Chapter
21
开篇案例—四川某市房管局网站服务器内部网络入侵纪实
2009年4月26日,四川省某市房产管理局网站服务器遭受黑客入侵,其内部网络服务器也相继被入侵,内网机密信息泄露,造成不可估量的损失。更为严重的是,网站网页中被植入恶意木马,致使访问政府站点的用户大量密码、银行账号、股票交易账号、游戏账号,甚至是个人隐私泄露,造成了极为严重的后果。
21.1  案例类型及背景信息
案例类型:网站服务器引发内部网络遭受入侵。
代表网络:四川省某市房产管理局网站及内部网络服务器组。
案例背景介绍:在某市房产管理局网站服务器遭受黑客入这一事件被报道之后,四川《天府早报》记者接到一起电话报料,一神秘女子言辞肯定,直指成都太升北路某公司为“黑客”性质(图21-1)。报料者声称“我们工作在一家成都的公司,我们从事的工作是当黑客,甚至入侵政府网站,为我们自己的网站‘挂马’刷流量!”
图21-1 《天府早报》收到的黑客报料引出房管局入侵案件
记者展开调查发现,这家所谓的网络公司利用黑客入侵技术大量入侵各类网站(包括许多政府网站)进行挂马刷流量等非法操作。由此揭开一些职业黑客公司的非法交易内幕手机小说源码带采集——而某市房产管理局网站服务器及内部网络遭受入侵,只是其中的一个典型案例而已。
21.2  四川省某市房管局网络入侵案例还原
在相关人员协助下,警方还原了黑客入侵攻击某市房产管理局网站(www.**v)及内部网络的整个过程(图21-2)。
21.2.1  目标分析与方案确定
通过扫描网站服务器信息(图21-3),得知网站采用Apache提供Web服务,使用PHP与JSP搭建网站系统程序,网站服务器系统类型为Linux,数据库采用Oracle 11g。另外,网站服务器开放了SSH和FTP服务,但是网站进行了访问限制,只允许从内网进行连接,外网IP是无法连接这些敏感端口的。
怎么解除activex控件设置
图21-2  某市的房管局网站                    图21-3  网站服务器扫描结果
由此,确定渗透入侵的第一步方案是从网站的Web脚本入手,这样可能性比较高。首先检测网站是否存在注入或上传等Web脚本攻击漏洞。
21.2.2  Oracle注入utl_http存储攻击尝试
利用各种Web入侵扫描检测工具对网站Web程序进行检测,到了一个JSP的注入点。
www.**v/cdfgj/zxwd/index.jsp?p_no=2&msgtp=10000005
使用经典的and 1=1(图21-4)与and 1=2(图21-5)法进行手工检测,发现JSP注入漏洞确实存在。
使用注入工具pangolin进行检测,发现这是一个Oracle数据库类型的注入点(图21-6)。发现注入点后,现在有两个方法继续扩大入侵。
其一是通过SQL注入点猜解数据库,得到网站管理员密码,进入后台后上传WebShell并进行提权,进而控制网站服务器,并渗透入侵整个网络;第二种方法是通过Oracle数据库的特性,配合UTL_HTTP存储扩展,通过创建Java得到路径,直接反弹shell到服务器内网主机上。
 
图21-4  and 1=1检测                      图21-5  and 1=2检测
javascript高级程序设计 第5版 pdf>java在线问答首先,尝试第一种方法,使用注入工具或手工进行猜解,虽然成功地猜解出了网站管理员的密码和账户,但是不到最关键的后台管理员登录页面。因此,即使有了网站管理员的密码和账户也没有用,只有使用第二种方法。
利用第二种方法进行UTL_HTTP存储扩展攻击,使用的是Linux Oracle自动攻击器(图21-7)。首先连接检测UTL_HTTP存储扩展,返回信息显示UTL_HTTP存储扩展是可以连接利用的(图21-8)。
   
图21-6  注入工具pangolin检测结果                  图21-7  Linux Oracle自动攻击器
图21-8  UTL_HTTP存储扩展可连接利用
再进行远程命令运行测试,反回的结果提示失败,UTL_HTTP存储扩展无法执行攻击(图21-9)。至此,对目标网站的入侵暂时陷入了困境。
21.2.3  链接网站的注入突破
有时候直接的攻击无法奏效,采用间接的方法入侵很可能到网站安全的罩门,达到拐弯入侵的目的。于是考虑使用旁注入侵的方法。对目标网站“www.**v”的IP地址(125.70.244.108)进行Whois查询,但是发现该IP地址上没有捆绑其他的IP地址。
再看看网站是否还利用了其他网站服务器。在网站首页上有多个链接,包括“市场信息”、“信用信息”、“住房保障”、“公告通知”等(图21-10),分别连接到以下几个网站。
www.**114/
www.fc**/
         
图21-9  无法正常执行远程命令                      图21-10  服务器组其他主机
在查询到的网站信息中,“www.**114”比较大,其对应的IP地址为“125.70.244.104”,因此与目标网站www.**v很可能在同一内网中,可从此网站进行突破。
通过扫描发现,在“www.**114”网站中有一个投票调查系统,存在着SQL注入攻击漏洞,漏洞的链接如下。
www.**114/vote/vote.php?sid=14
使用and 1=1(图21-11)和and 1=2(图21-12)法进行测试,返回页面的信息不同,确定该链接存在着SQL注入漏洞。
图21-11  and 1=1                            图21-12  and 1=2
另外,在网站中的多处链接也存在注入漏洞,如下。
www.**114/buy_house_help.php?rk=5
cdre.**114/infor_type_one.php?typeid=1
mysql无法连接到服务器cdre.**114/infor_type.php?type=20
确定存在注入漏洞后,进行注入攻击猜解管理员用户名与密码。手工进行如下猜解。
www.**114/vote/vote.php?sid=14 order by 5返回正常页面。
www.**114/vote/vote.php?sid=14 order by 10页面出错(图21-13)。
www.**114/vote/vote.php?sid=14 order by 7
www.**114/vote/vote.php?sid=14 order by 8
www.**114/vote/vote.php?sid=14 order by 9
以上皆返回正常页面,由此可知字段长度为9,因此执行如下查询。
sql查询语句group bywww.**114/vote/vote.php?sid=14 and 1=2 union select 1,2,3,4,5,6,7,8,9
回页面中显示了数字8和数字2(图21-14),可替换这两处数字查询获得需要的信息。
               
图21-13  字段数目不正确                          图21-14  显示数字2和数字8
先来查询一下当前连接数据库的用户账号和数据库版本。
www.**114/vote/vote.php?sid=14 and 1=2 union select 1,user(),3,4,5,6,7, version(),9
在原来的数字处,分别显示数据“root@172.29.21.122”和“5.1.35”(图21-15)。说明数据库服务器的IP地址为172.29.21.122,当前使用root权限连接,数据库版本为MySql 5.1.35。
对于数据库MySql 5.1的注入漏洞,可以直接使用专门针对MySql的注入工具WSI V5.1.25进行攻击猜解。攻击猜解出了所有数据库表,数据库非常庞大,数据内容很多。其中数据库“**114_shuangliu”的“user”表中有管理员用户名和密码数据,用户名为“admin”,密码采用了MD5加密,密文为“d5a*****e217e60b4348d2b5916fbdec”(图21-16)。由于密码暴力破解需要很长的时间,
因此只有另寻它途。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。