给母校做了个安全检查，结果比较失望

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3686 天前的主题，其中的信息可能已经有所发展或是发生改变。

前几天在@xuhao360 在/t/135909 提问，看到母校网站，刚好最近bash之类的各种闹得凶，曾经的脚本小子手也痒痒了
分站很多，但是大部分都集中在一台服务器上
弱口令，爆路径，xss简直太多，但是基本上都拿不到webshell，因为后台都太简单了
直到在一个备份的网站目录下找到了一个编辑器漏洞拿了个webshell。
拿到webshell之后就是想提权，服务器打的补丁很少，类似ms12020测试对部分服务器都有效。
拿到shell的那台服务器经测网站目录完全没有执行权限。
突破口是一台mssql服务器，找到了一个注入点，发现是sa登录，系统权限到手。
登录之后dump 本地hash，然后放到彩虹表里跑，7.5G彩虹表10分钟跑出来了，密码强度很高，10位有特殊字符。
然后用得到的密码去试。。大部分服务器都是一个管理员配置的。
管理大部分分站那台服务器，拥有几乎所有站点的备份，如果愿意基本上全部可以搞定。
主站的服务器，还连着内网，我没有做嗅探之类的继续深入，感觉意义不大。

我以为现在网络已经很安全了，毕竟现在玩木马入侵什么的，比我上学那会少太多了。

服务器

Webshell

分站

28 条回复 • 2014-10-01 01:08:14 +08:00

lvye

2014-09-30 17:36:46 +08:00

彩虹表你放本地的？

pimin

2014-09-30 17:40:52 +08:00 via iPhone

@lvye
用拿到的第一台服务器现下的，5.xMB/s，速度飞快

Bakemono

2014-09-30 17:41:23 +08:00

哪有那么安全，你想多了…

pimin

2014-09-30 17:43:59 +08:00 via iPhone

@Bakemono
我自己电脑裸奔N年，已经有一种木马病毒都不适合这个时代的感觉

oott123

2014-09-30 17:48:33 +08:00 via Android

360 杀毒

pimin

2014-09-30 17:50:54 +08:00 via iPhone

@oott123
我也理解不了为什么在服务器上装360，简直是脑袋坏掉了

lvye

2014-09-30 17:51:45 +08:00

@pimin 很多学校网站管理员都是把服务器当个人电脑来用的，我还遇到过很多装qq，迅雷，然后还有各种电影的。

imlonghao

2014-09-30 17:53:35 +08:00

WooYun.org 欢迎你

pimin

2014-09-30 18:05:11 +08:00 via iPhone

@imlonghao
没有任何技术含量，也好多年没关心安全领域了。
基本上就是管理员把他家钥匙藏在门口脚垫地下给我翻出来罢了。

greatdk

2014-09-30 18:44:52 +08:00

曾经用菜刀，在我们学校的某台服务器里面发现一个文本文件，里面保存着学校所有服务器的密码，也是醉了

vipdomain

2014-09-30 18:51:00 +08:00 via iPad

c ci t
校友啊。。。

pimin

2014-09-30 18:55:25 +08:00 via iPhone

@greatdk
这并不奇怪，腾讯还因为文本文件放域管理员密码给黑了呢

Aphsss

2014-09-30 18:56:07 +08:00

前几天也是拿下了自己大学的主站，原以为全是静态页面的站点，没法拿下，哎，通元，多老的系统了，漏洞还不补

vibbow

2014-09-30 18:57:25 +08:00

我们学校用的Google Apps for Education

然后有个漏洞，只要知道学号和生日，就可以直接登陆进去看到所有的邮件。
哪怕换了密码也可以登陆进去。

存在了至少3年了。

// 我们老师用的邮箱系统是学校自建的，没用Google的......

pimin

2014-09-30 18:58:18 +08:00 via iPhone

@vipdomain
阿哈，毕业几年啦，不是有人发链接我不可能想起来去网站转转

pimin

2014-09-30 19:03:48 +08:00 via iPhone

@Aphsss
一般是免费劳动力，干一票就闪人了，谁还管后来

xuhao360

2014-09-30 19:16:13 +08:00

@pimin 学长牛逼啊

izoabr

2014-09-30 19:30:09 +08:00 via iPhone

团委都敢弄，要开除的节奏

Panic

2014-09-30 19:45:32 +08:00

也就是个练手的东西，没准人家毕业后还自己留了几个后门玩呢

mornlight

2014-09-30 20:26:29 +08:00

本来中国的大学网站安全性普遍都差啊。
不涉及商业利益，也没有人会搞大的破坏。出了大问题？找警察。

workaholic

2014-09-30 20:38:11 +08:00

类似经历，扫描六台服务器有四台能够成功突破进去......

shuangchun

2014-09-30 20:39:15 +08:00

我们学校的几台服务器早都XXOO，记得大一的时候随便cc一下就挂了主页。关键是学校的电费充值系统传输是明文，而且没有任何保险措施，只是不太敢搞。

ksupertu

2014-09-30 23:51:36 +08:00

服务器装360就是为打个离线补丁而已，不要大惊小怪，学校也不会出这个杀毒软件的钱

why

2014-10-01 00:34:47 +08:00

远程桌面，360那个球会满的

typcn

2014-10-01 00:37:33 +08:00

360才是亮点

typcn

2014-10-01 00:41:25 +08:00

@ksupertu
1 360杀毒好像不能打补丁
2 微软有官方补丁包为什么要用360这种曾经篡改过补丁包的软件
3 服务器需要杀毒软件？权限控制好服务器加一层WAF 啥事没有

t6attack

2014-10-01 00:41:55 +08:00

按照现行法律，入侵主机满20台即可入刑。
所以现在非商业竞争性网络，普遍没什么动力修复漏洞。

ksupertu

2014-10-01 01:08:14 +08:00

@typcn
1、360服务器版是目前免费服务器版软件里打补丁做的最好的了，可以自己去感受一下金山服务器版杀毒软件的补丁功力，隔离网几乎打不上补丁，不会通过CC服务器中转，这个杀毒你以为哪来的，不是卫士服务器版自己拖上来的？
2、微软官方有补丁包，可是你家的服务器全部有独立IP对外服务吗？全部拥有外网访问权限？
3、家贼难防，出门左转乌云看如何攻破waf