图文:udb311
主题:MSSQL内网渗透案例分析
发表:黑白前线
描述:对于内网渗透技术一直感觉很神秘,手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术!本文敏感信息以屏蔽!密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行,再通过自己的灵活思维运用。
环境:2003 SERVER
IIS :6.0 支持php
数据库:MSSQL和MYSQL
网站类型:ASPX
本文重点讲述内网渗透提权部分,对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道,拿到webshell后服务器能否提权就要先找提权的漏洞所在。从本站的角度来看,存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录,很平常么。没现有SU和MYSQL之类的信息。
作者:lcx
这期的专栏是我设定的题目,看够了注入,是不是想了解一下内网的入侵手法呢?做为出题人,自然要写一篇了。在各式各样大小不同的内网中,最常见的就 是域内 网了。其实域内网的入侵和我们平常的入侵手法在总体上来讲的逻辑也是一样,也是信息的收集、分析,找出薄弱点,然后击破,再综合归纳整理,最终拿到域管理 员的密码,算是大功告成。有了内网的第一台机器的权限后,如何收集信息,这是很关键的一步,这篇文章讲的就是域内网信息的收集的第一步。
图1(点击查看大图)
随着我们信息化水平的不断提高,业务应用的不断增多,由此产生了大量的业务数据,而这些业务数据在很大程度上具有很强的机密性,需要得到重要保护。但值得一提的是,计算机网络给我们带便利的同时,也给我们带来无限的困扰:信息盗窃、信息丢失、数据交叉感染、主动泄密时刻存在我们的周围,威胁着我们的安全。
1)出于业务需要,我们往往需要带着笔记本电脑/移动存储介质出差,但常常会遇到笔记本电脑/存储介质丢失等情况,造成敏感信息的丢失,给公司或单位带来巨大损失;
2)我们在做保密检查时,常常会发现被检查机器上存在不该有的机密文档,我们不知道这些数据他们是怎么获得的,又是通过什么渠道什么方式得到的;
3)在实际工作中,我们时常会碰到,某某员工在离职或和公司发生劳动纠纷后,将公司重要的机密文件带走,泄漏给的竞争对手,主动泄密相比于信息盗窃,更加防不胜防。
据联邦贸易委员会的一份报告显示, 在2005年,由于身份失窃所提交的报告占所有投诉报告总数的1/3左右,达25.5万份之多,高居去年联邦贸易委员会接到的诈骗投诉之首,而其中大部分失窃的身份信息是由于笔记本电脑的丢失引起的。
销售电脑保险的公司 Safeware Insurance公司 指出,2003年全美发生的笔记本电脑遗失案件高达60万起,而根据寻回电脑工具供应商 Absolute Software 提供的信息,这个数字去年更攀升至75万。
根据美国联邦贸易委员会(FTC)最近发表的调查报告显示,去年ID theft的受害人数达1000万人,占美国人口的4.6%。在损失额方面,消费者为50亿美元,企业及金融机构的损失额超过480亿美元。
据美国联邦调查局CSI/FBI2006年发布的《计算机犯罪与安全调查报告》,信息失窃事件已经越居第三,笔记本电脑丢失排名第六,其中还不包括排名第一的计算机病毒所携带的信息盗窃行为,现如今熊猫烧香病毒和灰鸽子等形成的地下产业链足以让我们触目惊心,信息保密战形势相当严峻。
经过分析,我们认为当前造成信息失窃的主要原因来自以下四个方面:信息盗窃(偷走)、信息丢失(丢失)、主动泄密(带走)、交叉感染(粗心)。
信息盗窃
