黑客营传奇(28):留香客栈,我要黑了你
网络通信
黑客营传奇
你是否想挟裹着“黑客势力”的强大力量,在网络中发挥你的影响力?
2004年,《电脑报》暑期特辑──“黑客营传奇”,将带大家领会一段属于黑客高手的传奇经历。在这里你将有机会体验“留香客栈”、“杀手的慈悲”、“Q下的阴谋”、“寂寞高手”四个主题的黑客游戏。同时,我们专门架设了主题服务器,大家可以依次尝试并体验“黑客营传奇”的各个细节。
每期我们还为黑客营的高手准备了大奖!具体活动介绍,请大家到电脑报读者论坛(http://bbs.cpcw.com)的黑客营专区获取。
特别感谢:
重庆市龙九科技发展有限公司
网址:http://www.cq110.com
旗未动风也未动,是人的心自己在动……
普天之下,几乎所有的网络管理员都希望自己的服务器能够如铁桶般密不透风。不过乱世网络,纷纷扰扰,自己的天堂,往往是他人的地狱。这话倒过来说也一样,黑夜给了我黑色的眼睛,我却用它寻找漏洞。其实可怕的并不是我,而是我的耐心,我的耐心比天空的阴霾还要阴沉……
踩点:收集情报
七月十五日,夜。
黑客营,漆黑一片。
每每到这样的夜色,就是我干活的时候。今天,大姐交给我一个任务,攻陷留香客栈的服务器。我问大姐要做到什么程度,她说:“鸡犬不留”。
你也许听说过扫描,这是黑客营中人的常用手段。下手之前,我们都会使出这最关键的一招,这一招是让敌人漏出破绽的一招。
在下手之前,黑客营的人都要先进行俗称的踩点,就是收集目标服务器信息的细活儿。大姐在黑客营常对我说:“威震江湖的天下大盗,在打劫任何钱庄之前,都会对打劫的目标打听得一清二楚、透透彻彻,熟悉得可以不假思索地直奔主题,这样才能来去自如。”踩点也是同样的道理,而且要更加精细准确,收放自如。大姐的每一句话我都记得清清楚楚,不敢有丝毫遗漏。
hack.cpcw.com就是留香客栈的窝儿,我决定先去看看。我在国内常用的几个域名注册的网站开始查询留香客栈域名注册的信息,如去万网找,理由简单:快!
没有想到输入之后还真的小有收获,留香客栈服务器所在的地址、联系人的电话、E-mail、他们的DNS(域名指向服务器)等等我都掌握了。得到电话很重要,因为我常听大姐说,很多愚蠢的人就用电话做密码。我还听大姐说,有一次她竟然直接给管理员打电话就问出了密码,灭了那个网站后,管理员引咎辞职。
我看到留香客栈的网页网址在IE的地址栏中显示为:http://hack.cpcw.com/usingdo14.asp?typeid=1&usingdottid=44。
这其中有一段.asp,不是什么php和cgi,更不是我们黑客营忌讳的jsp。我很高兴,这说明留香客栈的服务器应该是Windows 2000或者以上等级的操作系统。总之是逃不出我熟悉的Windows的范围了。
黑客营宝典:
ASP全称是Active Server Pages,它是服务器端脚本语言,使用它可以创建和运行动态、交互的Web服务器应用程序。使用ASP可以组合HTML页、脚本命令和ActiveX组件以创建交互的Web页和基于 Web的功能强大的应用程序。ASP应用程序很容易开发和修改,ASP的程序均在Windows服务器下运行。
PHP与CGI同样是脚本语言,不过它们可以运行在Windows以外的系统,如:Linux和UNIX等操作系统中。
― ―<meta name=“GENERATOR” content=“Microsoft FrontPage 4.0”>
<meta name=“ProgId” content=“FrontPage.Editor.Document”>
在查看留香客栈的网页源文件头时,我看到了以上这段信息。FrontPage,多么让我心醉的软件,简单得不能再简单的功能。没有想到留香客栈的当家子竟然用这么简单的软件搭建成了这个宾客云集的旺店。不过今夜之后,江湖中将不会再有留香客栈。如此的信心就来源于我在踩点中收集到的这些详细信息。
临走前,为了保险起见,我又Ping了“留香客栈”一下,“Reply from 221.5.250.114: bytes=32 time=422ms TTL=113”TTL的返回值是113,我断定这绝对是Windows 2000的机子。这是大姐最早教我的一招,通过ping对方,通过对方返回给你TTL值大小,粗略判断对手的系统类型是Windows系列还是UNIX/Linux系列。一般情况下Windows系列的系统返回的TTL值在100~130之间,而UNIX/Linux系列的系统返回的TTL值在240~255之间。当然江湖中的高手知道修改TTL的值来达到欺骗别人的目的。但是高手都很忙,忙得忽略了这些小事。
