较高安全级别主机的渗透 之 序幕篇 - 谷普下载┆┆┆┆┆站内软件文章
| 当前位置： →
→ 较高安全级别主机的渗透 之 序幕篇编辑：佚名　来源：本站整理　更新： 01:18:10分享到空间：
几个月前在《黑客X档案》发的文章 为了照顾X的生意 所以现在才发出来....现在可以下了：）文章很简单 但是很详细 很适合刚入手 有些技术但是缺少经验的菜鸟阅读....EST的论坛关闭了所有组成员的上传权限 所以 如果要有图的文章 请到文章最后的连接去下...
前言：这是《网络安全较高安全级别主机的渗透》系列文章中的第一篇，有空继续往下写。对一台主机的渗透我把他划分了：序幕、渗透、尾声三个阶段。顾名思义，序幕就是入侵前的信息刺探了。怎么样做到全面和精细，可是很有重要意义的，特别是对后面的渗透起着关键的辅助作用。
很多朋友，甚至包括有些踏入黑界有一段时间的朋友，都是以为信息刺探并不重要。想黑什么主机，抓起工具来找一个IP段一阵狂扫21SerU(北风卷地@#$%^&*) 然后发现溢出漏洞——入侵。汗！真的让你渗透的时候有那么容易么？我们不是渗透"漏洞"，而是渗透"主机"成段的扫描某个漏洞，然后谁有洞进谁，等真和你有仇的人来了，你还能扫一段么？简直是错误思想！冰血封情技术其实不怎么样，和13K、Sagi……他们没法儿比，但是经验还是有那么一点点儿的，就分享一下吧。今天我们就用一台网络php主机为例子来说明一下网络安全中“踩点”的重要性以及怎么样踩点(小偷的说)，咱们选的主机不见得多安全，但是我只是授人与渔。其实踩点往往是最容易忽略的网络渗透的第一步。如果第一步走好，将会为后面的安全检测或者是入侵渗透提供良好的理论指引。
在很多人眼里unix+php是比较安全的。那么我们怎么样为了进入一台php机而搜集前期信息呢？正好最近有一个设计站点得罪了偶妹妹萌萌，那不客气了。正好用它做例子给大家讲讲。话不多说，开始。透目标(化名)：/
一、&&&& 信息搜集过程：1、&&&& 知道地址ping /Pinging / [***.***.***.***] with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.
Ping statistics for ***.***.***.***:& Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),Request timed out.告诉我们什么了呢以前我在一篇文章中提到过这种情况意味着什么1对方主机真的不在线，所以没办法回应。2方主机***了防火墙，屏蔽了ICMP报文，不反馈echo数据包。3对方在注册表中进行了安全设置，不回复ICMP报文。4对方在IPsec中拒绝了ping。当然，其实意义是一样的，我只是强硬分开来罢了。以上是在对另外一篇文章的推断中写的，当时对方是IIS的机器。当知道ip后我们就可以进一步的进行信息刺探，有人想用telnet了？呵，还不至于，弄清楚问题再说。2、&&&& 查询地址ip.hackway.net可以在线查您的查询结果是：广东省 广州市相关IP段信息 ***.***.***.*** － ***.***.***.*** 广东省 广州市现在我们可以知道站点是服务器放在广州的(废话)很多人觉得查询地址并不重要，这点我就不同意，做为对一个比较重视的安全主机的渗透，是很有必要知道他的地址的，如果出在大城市或者是省会，那么本身的站点的空间商就有可能是比较有后台的，那么渗透中就要把握尺度，避免一失足成千古恨。当然不排除本身这个老板也是个把主机放在N远的地方托管的人。但是多少对我的搜集后期信息会有帮助的。帮助体现在哪？后面我会告诉你的。3、&&&& 下面我们在IP中直接输入http://***.***.***.***/回车后访问，弹出一个窗口。phpMyAdmin running on localhost-1002的密码输入登录框。图图2取消后页面无法访问。提示：Welcome to phpMyAdmin 2.5.0-rc2Wrong username/password. Access denied.站点上很明显显示站长是北京的。好了，基本可以敲定是托管空间。这里我们记下一个信息就是：phpMyAdmin 2.5.0-rc2什么什么？说没看见，要是我徒弟我就给你一掌？一晃而过的信息都要用很敏锐的眼光抓住并且记录下来。其实第一遍搜集资料的时候我也没注意到这个信息(注意我不是只踩一次点的)，事实证明我忽略了一个重要的信息，后面就知道了。4、&&&& 开始进一步刺探主机信息telnet ***.***.***.*** 80回车在没回显的情况下输入get得到的结果乱七八糟图4。