圈内人,虽然已经隐退四五年了,但毕竟是自己的学校被人入侵,知道了面子上终归是挂不住的。看到他华丽丽的在首页上悬挂了DIY的黑站贴图,大大咧咧的署名留联系方式,我真的没有看到一丝毫当年自己的影子(这种好大喜功的事还真没兴趣做,低调的挂个马收肉鸡多实在是吧?)
唏嘘一阵完毕之后,那么,我们开始吧!
首先,我们打开工地大教务处的首页,下图1所示,主页已经被管理员恢复了。
图1
为什么我那么快?因为我有一个好习惯,那就是对网站的建设者的素质有一个准确的评估,我们学校的网站构建水平……每年查分选课的时候同学们都懂的。于是我滑动鼠标滚轮来到了页面底端,豁然那不就是网站的管理员登陆入口(后台登陆)么?见图2,真是太低级了。
图2
这样不设防的不改管理入口的地址还大咧咧的摆在首页,简直就是诱导犯罪!不客气的点击进入。管理员登陆界面见图3
图3
你们这个时候要问了,管理员的账号密码如何破解?如果我说我们学校的网站漏洞低级得连密码都不必破解就能被完全控制,你们曾经幼小的心灵会受到迟来的伤害么?
查看一下这个网页的源代码,如图4
图4
{
if(document.Login.UserName.value.length==0)
document.Login.UserName.focus();
else
document.Login.UserName.select();
}
function CheckForm(thisform)
{
if(document.Login.username.value.length==0)
{
alert("请输入用户名!");
document.Login.username.focus();
return false;
}
elseif(document.Login.PassWord.value.length==0)
{
alert("请输入密码!");
document.Login.Password.focus();
return false;
}
else {
thisform.submit();
}
}
代码我也就随便看看就发现username和PassWord没有过滤掉单引号,这说明什么?好了,我现在可以说明为什么文章标题叫做教科书一般的入侵了,这是一个古老到六年前我刚入行时都已经十分罕见了的古老的漏洞……
怎么破解?小意思,请你们试试在用户名处填入'or'='or',密码随便填一个你喜欢的……恭喜你,工地大的教务处后台管理员权限现在已经在你的掌握之中了,如图5
图5
就这样不费功夫的拿到了admin权限,心里没有一丝的成就感,这样低级的漏洞和手段任何人都不值得骄傲,只有对工地大无限的伤感。到此已经可以管理网站文章系统的全部功能了,故事就这样结束了么?当然不是,一个不以拿到网站webshell甚至最终的服务器权限的黑客绝对不是一个好黑客(当然,我现在只是一个写文案作图拍片子的伪艺术混子罢了。)
进一步入侵试图取得webshell,轻车熟路的找到了文章发布系统,点击“添加新闻”, 如图6。
图6
拿到webshell的最常用方法就是把ASP小马格式改成jpg或者任意一个不会被服务器过滤掉的危险格式上传然后数据库备份得到webshell。于是我们点击上传附件,在放满了学习资料和几部AV的电脑里找了半天竟然发现雪藏多年的ASP和PHP木马被我的杀毒软件日积月累的杀得凋零,于是临时上网下载了一个站长助手ASP木马。选择“浏览”,将站长助手添加进去,点击“开始上传”后才想起忘记改格式了可能要重来。如图7
图7
但,可怕的事情发生了……ASP木马竟然直接被上传了!如图8,上传的绝对地址在“路径”处显示了出来。
图8
这样,我们先复制浏览器地址栏上的网址http://jwc.hut.edu.cn/admin/main.asp,在复制路径处的ASP地址Upload/2012341947963161.asp,两者结合一下就得到了我们的webshell地址http://jwc.hut.edu.cn/admin/Upload/2012341947963161.asp。不得不说我们学校的网站设计水平是全世界硕果仅存的几个教科书般的低级入侵案例网站……
我们把http://jwc.hut.edu.cn/admin/Upload/2012341947963161.asp复制到地址栏打开新网页,当当当当!webshell华丽丽的登陆界面,我们输入密码登陆进去吧(为了不让同学们的好奇心驱使下都学校服务器去观光,密码我就不公布了没问题吧?)
进入我们的webshell后你发现整个网站的目录尽收眼底,如图9为所欲为的冲动在哪里?!
图9
在网站根目录我发现了郴州高中生的入侵罪证——备份的网站首页“复件 index.asp”,点击进去查看,可不就是了么,见图10。
图10
查看服务器信息如图11、12,虽然高危险端口135、1433、3389都开放,但最关键的服务器组件WScript.Shell却不可思议的被关闭了,这就意味这我不能通过执行CMD命令来添加用户取得权限了。
图11
图12
之后我尝试了各种提权拿服务器的方法,均一一失败:可写权限仅限于upload文件夹,C盘的各个重要文件夹诸如serv-u和pcanywhere之类的提权重要途径文件夹均不可读,这个服务器管理员的安全意识之高不得不让我对其肃然起敬,我敢笃定构架服务器的和设计网站的绝对不是一个人!
让我惊奇的是,郴州高中生起码提升了比我高一级的权限,我只有网站根目录的读取权限,而他拿到了读写权限,这也就解释了他可以篡改主页,我开始对他不敢小觑了。
虽然从打开网站到拿下webshell只用了2分钟,但提权工作我直到昨晚一点都还没有成功,电脑里的黑客工具文件夹被杀毒软件查杀得凋零殆尽,想去重新下载,却意外的发现曾经的黑客防线、黑客动画吧、黑客基地、骇客基地等等当年名震江湖的龙头黑站,如今都改头换面成了中规中矩的民用软件下载站……心灰意冷之下我关掉了电脑,放弃了继续渗入。
总结这次这次入侵,入侵拿webshell很傻瓜,没有丝毫可以值得夸耀,但提权部分确实有技术含量。到此我已经是输了,郴州高中生青出于蓝,拿到了比我高的权限,如果郴州小孩看到本文,不妨告诉我你是怎么提权的,让我一了夙愿。
闭上眼回顾那些年和道上的好朋友们在七大洲网络上纵横驰骋,拿站挂马抓肉鸡的往事一幕幕重现,我的老朋友们,你们过得可好?悠然的十级钢琴我还未曾当场聆听,冰冰的金融事业复活了没?雨声呢,结婚了没有?臭师傅冰河~~谢谢你没有把我教成顶级黑客,于是我可以学习我更热爱的专业。谢谢有你们的岁 月……
我是red&black!
2012.3.5