2015年一次意外的入侵了辽宁华诺东方科技有限公司多台服务器
本次入侵纯属意外,非有意而为,为本次入侵照成的经济损失,表示抱歉!
某日意外搜索了“xxx机械”(因为本人之前的公司就是机械公司),点开了一个站点,这站点是一个综合性的站点,有会员注册、登录、后台发布信息等等功能!于是我随便注册了一个帐号,看了一眼。
发现以下几点问题:
1、注册的新号能直接发布需求.
2、发布需求中可上传图片
3、上传文件没有做类型过滤(严重)
我开始以为只能上传图片格式的文件,但是我还是测试了一下asp、php等文件,结果都是能上传的(这个写网站的作者,你的安全意识哪里去了。。)。然后我直接上一句话,发现菜刀连接不了
很明显,被360主机卫士拦截了。。
然后我就直接上传了大马
然后上传了一个黑页在网站根目录下,希望管理员能发现网站存在漏洞。但是。。。至今黑页还在,漏洞还在。。。曾试着给网站打电话,但因网站上留下的号码不是网站主办方的,所以也就不了了之了。
从大马的文件管理看的出来,这个服务器有55个网站。
当我看到cctvadmin的时候,有点吓倒了。。。不会查水表吧。。。尼玛,我可不想进去啊!!!
可我还是试着建立帐号
不给我机会。。。 好吧! 我找机会。。。
在网站目录下翻到了web.config 这里会存放一些数据库的信息
果然没有让我失望。。。sa的帐号密码都有。。赶紧试试。。
结果这是一个坑。。 另一个帐号能登录,但是权限被限制,而且各种慢。。 有点受不了了。。
因为服务器是server2003的,所以想试试提权工具。本人小菜,至于提权这么高深的东西,只可远观而不可亵玩焉。。好吧!话说好久以前就有什么Churrasco.exe、pr.exe、2003内核溢出.exe。这么多年了 也不知道对这2003的服务器能不能拿得下。。 (至于工具的作者我了解甚少,我也就只管使用了)
因服务器无法使用上传,所以我把工具传到网上,再用大马的下载功能,把文件下载到服务器,执行命令的时候,报错了。。貌似是被杀了。翻了一下服务器的目录,360 万恶的360全套。。杀毒+安全卫士+主机卫士。。好吧!看似很牛逼的样子。。
既然是被杀了。。那么就必须要把工具免杀了。。 本人一直不喜欢装360的软件。。 偶尔可能会用360急救箱。。
没办法,上虚拟机,装360全套。 虽然这些工具比较老,但是也没有杀的很死。。 所以免杀就轻松的搞定。。 360都不杀了。 而且没有损坏功能。。
好吧!限制了密码的强度。。
再查看一下远程端口是什么,这个大马自带查看系统信息的功能,不过也可以执行命令来查询
直接远程桌面连上去。。
这个加载的画面等了10多分钟,一直没看到桌面显示。。。我无语了。。查了一下IP地址
北京 XXIDC 联通。。无语。。无语。。
在我耐心等待后,桌面终于出现了。。
至此,服务器已拿到。。
后来翻阅服务器的文件时,发现主目录下面有一个flashfxp.rar ,然后我下载了flashfxp.rar文件,打开后,发现flashfxp里保存了好几个ftp的信息,不同服务器的FTP。。发现里面都是几十个站点。。
我又打算继续搞一下其他的服务器。。
这样就不需要找什么网站漏洞了。。直接FTP传一个大马。提权。
好几个站就一个win7没有成功,其余2003的都拿下了。。
其他站的过程就不阐述了,后来发现这个服务器是一个叫辽宁华诺东方科技有限公司的
服务器上存放了一些关于他们一些后台明细,从后台明细里面看到了好多他们一些代理帐号等等
专注马赛克20年,效果杠杠滴。。
后来我通过其中的代理帐号消费了200多元购买了一个主机试试。。因为消费金额是绑定手机的。所以很快,他们就改密码了。。
总结:
1:服务器未限制wscript.shell组件,能执行cmd命令
解决方法:禁用wscript.shell组件
反注册 wshom.ocx shell32.dll
regsvr32/u C:\windows\System32\wshom.ocx
regsvr32/u C:\windows\System32\shell32.dll
2:服务器的任意文件遍历,这个在文件夹的权限上设置。
权限删除everyone
取消users的所有权限
IIS来宾账户只留读取+写入
3:规范网站目录,不要将重要的数据都放到网站目录下,只要一个网站沦陷,你的其他数据就能被获取。
以上三点仅对东方华诺科技有限公司。
希望各种私自搭建也好还是公司架设的虚拟主机,请做好安全防护。
20150428 By:Arvin