我要评论寻找漏洞
我们找到一个目标。首先用工具扫描了一下,显示没有注入点,用webtool只扫到了后台,也没发现社区程序,看来从网站下手不太可能了。再来看下系统的安全性怎么样,从iis写权限扫描器的结果看不存在iis写入漏洞,用superscan刺探端口信息,如图1所示,居然开了3389。利用远程终端登录一下得知系统是windows 2003系统,现在基本可以确定服务器的构架了:windows 2003 iis6.0 mssql asp。
再用极速mssql弱口令扫描器,挂上字典后开始扫描,过了几分钟扫描到了弱口令!,拿下服务器有一丝丝希望了,再拿出mssql连接器连接,连接成功。在mssql的中cmd中利用dir命令找到了web目录,执行echo “”>>c:\"program files"\viewgood\webvod\webmedia\test.asp,建了一个一句话木马,断开连接,用一句话客户端连接,成功进入,可以浏览几乎所有文件,但很多目录没有写权限。查看了系统服务和端口,由于安装的东西太少了,没有serv-u、pcanywhere、radmin等,提权又变得有点困难了。
成功入侵
在c:\inetpub\下发现了ntpass.dll,这正是goldsun写的记录系统登录密码的文件。来到这个程序记录信息存放的位置%systemroot%\system32\eulagold.txt(%systemroot%指系统目录,这里就该是c:\windows),用刚才的权限打开,发现里面记录了很多用户的登录密码,其中还有guest用户,利用3389端口登录,得到桌面权限了。
部署细节
这次的入侵看似更多的是运气,可仔细分析一下还是比较有价值的,尤其是对于用户对于服务器的安全部署很有借鉴意义。大体有以下几点:
1.弱口令的防范
2.服务器文件的常规检测
3.对于用户的把控,尤其是视频服务器会提供web形式的会员形式,查看异常会员情况。
4.必要端口的封锁
发表评论