服务器渗透 PPT课件

服务器渗透 信息收集网站常见弱点网络硬件入侵WINDOWS提权内网渗透清理日志及做跳板WEBSHELL查杀 主要内容 信息收集 1 服务器信息2 域名信息3 网站信息 使用ping命令知道目标服务器的ip地址 访问查询目标ip P 61 152 171 171 域名信息查询 通过访问1 查询域名注册人2 查询域名注册时间3 查询域名注册电话4 查询域名注册E mail 判断操作系统 方法一 用大小写转换 方法二访问一个不存在页面看返回的错误信息 方法三 显示BANNER前面的两个方法都是404出错页面 只能用在默认服务器上 用80然后随便输入任何也可以提到相关提示 21 ftp 22 ssh 23 telnet 25 smtp 80 http 110 pop3 3389 只能用 STSC连接 扫描器 世界级优秀扫描器nmap 最早为 NIX 后来移植到WINDOWS平台上 Zenmap为GUI 命令行的功能更强 Nmap sS 采用syn扫描 这种扫描通过发送一个SYN包 是TCP协议中的第一个包 开始一次SYN的扫描 任何开放的端口都将有一个SYN ACK响应 然而 攻击者发送一个RST替代ACK 连接中止 三次握手得不到实现 也就很少有站点能记录这样的探测 假如是关闭的端口 对最初的SYN信号的响应也会是RST 让nmap知道该端口不在监听 这种扫描的优点是不建立TCP连接 不会在服务器日志里留下记录 而且速度快 Nmap sT 要用建立TCP连接的扫描方式 就使用 sT选项 虽然这样会在防火墙日志里留下记录而且较慢 但是比较可靠 因为某些防火墙能检测SYN扫描 这时我们用SYN方式就什么也扫不出来了 Nmap sU 发送空的UDP报头到每个目标端口来探测UDP协议的端口 nmap P0 O sS192 168 157 1 P0的意思就是说不先ping直接扫描 O就是探测对方系统版本 要扫描所有端口 就执行 nmap sS192 168 157 1 p1 65535 国内XSCAN DNS反向查询 整站程序源码的判断 如果能拿到网站的源码 那就能进行有针对性的入侵了 网站的默认后台口令 后台地址 上传页面等等都是宝贵的信息 甚至你还可以找找源码里的漏洞或是搜索一下该整站程序之前出过什么漏洞 根据我的经验 一些中小型网站如果看上去界面设计的十分华丽 功能也很强大 那十有八九是现成的整站程序 因为它们不具备自己开发的能力 判断整站程序 工具 了结网需要找一个生僻的文件名 如imglist aspx 网站常见弱点 注入点 某些网站是采用post方式对脚本提交参数的 所以我们在IE地址栏中看不到参数 只有一个脚本文件的地址 如果你发现某个网站上的很多新闻链接 在被点击之后跳转到了同一个脚本文件 而且该脚本在不加参数的情况下显示出了不同新闻 那就说明是这种情况 这种方法并不能隐藏注入点 如果你熟悉html语言的话 可以在网页源文件里找到提交给脚本的参数 或者你还可以用winsockexpert一类的sniffer抓一下它的http数据包 看看它用post方式提交了哪几个参数 知道了提交的参数 你就可以在IE地址栏里填写完整的URL 用get方式提交试试 一般是和post现实的结果一样的 如果该脚本不接受get方式提交的参数 那你也可以用minibrowser一类的工具采用post方式提交参数 其实很多注入工具都可以设置成post方式 不过他们当初这样设计的初衷是想避免在日志中留下痕迹 解决了参数的问题 之后的注入方法与普通的注入无异 还有一些网站 在点击链接之后会跳出较小的IE窗口 比如一些通知 投票结果的查看等等 这些小窗口是没有地址栏的 无法直接看到它的网址 遇到这种情况只需按F11就能实现窗口变大 地址栏也就显示出来了 再按一下F11又恢复成之前的大小 可能很多新手有个误区 认为只有最后一个参数才能注入 实际上任何一个参数都可能注入 比如 传统注入工具的使用 明小子注入工具3 5啊d注入工具穿山甲注入工具管中窥豹注入工具 明小子3 5 啊D注入工具 穿山甲 管中窥豹 WSCAN scan是国内高手cooldiyer的作品 它全面地收集了常见的敏感路径 能够扫描目标网站根目录下的敏感页面 比如 备份文件夹 后台 上传页面 数据库 常见漏洞等 语法如下 usage wscan Dscan googlehack 搜索遍历目录 DVBBS中pay boardlimited asp百度搜索的可能会更多一些 针对动易 就可以搜索editor tableprops asp 这是动易根目录下的Editor目录里的一个文件 大家找到这个目录存在遍历的网站 只要将Editor目录改为database目录就能看到数据库了 另外我发现改变不同的生僻文件名 所得到的结果也不同 所以大家要自己动脑确定关键字才会有更多发现 搜索这些遍历目录的共同关键字 转到父目录 indexof 或是 ToParentDirectory googlehack也可用来查找指定网站的后台地址 当你无法用类似于wscan的工具扫描到网站后台时 不妨在google里搜索 adminsite manegesite 后台site 管理site 密码site 登陆site inurl adminsite inurl manegesite 可能会有意外发现 因为搜索引擎机器人总能找到一些隐藏很深的页面 robots txt 放置在一个站点的根目录下的纯文本文件网站管理者可以声明该网站中不想被搜索引擎机器人访问的部分 或者指定搜索引擎只收录指定的内容 但是这却起到了欲盖弥彰的作用 就像是此地无银三百 直接寻找缺少验证的上传页面是个不错的主意 一旦上传成功就能直接得到webshell 你可以搜索 inurl upload phpfiletype php inurl uploadfile phpfiletype php inurl upfile phpfiletype php 用googlehack寻找别人留下的webshell 我们要找的当然是那种无需验证 功能简陋的小马 首先我注意到了国外比较常见的webadmin php这个phpshell 