好象有点敏感资料，但是看的不是很清楚。哈哈，再来，拿出事先准备好的nc(不认识？我不会给你解释的)nc -vv ***.***.***.*** 80ip: inverse host lookup failed: h_errno 11004: NO_DATA(UNKNOWN) [ip] 80 (http) openget&!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"&&HTML&&HEAD&&TITLE&501 Method Not Implemented&/TITLE&&/HEAD&&BODY&&H1&Method Not Implemented&/H1&get to / not supported.&P&Invalid method in request get&P&&HR&&ADDRESS&Apache/1.3.29 Server at xxx.xxx.net Port 80&/ADDRESS&&/BODY&&/HTML&看见上面了么，知道NC的威力了吧，我来来总结一下这里暴露了几个信息。暴露了Apache/1.3.29这个敏感信息，很轻松确定了对方的系统基本是Unix类的主机。哟哟这个先不着急。但是记住了Apache/1.3.29这个信息(让你记住的都要记住，后面要总结的)。现在看看这个xxx.xxx.net是个什么东西(当然不叫xxx拉 我修改拉)。输入看看？原来是空间商的服务主页转向到了/。没劲，暂时不管。
旁白：Xuanliang[EST]在一旁凶神恶煞的说 还不用扫描器！
不急。不急：）用扫描器的时候还早哩。推断：既然是托管？嘿，那就应该是个主机，至少提供ftp啥的。再来：nc -vv ***.***.***.*** 21220 ProFTPD 1.2.9rc1 Server (ProFTPD Default Installation) []看看这些信息吧ProFTPD 1.2.9rc1 也要记下来。原来是和/ 一样的页面。估计是不同的主机，那就不是我们这次的对象就不管了。5、&&&& 下面我们转向页面信息的搜索也许有人觉得必要？呵……错了，后面会说为什么那么必要。先去空间商人的服务页看看。发觉没？目前我们都还没提到过我要黑的那个/站。这叫发散性信息搜索，就是从周边尽可能的外围搜集主机的情报。可是我独创的词哦(真是欠扁哪.....)浏览了一下空间商提供服务的web中的bbs。服务商的论坛上竟然还有几个黑道兄弟在发帖？还有我认识的。看来这个商人还知道养几个Hacker来撑门面啊？这里我们分析出来了一个问题：主机安全管理员可能是比较精细的一个人，至少我如果能进入必须要在日志上多做工夫。避免被追查。
现在终于可以看看那个白痴的页/Powered by Discuz! 3.1 ? 2002 看来不是那么简单的问题？Discuz口碑不错，但是现在看来却不那么好，刚暴露漏洞，但是这坛子的板式和服务都怎么看怎么怪。看来要社会工程学了。注册该站点，看见一个mm。泡她，(007的惯用招)。她说那个站是假冒Discuz! 3.1的标识的，因为商业版本没免费的云云。想起偶妹妹也说过，@#$%^&*其实我也没听明白。其实这个站也不大，就是一个论坛，两个美工的版本，然后姑且算它是2.0的免费版。回头如果不对再推翻这个假设。
注意：在给一些大站踩点的时候他们用的都是自己的服务器，比如：浩方我就玩过(别误会，游戏我可一窍不通)。我都会把他的版权信息，站点地图，公司的联系方式，友情连接……这类在页角上最不容易被发现的重要的信息都看一遍，并做好记录。为什么看这里呢？我们通过一个站点的友情连接就能知道他的站点后台合作伙伴，比如浩方的友情连接里就有上海电信，不用想就是上海的主机最可能了，而且和电信关系非常。因为我们做任何事情每一步都要慎重，更何况是渗透一些性质特殊的网络主机，国内国外都一样。大凡企图渗透大型安全性高的站点、中等以上的商业站点、国外政府机关站点、电信相关的站点、国内的顶级安全公司等，如果一失足就进去坐牢了。牢底坐穿的！当然授权安全检测另当别论。
