文章标题:[原创]较高安全级别主机的渗透之序幕篇顶部 冰血封情 发布于:2004-09-1801:51 [楼主][原创]较高安全级别主机的渗透之序幕篇
文章作者:冰血封情[EST]
信息来源:PRC八进制(www.EvilOctal.com)
几个月前在《黑客X档案》发的文章为了照顾X的生意所以现在才发出来....
现在可以下了:)
文章很简单但是很详细很适合刚入手有些技术但是缺少经验的菜鸟阅读....
EST的论坛关闭了所有组成员的上传权限所以如果要有图的文章请到文章最后的连接去下...
前言:这是《网络安全较高安全级别主机的渗透》系列文章中的第一篇,有空继续往下写。
对一台主机的渗透我把他划分了:序幕、渗透、尾声三个阶段。顾名思义,序幕就是入侵前的信息刺探了。
怎么样做到全面和精细,可是很有重要意义的,特别是对后面的渗透起着关键的辅助作用。
很多朋友,甚至包括有些踏入黑界有一段时间的朋友,都是以为信息刺探并不重要。想黑什么主机,抓起工具来找一个IP段一阵狂扫21SerU(北风卷地@#$%^&*)然后发现溢出漏洞——入侵。
汗!真的让你渗透的时候有那么容易么?
我们不是渗透"漏洞",而是渗透"主机"
成段的扫描某个漏洞,然后谁有洞进谁,礡i婧湍阌谐鸬娜死戳耍慊鼓苌ㄒ欢蚊矗
简直是错误思想!冰血封情技术其实不怎么样,和13K、Sagi……他们没法儿比,但是经验还是有那么一点点儿的,就分享一下吧。
今天我们就用一台网络php主机为例子来说明一下网络安全中“踩点”的重要性以及怎么样踩点(小偷的说),咱们选的主机不见得多安全,但是我只是授人与渔。其实踩点往往是最容易忽略的网络渗透的第一步。如果第一步走好,将会为后面的安全检测或者是入侵渗透提供良好的理论指引。
在很多人眼里unix+php是比较安全的。那么我们怎么样为了进入一台php机而搜集前期信息呢?正好最近有一个设计站点得罪了偶妹妹萌萌,那不客气了。正好用它做例子给大家讲讲。话不多说,开始。
透目标(化名):
www.target.com
一、 信息搜集过程:
1、 知道地址
pingwww.target.com
Pingingwww.target.com[***.***.***.***]with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor***.***.***.***:
Packets:Sent=4,Received=0,Lost=4(100%loss),
Requesttimedout.告诉我们什么了呢
以前我在一篇文章中提到过这种情况意味着什么
1对方主机真的不在线,所以没办法回应。
2方主机安装了防火墙,屏蔽了ICMP报文,不反馈echo数据包。
3对方在注册表中进行了安全设置,不回复ICMP报文。
4对方在IPsec中拒绝了
ping。
当然,其实意义是一样的,我只是强硬分开来罢了。以上是在对另外一篇文章的推断中写的,当时对方是IIS的机器。
当知道ip后我们就可以进一步的进行信息刺探,有人想用telnet了?呵,还不至于,弄清楚问题再说。
2、 查询地址
ip.hackway.net可以在线查
您的查询结果是:广东省广州市
相关IP段信息***.***.***.***-***.***.***.***广东省广州市
如图1
现在我们可以知道站点是服务器放在广州的(废话)
很多人觉得查询地址并不重要,这点我就不同意,做为对一个比较重视的安全主机的渗透,是很有必要知道他的地址的,如果出在大城市或者是省会,那么本身的站点的空间商就有可能是比较有后台的,那么渗透中就要把握尺度,避免一失足成千古恨。当然不排除本身这个老板也是个把主机放在N远的地方托管的人。但是多少对我的搜集后期信息会有帮助的。帮助体现在哪?后面我会告诉你的。
3、 下面我们在IP中直接输入
http://***.***.***.***/
回车后访问,弹出一个窗口。
phpMyAdminrunningonlocalhost-1002
的密码输入登录框。图图2取消后页面无法访问。提示:
WelcometophpMyAdmin2.5.0-rc2
Wrongusername/password.Accessdenied.
如图3
站点上很明显显示站长是北京的。好了,基本可以敲定是托管空间。
这里我们记下一个信息就是:phpMyAdmin2.5.0-rc2
什么什么?说没看见,要是我徒弟我就给你一掌?一晃而过的信息都要用很敏锐的眼光抓住并且记录下来。其实第一遍搜集资料的时候我也没注意到这个信息(注意我不是只踩一次点的),事实证明我忽略了一个重要的信息,后面就知道了。
4、 开始进一步刺探主机信息
telnet***.***.***.***80回车
在没回显的情况下输入get得到的结果乱七八糟图4。好象有点敏感资料,但是看的不是很清楚。
哈哈,再来,拿出事先准备好的nc(不认识?我不会给你解释的)
nc-vv***.***.***.***80
ip:inversehostlookupfailed:h_errno11004:NO_DATA
(UNKNOWN)[ip]80(http)open
get
getto/notsupported.