它的标题就是webadmin php 我于是查询关键字intitle webadmin phpfiletype php 在前几页就找到了世界各地的10几个webadmin php 国外大名鼎鼎的C99Shell 这个功能强大的phpshell没有验证 直接访问就能使用 它的常见版本在一开头都有这么一句 C99Shellv 1 0pre releasebuild 然后是某某数字 那我们就搜索关键字C99Shellv 1 0pre releasebuildfiletype php 这次搜索出了更多的外国webshell 连阿拉伯的网站都有 轻轻松松就拿了很多webshell 等于让别人帮我们入侵 如图6 15 当然也有的搜索结果打开是404未找到 说明我们来晚了 webshell被管理员删了 管理员的好助手phpmyadmin 发现phpmyadmin的页面的标题栏总是包括 phpmyadmin 而内容一般都包括一句 runningonlocalhostasroot localhost 当然它不一定都是用root连接数据库的 那我就搜索intitle phpmyadminintext runningonlocalhostasroot localhost 就这样 全世界没有藏好的phpmyadmin又都出现在我面前 点开这样的搜索结果最好将php脚本的参数都去掉 因为搜索引擎提供的是各个页面的phpmyadmin 国产的jsp小马 根据页面最下方的作者联系邮箱构造关键字 cqq1978 Gfiletype jsp 挖掘鸡 可以用挖掘鸡寻找别人留下的webshell 因为一般是不会有超级链接指向webshell的 所以只有用挖掘鸡才能发现这种不可告人的网址 对于用过asp一句话木马留下的采飞扬网站小助手 它的默认文件名是help asp 常常出现的路径 我随便想了几个 up upload uploadfile upfile admin manage data database 我就用help asp上的一句话作为特征字串 本文件绝对的路径 关键词用inurl asp就行了 搜出来的都是asp的网站 不一会就找到一个 双击搜索结果还能在右边打开它 cookie欺骗 cookie是被网络服务器发送出来以存储在浏览器上的一个文件 从而下次这位访客又回到该网络服务器时 可从该浏览器读回此cookie 以供网站作出相应措施 cookie存于C DocumentsandSettings 你的用户名 Cookies 很多网站只需你登陆一次 以后再访问就无需登陆了 这里采用的就是cookie验证 网站是认cookie不认人的 冒名顶替就有可能发生 这就叫cookie欺骗 凡人网络购物系统V8 0 看ad chk asp中的代码 当admin name admin pass和admin class有一个为空时 就跳转到ad login asp这个登陆界面 而ad admin asp里有这么一句 总管理员 就是说admin class为0 就判断此用户是总管理员 满足下面3个条件就能冒充总管理员了 1 admin class为0 2 admin name非空 3 admin pass非空 Cookie欺骗在XSS会有特别重要的作用 后台拿WEBSHELL 顾名思义 web 的含义是显然需要服务器开放web服务 shell 的含义是取得对服务器某种程度上操作权限 webshell常常被称为匿名用户 入侵者 通过网站端口对网站服务器的某种程度上操作的权限 由于webshell其大多是以动态脚本的形式出现 也有人称之为网站的后门工具 动网6 0备份数据库拿shell 登陆前台上传asp木马 动网6 0备份数据库拿shell 登陆后台 备份数据库 数据库合并备份法 利用后台备份 将asp木马和数据库合并上传上传一个写入一句话木马的数据库 再进行备份 将网站上的脚本文件备份为其它扩展名的文件而使其暴露源码 比如关键的conn asp 上传漏洞 后台直接允许上传 不限制扩展名检测上传扩展名 一般用JAVASCRIPT等脚本在浏览器端检测代码 可以在INTERNET的安全选项中禁用这些脚本的执行即可或将上传页面另存为HTM文件 去掉其中的检测代码 修改正确的提交地址也可 NULLBYTE 服务器端检测也不一定就安全 因为有可能存在nullbyte上传漏洞所谓nullbyte就是十六进制的0 x00 它在windows里是一个字符串结尾的标识 与此相对 asp脚本是允许文件名里出现0 x00的 那么如果我上传muma asp0 x00 jpg呢 asp会当作它是一个jpg文件而允许上传 而当它被传到目录里的时候 windows以为文件名在0 x00那里就结束了 所以文件名就成了muma asp 上传漏洞就形成了 网络硬件入侵 扫描路由器的弱口令ADSL密码终结者 IP地址和口令都在上面显示 赶紧登陆web管理去看看 可以看到很多配置信息 有些人上网是用路由器拨号的 所以拨号帐户会保存在路由器里 密码框那里会将密码显示为点 不要紧 打开网页源文件看看 密码就藏在那里面 如图6 28 telnet ftp windows提权 拿到WEBSHELL后提权NETSTART看PROGRAMEFIKES NETSTAT ANO主要是依靠第三方软件提权 server u提权 利用工具 但好多不能免杀 server u在版本6之后提供了修改本地管理密码功能 允许管理员修改默认口令 l ak lk 0 P修改之后的口令可能会被存储在ServUDaemon exeserv u提权综合工具可以直接读出 利用winhex防止提权 修改后的口令是以密文的形式存在ServUDaemon ini里的LocalSetupPassword 避免提权 只要建立对server u设置访问管理密码 就能彻底解决提权问题 pcanywhere提权 默认端口 5631pcanywhere的密码存放在 C DocumentsandSettings AllUsers ApplicationData Symantec pcAnywhere Hosts 中的cif文件里 而webshell是有权限访问这个文件夹的 