Skip to main content
 首页 » 信息安全

2015意外入侵IDC手记

2015年04月28日27221

2015年一次意外的入侵了辽宁华诺东方科技有限公司多台服务器

本次入侵纯属意外,非有意而为,为本次入侵照成的经济损失,表示抱歉!

某日意外搜索了xxx机械(因为本人之前的公司就是机械公司),点开了一个站点,这站点是一个综合性的站点,有会员注册、登录、后台发布信息等等功能!于是我随便注册了一个帐号,看了一眼。

发现以下几点问题:

1、注册的新号能直接发布需求.

2、发布需求中可上传图片

3、上传文件没有做类型过滤(严重)

   我开始以为只能上传图片格式的文件,但是我还是测试了一下asp、php等文件,结果都是能上传的(这个写网站的作者,你的安全意识哪里去了。。)。然后我直接上一句话,发现菜刀连接不了

caidao.png

很明显,被360主机卫士拦截了。。

然后我就直接上传了大马

shelllogin.png

然后上传了一个黑页在网站根目录下,希望管理员能发现网站存在漏洞。但是。。。至今黑页还在,漏洞还在。。。曾试着给网站打电话,但因网站上留下的号码不是网站主办方的,所以也就不了了之了。

55.png

从大马的文件管理看的出来,这个服务器有55个网站。

netuser.png

当我看到cctvadmin的时候,有点吓倒了。。。不会查水表吧。。。尼玛,我可不想进去啊!!!

可我还是试着建立帐号

adduser.png

不给我机会。。。 好吧! 我找机会。。。

在网站目录下翻到了web.config 这里会存放一些数据库的信息

sasql.png

果然没有让我失望。。。sa的帐号密码都有。。赶紧试试。。

fliad.png结果这是一个坑。。 另一个帐号能登录,但是权限被限制,而且各种慢。。 有点受不了了。。

因为服务器是server2003的,所以想试试提权工具。本人小菜,至于提权这么高深的东西,只可远观而不可亵玩焉。。好吧!话说好久以前就有什么Churrasco.exe、pr.exe、2003内核溢出.exe。这么多年了 也不知道对这2003的服务器能不能拿得下。。 (至于工具的作者我了解甚少,我也就只管使用了)

因服务器无法使用上传,所以我把工具传到网上,再用大马的下载功能,把文件下载到服务器,执行命令的时候,报错了。。貌似是被杀了。翻了一下服务器的目录,360  万恶的360全套。。杀毒+安全卫士+主机卫士。。好吧!看似很牛逼的样子。。

既然是被杀了。。那么就必须要把工具免杀了。。 本人一直不喜欢装360的软件。。 偶尔可能会用360急救箱。。

没办法,上虚拟机,装360全套。 虽然这些工具比较老,但是也没有杀的很死。。 所以免杀就轻松的搞定。。 360都不杀了。 而且没有损坏功能。。 

密码强度不够.bmp

好吧!限制了密码的强度。。

建立帐号.bmp

帐号OK.bmp

再查看一下远程端口是什么,这个大马自带查看系统信息的功能,不过也可以执行命令来查询

远程端口.bmp

直接远程桌面连上去。。

远程登录.bmp

这个加载的画面等了10多分钟,一直没看到桌面显示。。。我无语了。。查了一下IP地址

北京 XXIDC 联通。。无语。。无语。。

在我耐心等待后,桌面终于出现了。。

3389.bmp

至此,服务器已拿到。。 

后来翻阅服务器的文件时,发现主目录下面有一个flashfxp.rar ,然后我下载了flashfxp.rar文件,打开后,发现flashfxp里保存了好几个ftp的信息,不同服务器的FTP。。发现里面都是几十个站点。。

我又打算继续搞一下其他的服务器。。

ftp.png

这样就不需要找什么网站漏洞了。。直接FTP传一个大马。提权。

好几个站就一个win7没有成功,其余2003的都拿下了。。

其他站的过程就不阐述了,后来发现这个服务器是一个叫辽宁华诺东方科技有限公司的

服务器上存放了一些关于他们一些后台明细,从后台明细里面看到了好多他们一些代理帐号等等

专业马赛克.bmp

专注马赛克20年,效果杠杠滴。。

消费.bmp

后来我通过其中的代理帐号消费了200多元购买了一个主机试试。。因为消费金额是绑定手机的。所以很快,他们就改密码了。。

总结:

1:服务器未限制wscript.shell组件,能执行cmd命令

解决方法:禁用wscript.shell组件

反注册 wshom.ocx  shell32.dll

regsvr32/u C:\windows\System32\wshom.ocx

regsvr32/u C:\windows\System32\shell32.dll


2:服务器的任意文件遍历,这个在文件夹的权限上设置。

权限删除everyone

取消users的所有权限

IIS来宾账户只留读取+写入


3:规范网站目录,不要将重要的数据都放到网站目录下,只要一个网站沦陷,你的其他数据就能被获取。


以上三点仅对东方华诺科技有限公司。


希望各种私自搭建也好还是公司架设的虚拟主机,请做好安全防护。


20150428   By:Arvin

评论列表1条评论
尐憶
尐憶回复 来个免杀的巴西烤肉 或者IIS6 发邮箱 wenkissyan@vip.qq.com 或者来我的博客
发表评论
新浪微博
微信