信息盗窃与个人信息泄漏不同,它专指通过非法手段获取信息并进行恶意利用的犯罪行为,也是我们目前遇到最多也是最难对付的一种信息失窃行为,是造成我们内网信息安全这么严重最为突出的因素。信息盗窃动机主要来自:获取机密或敏感数据的访问权、窃取钱物或服务,主要表现形式:
1、 通过已构建好的网络途径发动入侵,渗透对方主机,盗取他人数据;
2、 通过监视网络传输内容,盗窃传输数据;
3、 通过在对方主机上植入木马或后门程序,截取对方屏幕、复制文件内容、盗窃敏感数据;
4、 当移动存储设备插入被控制的主机上,窃走里面存储的数据;
5、 趁他人不注意,将他人机器上或移动存储介质上的数据偷偷拷下;
6、 不排除直接盗取存有数据的存储设备,如笔记本电脑、主机硬盘、移动存储介质、光盘。
信息丢失
由于存储设备、介质丢失而引起信息丢失,造成信息泄漏,特别是在计算机日益普及的今天,这些现象越发突出,这种事件的发生存在许多不可预知性,即使我们的安全管理再完善、个人安全意识再高,他在特定的情况下同样失效。主要表现形式:
1、在家中、火车、汽车、机场、宾馆、公共场所、会场发生财产盗窃,导致笔记本丢失/移动存储设备丢失,造成信息丢失,形成泄密事件。
2、由于工作人员的疏忽大意,忘记将存储有重要信息的笔记本电脑/存储介质/文件携带或删除,造成他人能够获得该重要文件,导致信息丢失,如将笔记本电脑丢在宾馆里、将文件留在他人机器上,忘记删除销毁等。
主动泄密
主动泄密是指工作人员故意泄漏数据,属于主动泄密。相比于信息盗窃,主动泄密更加防不胜防。为“防止网络泄密”,自2001年以来,国家已针对计算机技术、网络技术和网上综合信息传输技术发展的新特点,加大了保密技术的防范、检查和管理等基础知识培训,但目前还没有行之有效的主动泄密解决方案。
造成主动泄密的主要原因来自:
1、内部员工离职或与公司发生劳动纠纷而将重要文件带走
2、利益驱使内部员工将公司重要的商业机密透入给竞争对手
3、 企业信息管理不善,导致内部员工能够接触到企业敏感的业务数据或敏感信息,没有做分级分权细化处理
4、目前还没有有效的技术手段来防范企业内部员工的主动信息泄密行为
5、相关信息保密制度和惩罚措施滞后,责任不到位、法制观念淡薄、员工考核机制落后、缺乏流程化管理是造成员工会主动泄密的客观因素。
6、其他因素
主要表现形式:
1、由于各种原因,信息保管员通过各种渠道(设备、接口、网络、打印)将敏感数据泄漏出去,给公司带来重大损失。这种类型的信息泄密对于我们目前来说是很难防范的,因为信息保管员有权限直接接触这些机密的数据,我们唯一要做的是怎么来分散他的操作权限和定位他的保密责任;
2、 内部办公人员通过非法渠道从他人获得保密数据,并将它泄漏出去。这种主动泄漏才是我们工作的重点,也是我们需要下大力气来解决的,因为他会给我们带来责任定位不清的问题,最终导致怨案错案的发生,导致保密条例无法真正落实。
交叉感染
交叉感染也容易带来信息泄漏,它属于无意识的信息泄密。我们知道,信息在流转过程中,需要经过很多环节,中间会有很多人对他进行操作,当一个文件被创建后,往往会通过网络或是存储设备将数据传递到其他地方,如果保护措施不到位,极易被不该看的人看见,导致信息泄漏。主要表现在:
1、一机多用户引发数据交叉感染,数据都存储在共享的硬盘上,加上操作没有采取强制访问控制措施,其他用户能够接触到保密数据,无法保障各用户文件的安全,给别有用心的用户可乘之机。
2、 移动存储设备引发数据交叉感染,当文件或数据拷贝到移动存储设备上,如笔记本电脑、USB,这些设备在借用、维修、外出办公过程中,极易被他人偷走。
3、剩磁效应引发数据交叉感染,采用特殊的文件恢复工具将删除的文件恢复过来,从而被其他用户获取,导致信息泄漏。
姓名:Chinadu
性别:Man
职业:网络安全从业者
E-mail:imcto#msn.cn
最近评论