6、&&&& 现在非扫描性主机信息刺探就告一段落了终于开始使用扫描软件做全方位的扫描。看见没？现在才用扫描器，那些不用大脑上来就扫的人哪……我汗。SuperScan3(用4？不。只是想要端口扫描而已，3就够了。)X-Scan2.3(这小子真落后！再汗，我这可不是普通的2.3啊。想要？问土豆要)首先SuperScan3全部完成1-65535。只开了三个端口。扫描信息如下：+ ***.***.***.***|___&& 21 File Transfer Protocol [Control]|___ 220 ProFTPD 1.2.9rc1 Server (ProFTPD Default Installation) []..|___&& 22 SSH Remote Login Protocol|___ SSH-1.99-OpenSSH_3.5p1 FreeBSD-.|___&& 80 World Wide Web HTTP|___ HTTP/1.1 302 Found..Date: Mon, 17 May :25 GMT..Server: Apache/1.3.29 (Unix) mod_gzip/1.3.26.1a mod_watch/3.17 PHP/4.3从这里看安全级别好象很高。立刻就下结论么？不，什么问题都不要过早定论，我们现在只是搜集信息，还没到收集漏洞和相关资料的阶段呢。
X-Scan2.3上，扫描模块针对unix进行修改(知道前期刺探有用了吧)，不要route信息(还记得前面让你找地址是广州的么？大脑里要有张中国的DNS图，记忆不下来自己再去找来多看看)，不要port刺探(刚Superscan3扫过，时间是很宝贵的)。关于扫描器的配置不在我们所谈的话题内，自己研究去，开扫……一会儿。结果出来了，是无任何结果。真的，就是无任何结果(别以为我没选择无条件扫描)，呵……很有意思的，感觉到挑战了哦。现在信息搜集部分我们基本完成了。xscan竟然没帮上忙，心理很不舒服。
那么现在我们需要总结一下我们搜集到的信息了(前面我叫大家记下的)： 二、资料搜索过程：我们使用一些很棒的两个搜索站点进行资料搜索。第一个就是传说中的世界搜索大王/第二个就是我比较喜欢用来搜索国外资料的站点/(不知道为什么突然访问不了了)第三个是安全飞人SQL大哥推荐的国外安全站点/(真的很棒)我们在这些站点里，都以以上的总结信息文字+“漏洞”两个字搜索资料，然后变换关键字长度。比如我要搜索phpMyAdmin 2.5.0-rc2的漏洞：那么我首先输入“phpMyAdmin 2.5.0-rc2 漏洞”搜索到一部分，但是实在太少了。这样我们得减小搜索关键词。修改成“phpMyAdmin 漏洞”搜索到很多很多的资料，然后人工选择我们需要的版本。这样来来回回几次，我们得到了海量般的漏洞资料、报告、攻击代码和攻击程序。可见这5条信息带给我们的已经是等比数列般增长的信息了。当然这不是一个高安全站点，在所有的站点中充顶算中高级，要是在uinx类的站点里，算是中低级的了，也难关有那么多黑界朋友用他的服务器。先面我把收集到的信息举例(全部资料已经打包E给X了)： 三、最终总结这样，一次入侵前的踩点就完成了。其实它并不全面，因为各个主机的情况是不同的，也许你还需要到大公司的垃圾堆去翻资料找信息，总之只是一个方面，给大家展示引导一下而已。全文完。PS：另外说一个问题：angel那里有一份资料的《Discuz论坛短消息未限制发送次数漏洞》http://www.4ngel.net/showarticle.php?id=15但这分资料有个地方写的不太对，这里指出来一下。问题出在C函数上。文中这一小段：
#include&stdio.h&main(){for(i=0;i&55933;i++){printf("\/discuz/pm.php?action=send&pmsubmit=submit&msgto=angel&subject=test&message=test",i);}}小人我是在TC下编译的，有三个错误。1、main做为主函数少一return；2、55933可能是vc下的最大值，我没试，但是tc下不行；3、函数中变量i在printf的格式化中不起作用了；修改为：
#include&stdio.h&void main(){for(i=0;i&3000;i++){printf("&a href="/pm.php?action=send&pmsubmit=submit&msgto=10000&subject=%d&message=ilovecat" target=_blank&/pm.php?action=send&pmsubmit=submit&msgto=10000&subject=%d&message=ilovecat&/a&",i);}}
tc下编译通过了。现在我在该论坛上注册一个叫10000的帐号就可以用它生成Cgi列表刷了。这个是老漏洞了自己看X去复习吧。欢迎来到我们 邪恶八进制 技术论坛逛逛 地址么....嘿嘿....自己找：）找不到的话 那你只好去http://www.bbnl.org/灌水了...
[] []文章栏目导航 |
按字母检索：
按声母检索：
站内网页 |
| CopyRight(c)2007-
谷普下载 All Rights Reserved.