| 篇一:独霸肉鸡篇 写在文章之前: 很早之前在我们灰色轨迹我就写过利用QQIP补丁盗取他人肉鸡~ 呵呵,没想到引起了大家对于肉鸡安全问题的讨论~ 前几天检查我仅有的几台3389时,发现有一台被一位同行进去了~(p.s:之前我没有打补丁~呵呵,因为不怎么用这台)本来,资源共享是应该的,但当我登陆后检查发现……他居然在上面放了一个DDOS的扫描器,流光4.7,x-scan…… 他这样搞,这台机很快就报废了~(特别是DDOS的工具,有点看不惯)所以,我决定暂时忘掉所谓的“黑客精神”-----自由与共享… 开始为此鸡捉虫… 正文部分: 首先使用x-scan1.3对这台肉鸡进行全方位扫描~等了一会结果出来了,原来是SQL空密码…… 这个简单,方法有二~ No.1 : 利用3389登陆上去,修改SA密码~ 如下图: 图1.  图2.  图3.  这样就可以修改掉了SA的空密码~ P.s: 相信很多人都用的这个方法,其实这只是个治标不治本的方法~ 我以前也这样用~但自从看了老姐的帖子后…… No.2 :此方法完全出自“似水骄阳”在灰色的一篇帖子~这里就照抄一下吧~算作个整理,希望老姐也不要介意~ :) 去除SA的xp_cmdshell权限 www.sandflee.net 2002-5-20 灰色轨迹 当大家从SA为空密码入侵得到一台服务器的时候,如果你不想在被其他的人入侵(自私)那么应该是首先更改SA的密码,然后在做其他的安全设置。可是当你辛辛苦苦的把安全都做的很好的时候,几天之后你发现SA的密码又为空:( 哈哈,是不是很生气?难道SA会自己把密码改回来?那当然不是了,是因为一般的网站采用的是ASP SQL架设而成的,所以你改了他的SA密码,那么就导致他的网站无法运行了。那么有的很懒的管理员才不去想那些事情,直接把SA的密码在改为空。很气人吧?我就碰到过这样的问题,我改掉密码后,管理员第2天准的又改为空,让你哭笑不得,其实我想管理员也是哭笑不得了,干吗老改我的SA密码啊?你能有更好的办法告诉管理员么? 倒了半天的苦水,还是开始如何去除SA的CMDshell了:) 选择 开始——程序——Microsoft SQL Server——查寻分析器(Query Analyzer)如图:  然后你可以看到如下面的这个窗口:  第一项让你添写SQL的服务器地址,因为我是在自己的机器上测试的,所以就在SQL SERVER:那里写127.0.0.1 在看下面的连接使用(Connection Information): 第一项:Windows身份验证(Use Windows NT authentication) 第二项:SQL Server身份验证(Use SQL Server authentication) 因为我是在本地操作,所以选择第一项,当然你选择第二项也可以,(注:如果你是3389控制操作那么直接选择第一项就可以省略输入SA和密码验证这一步)然后按确定(OK)即可看到下面的窗口如图:  然后在那个查询的窗口中输入:if exists (select * from dbo.sysobjects where id = object_id(N’[dbo].[xp_cmdshell]’) and OBJECTPROPERTY(id, N’IsExtendedProc’) = 1) exec sp_dropextendedproc N’[dbo].[xp_cmdshell]’ GO 然后按F5键命令执行完毕。然后关闭SQL查询器是问你是否要保存,你选择不保存退出。然后你在用SQL的客户端或者流光自带的SQL连接上去看看,执行NET命令看看,如图:  到此SA的CMDSHELL权限就被去除了,当然你也不可以在使用SA作为后门了:( 以上测试在SQL7.0与SQL2000版本中通过 这下即使别人得到SA的密码也不能执行NET命令了,是不是不用担心了?可是我在告诉你哦,既然可以去除SA执行CMDSHELL权限,当然就可以在恢复SA可以执行CMDSHELL权限了,恢复SA的CMDSHELL权限也测试成功,只是SQL7.0和SQL2000版本使用的命令不一样。在这里我就不写出来了,有兴趣的朋友可以自己测试。 在学习过程中WAWA和沙子给了我很大的帮助,在这里向你们俩真心的感谢并附言:快点找GF呀,呵呵!~ 补充: 其实在SQL中存储扩展很多,但是基本上不会用到xp_cmdshell这个扩展,当然我也是根据SQL的联机手册看的,所以才确定xp_cmdshell删除后不会造成影响。采用SQL ASP的结构如果他是在安装SQL时候选择混合式那么就得使用密码验证,在SQL7.0中SA的默认密码为空,有的管理员不了解安全问题为了方便所以就使用空密码,那么使用密码验证都会有一个global.asa文件,也就是数据库验证文件,在那个文件中你可以找到以下这一句: Application("strConn_Comm") = "Provider=SQLOLEDB.1;Password=123;Persist Security Info=True;User ID=sa;Initial Catalog=DBJobs;Data Source=211.***.***.***;Connect Timeout=15" Application("strConn_Manage") = "Provider=SQLOLEDB.1;Password=123;Persist Security Info=True;User ID=sa;Initial Catalog=DBJobs;Data Source=211.***.***.***;Connect Timeout=15" Application("strServerIP")="211.***.***.***" 从以上的连接语句中我们可以看出SA的密码为123如果SA的密码被改了,那么除非你在这个文件里把password的值改成SA的密码一样,否则他的网站遍出现ODBC数据错误,global.asa多少行多少行错误。