一次利用社会工程学进行反渗透

　　0x01 事情来源

　　前几天，我的一个朋友找我帮忙，声称他在访问自己学校网站的时候会跳出很多奇怪的页面，而且360安全浏览器会提示拦截恶意链接， 他感觉网站或者服务器被入侵，让我给他看看，然后就有了下文。

　　0x02 分析黑客入侵手法

　　既然要看黑客是如何入侵进来的 也就没必要做信息收集方面的工作了。 简单的打开safe3 神器扫描了一下 发现存在sql注入 xss跨站

　　

　　随即之后就是拿扫出的sql注入点进行注入攻击 由下图发现居然是sa注入点 而且没降权 是system权限。 那么拿服务器也就是轻而易举了。

　　

　　看了一下注入点漏洞的缘由 原来是学校在对教师方面的不足 然后给教师们提供了一个教师平台 不过管理员没对代码做检测 导致出现sql注入 最终导致服务器沦陷。不要笑我。初中水平表达能力有限!!!

　　

　　修复方法：1.关闭教师平台 ， 对教师平台页面进行代码审计。

　　                    2.给sa降权 删除xp_cmdshell组件。

　　网站主站采用的是帝国网站管理系统 。 人家号称最安全的cms呢。 不过安全确实很好

　　

　　0x03 网站挂马检测和清理

　　

　　通过查看修改时间 可以看出 黑客对index.jsp index.html conn.asp foot.asp进行了修改

　　

　　清除挂马代码 在所有文件中查找代码“

　　0x04 系统入侵痕迹搜索和整理

　　既然黑客入侵到服务器 应该会对服务器进行利用之类的 我们可以在文件搜索框中 输入一些黑客工具的关键词 扫描 后门 攻击 检测 端口等。 来搜索入侵者存放工具的地方。

　　

　　

　　丫的 这原来是个抓鸡阔。不过现在的1433抓鸡还可以吗?多少年前的技术了。不过我以前玩抓鸡的时候记得好像还要配置一个文件 存放ftp账号密码。这样才会自动传马。然后我们打开那个Ck~奋斗1433的文件夹。。

　　

　　拿到这些信息 我们就可以反渗透加以社工来入侵他了。

　　0x05 反渗透开始

　　

　　用nmap对服务器端口进行扫描 发现系统开放了21 80 3389 证明服务器确实运行着ftp

　　既然服务器开放了3389 21 ，那么就可以尝试利用ftp账号和口令登陆3389远程桌面。猜测有没有 xiaojie这个用户 发现没有 尝试了一番觉得没戏 果断换一下思路。 其实有时候机会都是尝试出来的，不去试试怎么知道不会成功呢?

　　首先我们打开这个ip 也就是这台服务器上放的网站，发现是一个游戏私服网站

　　

　　之后拿出工具登陆ftp 发现可以登陆。看server.exe 可以确定这就是那个木马文件。

　　

　　然后发现还有个web文件夹。打开一看 是这个私服网站的根目录 呵呵。既然有下载权限 可否有上传权限呢? 我们上传个木马试试。

　　

　　成功拿下。。。随后就是提权了。

　　

　　直接serv-u提权 没技术含量 这里就不详解了。

　　之后登陆服务器

　　0x06 成功登陆服务器

　　

　　打开任务管理员 看一下用户 不过把我吓一跳。

　　

　　卧槽 咋这样呢， 真是奇葩啊 ，不过后来才知道 原来是入侵者替换了C:/WINDOWS/system32 里面的taskmgr.exe文件 让管理员无法查看 这也是一种维护服务器的方法。 不过这样也就对一般的管理员有用 对我

　　

　　嘿嘿 不管用。

　　

　　用dos命令查看。

　　看到了入侵者的用户了。 那么修改 jie$ 的密码 登陆其用户。

　　

　　丫的 抓鸡阔伤不起。到哪都是抓鸡。好吧 肉鸡全是我的啦。

　　

　　0x07 继续深入

　　因为之前看过一篇文章 感觉思路很好 就借鉴了一下 利用之后 果断成功。

　　Whois反查一下域名

　　

　　之后再反查一下注册人。

　　

　　可以看出注册过很多域名。那么会不会服务器登陆密码相同呢。 这方法简直经典。很多人都会用在不同地方设置同一密码 安全性可想而知、

　　用Pwdump7工具直接读出管理员hash http://www.objectif-securite.ch/ophcrack.php 去这个网站破解hash值。

　　

　　然后尝试登陆那些域名服务器。然后你懂得。

　　

　　集体沦陷。这思路有时候还是很管用的哈哈。

　　好了。 大牛看官指点指点。

　　===========================

　　一个很好的反渗透案例，通过。

原文地址:https://hack.77169.com/201512/219540.shtm