【 在 ML (努力生产) 的大作中提到: 】
: 标  题: [FWD]Javaphile摆平SONY中国过程回放
: 发信站: 我爱南开站 (2005年04月22日22:16:50 星期五)
:
: 好友 卡瓦亚和boboo 他们的杰作之一  就是上次入侵 NATO 东北司令部的一群 h4x0r 哈
:
: 以下是Javaphile成员进入SONY中国在线内网并篡改SONY中国主页，除部分细节较为敏感略去外，其他情况全部属实：

评：他们之前也入侵过一次，这是第二次  :P

:　　2005年4月13日上午，Javaphile瞄准SONY中国在线。我在浏览之后发现再其网站大致构造如下SONY CHINA(www.sony.com.cn)打开主页后自动转向至electronic/sony_elec.htm页面，主题为电子产品，menu部分有链接指向www.sonystyle.com.cn、www.sonygallery.com.cn、www.sonypictures.com.cn、www.explorescience.com.cn、cn.playstation.com站点。分别探测后，在cn.playstaton.com站点找到一处注入，权限为DB_OWNER，利用自编工具浏览数据库得到

评：一个大型网站肯定会有好多服务器。寻找其中一个薄弱环节进行入侵。这里的自编工具应该是 Javaphile 内部使用的那个东东，好东西。

:　　一后台管理帐号，并浏览文件夹获得几个可能的后台地址，分别尝试后得到后台子目录为manager，登陆后有新闻管理、信息管理等选项，在尝试修改一条新闻时发现EDIT功能出错，报错为SQL语句语法错误，遂失败。稍候我考虑到作为playstation主页这样的大站，后台管理应该是完善的，不然管理员更新新闻就会遇到问题。遂扫描

评：大型网站后台管理完善 --- 在实际入侵中绝大部分人绝对不会想到这一点。

:　　cn.playstation.com所在C段，得到开IIS的IP数个，果然在另一个没有域名的IP上又发现一处一样的后台管理目录和页面，登陆后新闻修改功能正常，并可上传文件，但文件格式只能为GIF、JPG、BMP等图片格式。遂转交boboo研究，boboo分析后估计其是根据扫描上传文件头和分析上传文件后缀名来判断上传文件的格式的，于是先构造一有jpg文件头的asp后门文件，再嗅探抓包后得到其POST语句的各个参数，然后编写一perl程序模拟其POST过程，将该文件上传成功，自动保存为.asp。

评：16 进制编辑器 + perl 动网上传漏洞利用工具---> 这个自己写的还是好用一些
 
:　　这时我再次接手，用该后门文件上传webshell和一些工具后，开始探测内网结构。发现内网只是sony的一个dmz，所有主机名都是sonyweb*的格式，*为数字，这个后台地址所在的主机名为sonyweb1，另有sonyweb2至sonyweb14，每台主机都有两个内网ip为10.226.176.*，无公网ip，且内网无法反连任何公网ip的任何端口。我尝试在sonyweb1的webshell下通过用户穷举提升权限失败，只能另谋思路。再次分析其他sony站点后，尝试从1433端口入手，考虑到现在asp站点会将连接mssql服务器的连接字符串写在global.asa或其他.asp文件中，而很多站点用editplus编辑文件，会留下.bak的备份文件，遂在多处sony的站点的url后加global.asa.bak及其他asp文件后加.bak进行尝

评：非常有用的经验。入侵中发现确实大型网站拿 editplus 编辑的比较多。其实这里就有一个关于新的工具的想法，写一个这个网站文件扫描器（如 FlashGet 的站点资源管理器)，自动对各种链接进行分析、应用，把简单重复劳动程序化。

:　　试，功夫不负有心人，终于在sonystyle的一个文件后加.bak成功，文件中发现有一处被注释的连接字符串，竟然是uid=sa的帐户，连接主机是sonyweb2，大喜，立刻在sonyweb1处上传一个用网页连接mssql数据库并执行sql命令的asp文件，填写主机和密码后连接成功，获得了sonyweb2的系统权限。

评：这里应该是我上次让 nkuer 测试的那个 sql.asp  在附文中将贴出源码
 
:　　由于目标是涂改sony.com.cn的主页，但sony.com.cn的外网ip和内网ip不能建立对应，遂在内网再次ping www.sony.com.cn，得到了sony主页的内网ip，但在sonyweb2的mssql下用ping www.sony.com.cn，得到另一个内网ip，于是可判断sony主页做了多主机web映射，多次ping后列出存放有sony主页的主机ip列表，再用扫描工具扫描内网后列

评：你的入侵目标是什么？这个是必须明确的一个事情。

:　　出内网开1433端口的ip列表，用同一sa的密码尝试连接后有4台连接成功，但没有一台是存放sony主页的主机。于是转向去分析主机的用户列表，发现每台主机的administrator用户都改名为类似sony_web1_admin，于是上传pslist.exe和findpass.exe，先用pslist列出winlogon的pid，然后用findpass导出该winlogon对应的用户密码。分析密码发现，密码分为三部分，第一部分是四个固定数字的任何排列，第二部分一位小写字母和一位大写字母加一位0~9的数字，第三部分为*加两位数字，该两位数字对应主机名中的数字，比如sonyweb4的admin密码的最后两位是04。于是根据此密码构成规则列出可能的密码词典，然后用ipc密码穷举，立刻跑出了保存sony主页的主机的admin密码，以下改主页等过程众人皆知，略过不表。

评：整篇文章我最佩服的是对密码的分析。往往实践出真知，Javaphlie 无数次的入侵得到的经验

:　　更改主页约2小时后，sony网管发现主页被篡改，立刻在内网用3389登陆，用备份的web文件覆盖被改的主页，我见状后再次用xp_cmdshell替换主页，网管遂再次恢复主页，并将目录权限设为只读，我立刻将目录权限更改为可写，并再次替换主页，然后用pslist列出网管登陆远程桌面的winlogon的pid，用pskill之将其踢下线。网管稍候后再次登陆后恢复，我再次替换主页后发现没有变化，意识到网管更改了web根目录，立刻用adsutil.vbs列出新的web根目录，再次替换主页，然后一不做二不休，再次踢网管下线后，更改了admin用户的密码。网管在尝试登陆失败后手动关机，于是整个入侵过程结束。本文出自 51CTO.COM技术博客