一次利用社会工程学进行反渗透

0x01 事情来源

前几天，我的一个朋友找我帮忙，声称他在访问自己学校网站的时候会跳出很多奇怪的页面，而且360安全浏览器会提示拦截恶意链接，  他感觉网站或者服务器被入侵，让我给他看看，然后就有了下文。

0x02 分析黑客入侵手法

既然要看黑客是如何入侵进来的      也就没必要做信息收集方面的工作了。  简单的打开safe3   神器扫描了一下      发现存在sql注入    xss跨站     

随即之后就是拿扫出的sql注入点进行注入攻击       由下图发现居然是sa注入点    而且没降权   是system权限。 那么拿服务器也就是轻而易举了。

看了一下注入点漏洞的缘由       原来是学校在对教师方面的不足      然后给教师们提供了一个教师平台     不过管理员没对代码做检测      导致出现sql注入      最终导致服务器沦陷。不要笑我。初中水平表达能力有限！！！

修复方法：1.关闭教师平台 ，   对教师平台页面进行代码审计。

                 2.给sa降权     删除xp_cmdshell组件。

网站主站采用的是帝国网站管理系统 。     人家号称最安全的cms呢。  不过安全确实很好  

0x03  网站挂马检测和清理

通过查看修改时间    可以看出 黑客对index.jsp  index.html   conn.asp    foot.asp进行了修改   

清除挂马代码   在所有文件中查找代码“<scriptsrc=http://%62%76%58%48%97%4E%5C%6A><script>”，然后将其清除  这链接是加密的。   随后给服务器加了安全狗 和护卫神    这两款可谓是神来杀神   佛来杀佛     不过有些大牛的提权技术会更胜一筹。

0x04  系统入侵痕迹搜索和整理

既然黑客入侵到服务器      应该会对服务器进行利用之类的      我们可以在文件搜索框中 输入一些黑客工具的关键词 扫描    后门    攻击    检测    端口等。     来搜索入侵者存放工具的地方。

丫的    这原来是个抓鸡阔。不过现在的1433抓鸡还可以吗？多少年前的技术了。不过我以前玩抓鸡的时候记得好像还要配置一个文件     存放ftp账号密码。这样才会自动传马。然后我们打开那个Ck~奋斗1433的文件夹。。   

拿到这些信息      我们就可以反渗透加以社工来入侵他了。

0x05  反渗透开始

用nmap对服务器端口进行扫描     发现系统开放了21    80     3389 证明服务器确实运行着ftp      

既然服务器开放了3389       21    ，那么就可以尝试利用ftp账号和口令登陆3389远程桌面。猜测有没有 xiaojie这个用户     发现没有     尝试了一番觉得没戏  果断换一下思路。   其实有时候机会都是尝试出来的，不去试试怎么知道不会成功呢？

首先我们打开这个ip    也就是这台服务器上放的网站，发现是一个游戏私服网站

之后拿出工具登陆ftp     发现可以登陆。看server.exe  可以确定这就是那个木马文件。

然后发现还有个web文件夹。打开一看      是这个私服网站的根目录     呵呵。既然有下载权限      可否有上传权限呢？     我们上传个木马试试。

成功拿下。。。随后就是提权了。

直接serv-u提权    没技术含量   这里就不详解了。

之后登陆服务器     

0x06   成功登陆服务器

打开任务管理员      看一下用户    不过把我吓一跳。

卧槽       咋这样呢， 真是奇葩啊 ，不过后来才知道     原来是入侵者替换了C:\WINDOWS\system32    里面的taskmgr.exe文件     让管理员无法查看    这也是一种维护服务器的方法。   不过这样也就对一般的管理员有用       对我

嘿嘿      不管用。    用dos命令查看。

看到了入侵者的用户了。 那么修改  jie$  的密码     登陆其用户。

丫的      抓鸡阔伤不起。到哪都是抓鸡。好吧      肉鸡全是我的啦。

0x07  继续深入

因为之前看过一篇文章   感觉思路很好     就借鉴了一下     利用之后    果断成功。

Whois反查一下域名      

之后再反查一下注册人。

可以看出注册过很多域名。那么会不会服务器登陆密码相同呢。  这方法简直经典。很多人都会用在不同地方设置同一密码    安全性可想而知、

用Pwdump7工具直接读出管理员hash       http://www.objectif-securite.ch/ophcrack.php    去这个网站破解hash值。

然后尝试登陆那些域名服务器。然后你懂得。

集体沦陷。这思路有时候还是很管用的哈哈。

好了。  大牛看官指点指点。

===========================

一个很好的反渗透案例，通过。

关键的是提权部分漏了

那就不是帝国cms的漏洞喽？是第三方的？

这思路不错，学习了

小伟 发表于 2015-11-19 19:27
关键的是提权部分漏了

serv-u提权还用讲嘛？   直接点提交就加账号了。

90hddvd 发表于 2015-11-19 19:46
那就不是帝国cms的漏洞喽？是第三方的？

一个教师平台的注入点。

其实我就想问，你拿工具一顿狂扫，你家的安全狗吃饱睡着了吗？sa什么的，安全狗不管不问的吗。我非常的疑惑。

温柔的蝎子.......

Smile゛S 发表于 2015-11-19 21:46
其实我就想问，你拿工具一顿狂扫，你家的安全狗吃饱睡着了吗？sa什么的，安全狗不管不问的吗。我非常的疑惑 ...

安全狗是后来加的    你没仔细看呢    为了服务器安全和检测木马才加的

卧槽这个年代还有抓鸡阔  别挡我，我要去拜师

遇到的工具都没打包发一份么

挺赞的！

我这辈子没这样的运气

用你文中的一个图，屌！

最后的那段，用whois反查后再反查，然后登陆注册人注册过的服务器，这个姿势，销魂！

楼主牛x～然后把木马跟IP打包发网监大队→_→

反查域名在去日那些服务器 略屌 不过这肉鸡好多 哈哈

反查域名 反查注册人 新技能get

他自己的服务器居然还设置任务管理器权限，这人也是吊

3000+ 肉鸡 收入不错嘛

关键在于。鸡阔居然把Web目录放在传马的FTP里面。。

收获颇丰啊。。。那个最后面的姿势的确牛。

这个鸡阔这么屌

这个鸡阔这么屌

本文的亮点是后边的反入侵，但查找黑客是如何入侵到服务器的地方不够精彩