Invalidmethodinrequestget
图5
看见上面了么,知道NC的威力了吧,我来来总结一下这里暴露了几个信息。
暴露了Apache/1.3.29这个敏感信息,很轻松确定了对方的系统基本是Unix类的主机。哟哟这个先不着急。但是记住了Apache/1.3.29这个信息(让你记住的都要记住,后面要总结的)。
现在看看这个xxx.xxx.net是个什么东西(当然不叫xxx拉我修改拉)。输入看看?原来是空间商的服务主页转向到了www.xxxx.cn。没劲,暂时不
管。
旁白:Xuanliang[EST]在一旁凶神恶煞的说还不用扫描器!
不急。不急:)用扫描器的时候还早哩。
推断:既然是托管?嘿,那就应该是个主机,至少提供ftp啥的。再来:
nc-vv***.***.***.***21
220ProFTPD1.2.9rc1Server(ProFTPDDefaultInstallation)[bj1.xxxx.cn]
如图6
看看这些信息吧ProFTPD1.2.9rc1也要记下来。bj1.xxxx.cn原来是和www.xxxx.cn一样的页面。估计是不同的主机,那就不是我们这次的对象就不管了。
5、 下面我们转向页面信息的搜索
也许有人觉得必要?呵……错了,后面会说为什么那么必要。先去空间商人的服务页看看。
发觉没?目前我们都还没提到过我要黑的那个www.target.com站。这叫发散性信息搜索,就是从周边尽可能的外围搜集主机的情报。可是我独创的词哦(真是欠扁哪.....)
浏览了一下空间商提供服务的web中的bbs。服务商的论坛上竟然还有几个黑道兄弟在发帖?还有我认识的。看来这个商人还知道养几个Hacker来撑门面啊?
这里我们分析出来了一个问题:主机安全管理员可能是比较精细的一个人,至少我如果能进入必须要在Ri志上多做工夫。避免被追查。
现在终于可以看看那个白痴的页www.target.com
PoweredbyDiscuz!3.1(c)2002
看来不是那么简单的问题?Discuz口碑不错,但是现在看来却不那么好,刚暴露漏洞,但是这坛子的板式和服务都怎么看怎么怪。看来要社会工程学了。注册该站点,看见一个mm。泡她,(007的惯用招)。她说那个站是假冒Discuz!3.1的标识的,因为商业版本没免费的云云。想起偶妹妹也说过,@#$%^&*其实我也没听明白。其实这个站也不大,就是一个论坛,两个美工的版本,然后姑且算它是2.0的免费版。回头如果不对再推翻这个假设。
注意:
在给一些大站踩点的时候他们用的都是自己的服务器,比如:浩方我就玩过(别误会,游戏我可一窍不通)。我都会把他的版权信息,站点地图,公司的联系方式,友情连接……这类在页角上最不容易被发现的重要的信息都看一遍,并做好记录。为什么看这里呢?我们通过一个站点的友情连接就能知道他的站点后台合作伙伴,比如浩方的友情连接里就有上海电信,不用想就是上海的主机最可能了,而且和电信关系非常。
因为我们做任何事情每一步都要慎重,更何况是渗透一些性质特殊的网络主机,国内国外都一样。
大凡企图渗透大型安全性高的站点、中等以上的商业站点、国外G0vernment机关站点、电信相关的站点、国内的顶级安全公司等,如果一失足就进去坐牢了。牢底坐穿的!当然授权安全检测另当别论。
6、 现在非扫描性主机信息刺探就告一段落了
终于开始使用扫描软件做全方
位的扫描。看见没?现在才用扫描器,那些不用大脑上来就扫的人哪……我汗。
SuperScan3(用4?不。只是想要端口扫描而已,3就够了。)
X-Scan2.3(这小子真落后!再汗,我这可不是普通的2.3啊。想要?问土豆要)
首先SuperScan3全部完成1-65535。只开了三个端口。扫描信息如下:
+***.***.***.***
|___ 21FileTransferProtocol[Control]
|___220ProFTPD1.2.9rc1Server(ProFTPDDefaultInstallation)[bj1.xxxx.cn]..
|___ 22SSHRemoteLoginProtocol
|___SSH-1.99-OpenSSH_3.5p1FreeBSD-20030201.