次日,夜。大姐对我说,再踩一次,万无一失。
每个人都会经过这个阶段,见到一座山,就想知道山后面是什么。因为大姐有这种心态──得不到的东西永远都是最好的。
这一次,我用百度、Google、天网的搜索引擎分别搜索留香客栈的整个网址。果然,就像大姐说的那样,丝毫不差。同时,我找到了两个从来没有出现在留香客栈的网页,其中一页的简讯上标着“建栈日记”这样几个字。点击链接地址后,发现客栈当家的早把这两页删除了,毕竟年代太久远了。不过还好,百度、Google都有网页快照的功能,点开,果然有文字的存底,日记不多,3000余字,但是对我来说足够了。其中一段这样写:“飞刀门的老李告诉我,他常常用绿箭口香糖上的大串英文字符当作密码,我认为这招极好。”
黑客营宝典:
在利用搜索引擎时,你可以在搜索网站之前加入如下字符串
C:\winnt
可找到页面引用了Windows系统文件夹内容的服务器
C:\inetpub
可找到页面引用了Windows Internet服务根目录的服务器
Sweb/default.htm
可找到通过浏览器中内嵌的ActiveX控件的Windows系统
十七日,夜。
通过口香糖的提示,我顺带灭了整个飞刀门,鸡犬不留。我想到了大姐念过的两句诗,也是我很喜欢的诗:
弃我去者昨日之日不可留,乱我心者今日之日多烦忧!
这诗好美……
扫描:接近真相
大姐笑了。
因为大姐知道留香客栈的人比飞刀门聪明不了多少,一样是一群蠢驴子。
十八日,清晨4时。
大姐吩咐我,针对留香客栈服务器的漏洞扫描要开始了。
对于这台Windows服务器,我最爱用的扫描器是“安全焦点”的X-Scan和小榕的流光。很多地方都有这两款兵器,不过我只喜欢在黑客营中拿,因为顺手,安全(编注:各位读者可到论坛上获取)。大姐说,X-Scan在Windows 2000的环境下运行得最爽。
流光是需要安装的,而且补丁包也是一堆,繁琐得很。X-Scan就要顺手多了,拿回来用WinRAR解压缩一下,立刻就可以用,这自然也是我当选之首。
X-Scan中最重要的是扫描参数,设置得好可以令我们事半功倍,而IP地址当然是通过Ping网址得到的。
不过今夜我要灭的是留香客栈。
这个最新版本的X-Scan我也是第一次用。我点击“扫描模块”,仔细地看着每一个模块右边的说明文字,这些就是X-Scan让人致命的利刃。我在“参数设置”中的“高级设置”里勾选上了“显示详细进度”,我要记下灭掉留香客栈的每一个细节,用X-Scan扫描留香客栈的每一个细节我都可以看得清清楚楚。留香客栈用的是Windows 2000,脆弱的系统,别的还用我动手吗?不需要了,大姐说,不要太高估你的对手,X-Scan默认设置就足以了。
我开始用X-Scan对留香客栈下手了,X-Scan先检查了留香客栈主机是否在线,同时被动识别目标主机操作系统类型,报告与我分析的一样,果然是Windows 2000主机。随后X-Scan扫描了留香客栈TCP端口状态,并根据我的设置主动识别出留香客栈服务所有开放的端口和正在运行的服务的类型。这时我注意到,除了传统的21、80等端口外,留香客栈竟然还打开了3389这个端口,此端口一开,留香客栈必灭无疑。
X-Scan此时开始通过139端口对Windows NT/2000服务器弱口令进行检测了,这一点极其重要,是能否通过3389端口打开留香客栈大门的关键。X-Scan这一点设计得非常完美,即便从服务器获取用户列表失败时,它也会自动加载字典文件中的用户列表。我还可以通过编辑“dat”目录下的“nt_user.dic”和“nt_pass.dic”扩充用户名/密码字典,也可以通过“扫描参数”窗口中的“字典文件设置”页加载我需要的字典。我选择了攻破飞刀门的那本字典,那里面除了有飞刀门老李的密码以外,还收集了其他口香糖的关键字符。
X-Scan以及开始调用插件载入字典对留香客栈的“SQL Server”弱口令进行检测了。留香客栈果然使用了SQL Server的数据库,但是并没有我字典里的弱口令。
十分钟后,完成了整个扫描过程,X-Scan自动生成的检测报告结果让我愤怒,留香客栈虽然开了无数的常用端口,但是竟不存在一个弱口令。我似乎无法轻松简单地灭掉留香客栈,难道真的山穷水尽了吗?