先将其下载 用在线工具解密 只对12版本以前有效webshell对 C DocumentsandSettings AllUsers ApplicationData Symantec pcAnywhere Hosts 是有写权限的 所以就可以先在本地装好pcanywhere 再建立一个帐户 找到本地的 C DocumentsandSettings AllUsers ApplicationData Symantec pcAnywhere Hosts 文件夹 将这个新建帐户对应的cif文件上传到服务器的 C DocumentsandSettings AllUsers ApplicationData Symantec pcAnywhere Hosts 文件夹 这样就等于给服务器增加一个了新帐户 我们同样能用这个帐户登陆到服务器上 radmin提权 radmin是一款很流行的远程控制工具 非常受大家欢迎 它是以屏幕传输速度快而著称的 默认端口是4899 加密后的哈希值放在 HKLM SYSTEM RAdmin v2 0 Server Parameters Paramete修改客户端 去掉输入的密码加密的步骤 直接用哈希值登录 也可以用海阳顶端来读 可以执行regedit命令得到注册表的内容 用webshell执行 regedit eC Inetpub wwwroot 1 regHKEY LOCAL MACHINE SYSTEM RAdmin v2 0 Server Parameters Forwin2003regexportHKEY LOCAL MACHINE SYSTEM RAdmin v2 0 Server Parameters C Inetpub wwwroot 1 reg sqlserver提权 找到CONN ASP从中得到SA密码用工具远程连接1433端口xp cmdshell存储扩展利用此相关提权命令 本地溢出 很少而且会蓝屏netuser111 add netlocalgroupadministrators111 add 替换系统服务 本提权漏洞存在于PandaAntivirus2008中 在默认安装下 C ProgramFiles PandaSecurity PandaAntivirus2008 这个目录被设为everyone可以完全控制 也就是说无论哪个帐户都能修改其中的文件 这个目录里的PAVSRV51 exe是被服务启动的 我们只要用webshell将其重命名为PAVSRV51 bak或其它名字 再将能加管理员帐户的程序存为此目录下的PAVSRV51 exe 当服务器重启的时候就成功提权了 FTP客户端密码文件的解密 cuteFTP leapFTP和flashFXPftp客户端都提供了记忆IP 用户名和密码的功能用webshell将这些文件下载下来 并在本地也安装同样ftp客户端 用服务器上的配置文件覆盖本地的配置文件 uteFTP的配置文件位于 C DocumentsandSettings AllUsers ApplicationData GlobalSCAPE CuteFTPPro x 0 sm dat leapFTP的配置文件就是leapFTP安装目录下的SITES INIuser 后的就是用户名 pass 后的乱码就是密码的密文 flashFXP的配置文件就是其安装目录下的stats dat quick dat 远程桌面的开启 TerminalServices启动 win2000 echoWindowsRegistryEditorVersion5 00 3389 regecho HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion netcache 3389 regecho Enabled 0 3389 regecho HKEY LOCAL MACHINE SOFTWARE Microsoft WindowsNT CurrentVersion Winlogon 3389 regecho ShutdownWithoutLogon 0 3389 regecho HKEY LOCAL MACHINE SOFTWARE Policies Microsoft Windows Installer 3389 regecho EnableAdminTSRemote dword 00000001 3389 regecho HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control TerminalServer 3389 regecho TSEnabled dword 00000001 3389 regecho HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services TermDD 3389 regecho Start dword 00000002 3389 regecho HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services TermService 3389 regecho Start dword 00000002 3389 regecho HKEY USERS DEFAULT KeyboardLayout Toggle 3389 regecho Hotkey 1 3389 regecho HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control TerminalServer Wds rdpwd Tds tcp 3389 regecho PortNumber dword 00000D3D 3389 regecho HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control TerminalServer WinStations RDP Tcp 3389 regecho PortNumber dword 00000D3D 3389