|___ 80WorldWideWebHTTP
|___HTTP/1.1302Found..Date:Mon,17May200405:25:25GMT..Server:Apache/1.3.29(Unix)mod_gzip/1.3.26.1amod_watch/3.17PHP/4.3
从这里看安全级别好象很高。立刻就下结论么?不,什么问题都不要过早定论,我们现在只是搜集信息,还没到收集漏洞和相关资料的阶段呢。
X-Scan2.3上,扫描模块针对unix进行修改(知道前期刺探有用了吧),不要route信息(还记得前面让你找地址是广州的么?大脑里要有张PRC的DNS图,记忆不下来自己再去找来多看看),不要port刺探(刚Superscan3扫过,时间是很宝贵的)。
关于扫描器的配置不在我们所谈的话题内,自己研究去,开扫……一会儿。结果出来了,是无任何结果。真的,就是无任何结果(别以为我没选择无条件扫描),呵……很有意思的,感觉到挑战了哦。现在信息搜集部分我们基本完成了。xscan竟然没帮上忙,心理很不舒服。
那么现在我们需要总结一下我们搜集到的信息了(前面我叫大家记下的):
1.Apache/1.3.29
2.ProFTPD1.2.9rc1
3.Discuz!
4.SSH-1.99-OpenSSH_3.5p1
5.phpMyAdmin2.5.0-rc2
看看吧,这么少的端口的主机,竟然暴露了5条关键信息(什么什么,太少?大哥这已经很多了。你以为是黑蜂窝煤哪,全是眼儿?),现在您应该问问自己是否有象我这样搜索一个站点的信息,这就是整个过程最关键的,后面搜索资料谁都会。当然这么慎重对一个站点进行分析,前提是比较敏感的站点这里我已经一再强调了。现在我们进入下一个环节。
二、资料搜索过程:
我们使用一些很棒的两个搜索站点进行资料搜索。
第一个就是传说中的世界搜索大王www.google.com
第二个就是我比较喜欢用来搜索国外资料的站点www.alltheweb.com(不知道为什么突然访问不了了)
第三个是安全飞人SQL大哥推荐的国外安全站点www.securiteam.com(真的很棒)
我们在这些站点里,都以以上的总结信息文字+“漏洞”两个字搜索资料,然后变换关键字长度。比如我要搜索phpMyAdmin2.5.0-rc2的漏洞:
那么我首先输入“phpMyAdmin2.5.0-rc2漏洞”搜索到一部分,但是实在太少了。这样我们得减小搜索关键词。修改成“phpMyAdmin漏洞”搜索到很多很多的资料,然后人工选择我们需
要的版本。
这样来来回回几次,我们得到了海量般的漏洞资料、报告、攻击代码和攻击程序。可见这5条信息带给我们的已经是等比数列般增长的信息了。当然这不是一个高安全站点,在所有的站点中充顶算中高级,要是在uinx类的站点里,算是中低级的了,也难关有那么多黑界朋友用他的服务器。
先面我把收集到的信息举例(全部资料已经打包E给X了):
1:80端口上Apache/1.3.29存RemoteRoot安全问题Exploits
http://www.eviloctal.com/forum/show.asp?id=225&bd=30&totable=1
2:21端口上ProFTPD1.2.9rc1存在RemoteRoot安全问题Exploits
http://www.eviloctal.com/forum/show.asp?id=226&bd=30&totable=1
3:Discuz存在跨站、Cookies、消息未限等安全问题Exploits(说最新的)
http://bbs.gliet.edu.cn/bbs/index.php?showtopic=22550
4:phpMyAdmin2.5.0-rc2存在密码明文并有可能被直接url读取问题
http://forum.hackway.net/index.php?showtopic=6211
搜集到最全的资料,其实这里就离真正的攻击就只差一步了。至于正式的渗透,我都还没做呢,等考完试有时间再写吧。这个站是我真的想黑的,所以知道内情的兄弟就不要泄露了。
三、最终总结
这样,一次入侵前的踩点就完成了。其实它并不全面,因为各个主机的情况是不同的,也许你还需要到大公司的垃圾堆去翻资料找信息,总之只是一个方面,给大家展示引导一下而已。全文完。
PS:另外说一个问题:
angel那里有一份资料的《Discuz论坛短消息未发送次数漏洞》http://www.4ngel.net/showarticle.php?id=15但这分资料有个地方写的不太对,这里指出来一下。问题出在C函数上。文中这一小段:
Copycode
#include main() { inti; for(i=0;i<55933;i++) { printf("\ www.xxx.com/discuz/pm.php?action=send&pmsubmit=submit&msgto=angel&subject=test&message=test下载本文