黑客营宝典:
SQL Server:微软出品的数据库系统软件,漏洞很多。
碰壁:纠结难解
我不由得苦笑──留香客栈若真的躲过了这一劫,势必也会招来大姐亲自动手的噩运。这么想着,我渐渐又想到自己的身份上。想着身份,我不由得脊梁骨更加发寒!
我只能苦笑,不过我至少还明白一点:不要轻易放弃,得不到的东西对于我来说永远是最好的。我开始尝试着用流光进行扫描,可是得到一样的结果。虽然客栈打开了135、139、445、3389这几个看似是漏洞的端口,但是却没有给我任何下手的机会。
我反复地看着这几个端口,希望能够从中找到破绽。沉思之时,突然我发现自己机器中的BlackICE防火墙在闪动。打开一看,原来是留香客栈的喽罗们发现了我的行踪,他们也在用同样的手法扫描我的电脑。不过BlackICE的防火墙已经能够替我抵挡住所有的进攻了,要知道BlackICE的补丁我一个都没有丢下。
留香客栈的喽罗中,似乎有一个扫描得非常带劲,但也许这个扫描的得意家伙自己绝对没有想到,他自己已经中了冲击波病毒,因为在我的BlackICE中看出他的IP,同时显示“MSRPC_RemoteActivate_Bo”,不以“其人之道还治其人之身”就太对不起他了。我也开始用X-Scan扫描他的IP地址,此人的机器竟然漏洞百出,从SMB到445,几乎一个不差的全开着。大姐说得果然没有错,留香客栈的人和飞刀门一样是群蠢驴子。
我暗自揣测着用什么方法教训这小子一下,看着X-Scan生成的漏洞报表,看着那些红得让人眼晕的严重漏洞提示,我究竟选什么方法教训他呢?选择SMB或者那些弱口令之类的简单东西太有失黑客营的脸面。思量片刻,我突然看到,在这个漏洞百出的机器中,那些红得耀眼的字符中有这样一段“漏洞,cifs (445/tcp)”,后面的说明是“运行某版本Microsoft操作系统的远程主机可能会存在几种形式的漏洞:包括拒绝服务、远程执行任意代码等。Microsoft已经发布了修订补丁(KB835732)来解决这些问题。MS04011”。天助我也,这可是一个新东西,Windows最新的LSA溢出漏洞。通过这漏洞,我可以轻松地拿到这小子的主机超级权限(编注:下期将具体介绍)。
十五分钟后,面对屏幕我感到一丝寒意,我进去了。不过这时我才发现,此人竟然是留香客栈的二当家“雪柔”。苍天不亡我,这个小丫头的机器里肯定有我要的留香客栈的密码。如果能够得到留香客栈3389的密码,何愁灭不了留香客栈?我不但要灭了留香客栈,我还要灭了留香客栈这群大大小小的马贼。
得手:全不费功夫
雪柔的文档夹中果然有一个名为SNKey的文本文件,难道这就是留香客栈的密码?我下载回来打开一看,内容是这样的:
黑白相间6颗棋子一次成排直线摆开,棋子左方有四颗空棋位。现在要将这6颗棋子移动成为3颗白色在左边,3颗黑色在右边。同时必须一次并列移动两颗棋子,把它们一起移动到空位上,不可以更改棋子的顺序,只可移动3次,用户名和密码即可得到。
注:连接方式 3389
思考片刻之后,谜底就揭晓了。手起刀落,整个留香客栈荡然无存……