就像有的朋友在问为何SA的密码设置的很强壮但是流光却还是可以把SA的密码扫出来?那么现在大家应该明白流光为何可以把那些很复杂的密码扫出来了,那就是因为文件设置的权限错误导致流光读取了global.asa文件中的数据库连接语句。所以大家如果自己写程序的时候最好不要使用SA来做为验证,可以建立一个普通的用户。如果我们是从SA入侵了,那么如果改掉SA的密码当然也的更改global.asa文件,那么管理员就会发现他的机器被入侵了。(注:以上的SA验证语句只是其中的一个手法,每个程序员所写的连接语句都不一定会一样)以上如果有错误请大家指正。 P.S:精彩吧~我现在还在回味哦~ Ok, Anyway, SQL就谈到这里了~ 回到现实中,那台肉鸡我用了此法~~过滤掉了SQL后门~ 外在的漏洞算是解决了~ 可里面他启用的服务呢? 不急一步一步来。 首先我改掉它的guest账户密码~ 并用此账户登陆……晕ing,他在桌面上放了好多快捷方式~找到X-scan点右健----属性-----看到x-scan存放的位置了吗? 图4  由于X-scan是不用安装的~根据心理学,一般人都是把down下来的工具放好后,直接解压,运行~~ 进到那个目录后~ 呵呵,猜得不错~5,6个东东都在这里~晕,QQ也有…看来很多人又喜欢在肉鸡上用QQ的癖好~ :) Alright, you can delete them if you like~ 再程序里找到流光, Uninstall …… 现在开始最重要的一点了,看看他在上面运行了些什么服务~~~ 图5  好好看看吧~ 往往有很明显的破绽~~一看就知道是被人hacking了~~比如这个: 图6  看到了吗? 从run开始到runnall 除了RunAs Service外全是hacker开的服务~我怎么知道?er, Actually, this is experience … Windows自己的服务一般会是大写字母打头,并有详细的描述~ 当然也不排除一些特殊的正常服务~ 其次,rundll这个windows动态连接库在服务里是看不到的~ 不信看看我的服务列表… 图7  没有吧~ 这就叫做聪明反被聪明误~ 好,我们看看那个runndll究竟是什么东西~ 图8  Control? 这么眼熟~ 好像是流光的sensor~ 看到path了吗?去看看就知道了~ 找到runndll目录…… 图9  认识吗?呵呵~~ 怪不得那么熟~原来真是流光的sensor~ ok… 整个目录del掉吧。 p.s: 看看图8,我先停掉了它的服务,不然不能del~会显示“程序正在使用中,不能删除”之类的话~ 就这样,先查看不是大写字母打头的服务名,再看看那些没有描述的服务名~最后看看你没看到过的服务名~(这个就全靠平时的经验积累了~By the way 很多人问上了3389该干什么?~ 看看人家机器的配置,服务端的启用~ 就能学到很多东西了~~ 呼呼~ 沙子最喜欢干的事情….) 要是有摸不准的服务,就看看他的属性~找到程序path, 去那个目录看看究竟是什么~ 要再不能判断,就算了~不要停错了人家的服务,此地无银三百两… 顺便提一下:snake的skserver做的sock5跳板没有提供更改服务名称的功能,所以当我有时候telnet上一只肉鸡的时候,net start就能看到“Snake SockProxy Service”的字样~这样无疑也曝光了。虽然skserver不提供,但我们可以在“服务”里面修改~ 呵呵。。看这个 图10  只看服务里能不能看出哪个是我装的sock5代理? 呵呵~~ 要做的隐蔽就看看你想不想的到了~ 好啦~ 这样弄下应该也没什么问题了~ 特别注意RemoteNC等程序开的后门~ 这样就可以再不怕别人利用后门改回密码了~~ 然后呢~利用windows的搜索文件功能~搜索sensor, fluxay等等关键字,看看有没有什么漏网之鱼。 弄了大半天,还忘了一件最重要的事~ 开个cmd窗口,我喜欢先用net localgroup administrators 看看什么在admin组里面,再net user看一下~有没有什么加上去的账户~看到什么 hacker, kill, 等等,那就马上删掉他~想都不用想,一定是同行建立的~再把拿不准的账户踢出管理员组,不用怕,要真是管理员建立的,他会把这个账户恢复到管理员组~心理学又来了~首先他会觉得奇怪,然后添加回去~~最多他也就知道被hacking了~但根据中国internet发展现状~那些白痴administrator知道被hacking了也不会做出什么措施~最多装个firewall或者杀毒软件~一点用也没有~ 我遇到过很多,删掉了administrator试探他~结果下次上去的时候administrator倒是恢复了~结果漏洞依旧~~~ 真不明白他们怎么想的~~!! 最后,对于3389的登陆问题: 为了不让一些账号登陆3389~改端口不现实~ 看看我的改法吧~ 比如,我不想让guest用3389~(很多人都利用guest登陆) 图11  本地用户和组----用户-----guest-----属性---------终端服务配置文件 图12  把这个“允许登陆到终端服务器”前面的tick去掉~ 确定…..ok la ~~ 看看,如果用guest的登陆: 图13  这样,他拿到guest账户也上不了3389了~ 现在这台肉鸡的使用权,基本就是你的了~ 针对我的这台肉鸡,这篇文章我只给出了SQL的解决方法以及为管理员做清扫工作~ 这里只起一个穿针引线的目的~希望大家能够自由发挥,开拓自己的思维… 再今后我会陆续写出Unicode, idq 等常见致命漏洞的打补丁方法~~ |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:32 , Processed in 0.233172 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
