V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pimin
V2EX  ›  分享发现

给母校做了个安全检查,结果比较失望

  •  
  •   pimin · 2014-09-30 17:21:34 +08:00 · 4874 次点击
    这是一个创建于 3736 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前几天在@xuhao360 在/t/135909 提问,看到母校网站,刚好最近bash之类的各种闹得凶,曾经的脚本小子手也痒痒了
    分站很多,但是大部分都集中在一台服务器上
    弱口令,爆路径,xss简直太多,但是基本上都拿不到webshell,因为后台都太简单了
    直到在一个备份的网站目录下找到了一个编辑器漏洞拿了个webshell。
    拿到webshell之后就是想提权,服务器打的补丁很少,类似ms12020测试对部分服务器都有效。
    拿到shell的那台服务器经测网站目录完全没有执行权限。
    突破口是一台mssql服务器,找到了一个注入点,发现是sa登录,系统权限到手。
    登录之后dump 本地hash,然后放到彩虹表里跑,7.5G彩虹表10分钟跑出来了,密码强度很高,10位有特殊字符。
    然后用得到的密码去试。。大部分服务器都是一个管理员配置的。
    管理大部分分站那台服务器,拥有几乎所有站点的备份,如果愿意基本上全部可以搞定。
    主站的服务器,还连着内网,我没有做嗅探之类的继续深入,感觉意义不大。


    我以为现在网络已经很安全了,毕竟现在玩木马入侵什么的,比我上学那会少太多了。
    28 条回复    2014-10-01 01:08:14 +08:00
    lvye
        1
    lvye  
       2014-09-30 17:36:46 +08:00
    彩虹表你放本地的?
    pimin
        2
    pimin  
    OP
       2014-09-30 17:40:52 +08:00 via iPhone
    @lvye
    用拿到的第一台服务器现下的,5.xMB/s,速度飞快
    Bakemono
        3
    Bakemono  
       2014-09-30 17:41:23 +08:00
    哪有那么安全,你想多了…
    pimin
        4
    pimin  
    OP
       2014-09-30 17:43:59 +08:00 via iPhone
    @Bakemono
    我自己电脑裸奔N年,已经有一种木马病毒都不适合这个时代的感觉
    oott123
        5
    oott123  
       2014-09-30 17:48:33 +08:00 via Android
    360 杀毒
    pimin
        6
    pimin  
    OP
       2014-09-30 17:50:54 +08:00 via iPhone
    @oott123
    我也理解不了为什么在服务器上装360,简直是脑袋坏掉了
    lvye
        7
    lvye  
       2014-09-30 17:51:45 +08:00
    @pimin 很多学校网站管理员都是把服务器当个人电脑来用的,我还遇到过很多装qq,迅雷,然后还有各种电影的。
    imlonghao
        8
    imlonghao  
       2014-09-30 17:53:35 +08:00
    WooYun.org 欢迎你
    pimin
        9
    pimin  
    OP
       2014-09-30 18:05:11 +08:00 via iPhone
    @imlonghao
    没有任何技术含量,也好多年没关心安全领域了。
    基本上就是管理员把他家钥匙藏在门口脚垫地下给我翻出来罢了。
    greatdk
        10
    greatdk  
       2014-09-30 18:44:52 +08:00
    曾经用菜刀,在我们学校的某台服务器里面发现一个文本文件,里面保存着学校所有服务器的密码,也是醉了
    vipdomain
        11
    vipdomain  
       2014-09-30 18:51:00 +08:00 via iPad
    c ci t
    校友啊。。。
    pimin
        12
    pimin  
    OP
       2014-09-30 18:55:25 +08:00 via iPhone
    @greatdk
    这并不奇怪,腾讯还因为文本文件放域管理员密码给黑了呢
    Aphsss
        13
    Aphsss  
       2014-09-30 18:56:07 +08:00
    前几天也是拿下了自己大学的主站,原以为全是静态页面的站点,没法拿下,哎,通元,多老的系统了,漏洞还不补
    vibbow
        14
    vibbow  
       2014-09-30 18:57:25 +08:00
    我们学校用的Google Apps for Education

    然后有个漏洞,只要知道学号和生日,就可以直接登陆进去看到所有的邮件。
    哪怕换了密码也可以登陆进去。

    存在了至少3年了。

    // 我们老师用的邮箱系统是学校自建的,没用Google的......
    pimin
        15
    pimin  
    OP
       2014-09-30 18:58:18 +08:00 via iPhone
    @vipdomain
    阿哈,毕业几年啦,不是有人发链接我不可能想起来去网站转转
    pimin
        16
    pimin  
    OP
       2014-09-30 19:03:48 +08:00 via iPhone
    @Aphsss
    一般是免费劳动力,干一票就闪人了,谁还管后来
    xuhao360
        17
    xuhao360  
       2014-09-30 19:16:13 +08:00
    @pimin 学长牛逼啊
    izoabr
        18
    izoabr  
       2014-09-30 19:30:09 +08:00 via iPhone
    团委都敢弄,要开除的节奏
    Panic
        19
    Panic  
       2014-09-30 19:45:32 +08:00
    也就是个练手的东西,没准人家毕业后还自己留了几个后门玩呢
    mornlight
        20
    mornlight  
       2014-09-30 20:26:29 +08:00
    本来中国的大学网站安全性普遍都差啊。
    不涉及商业利益,也没有人会搞大的破坏。出了大问题?找警察。
    workaholic
        21
    workaholic  
       2014-09-30 20:38:11 +08:00
    类似经历,扫描六台服务器有四台能够成功突破进去......
    shuangchun
        22
    shuangchun  
       2014-09-30 20:39:15 +08:00
    我们学校的几台服务器早都XXOO,记得大一的时候随便cc一下就挂了主页。关键是学校的电费充值系统传输是明文,而且没有任何保险措施,只是不太敢搞。
    ksupertu
        23
    ksupertu  
       2014-09-30 23:51:36 +08:00
    服务器装360就是为打个离线补丁而已,不要大惊小怪,学校也不会出这个杀毒软件的钱
    why
        24
    why  
       2014-10-01 00:34:47 +08:00
    远程桌面,360那个球会满的
    typcn
        25
    typcn  
       2014-10-01 00:37:33 +08:00
    360才是亮点
    typcn
        26
    typcn  
       2014-10-01 00:41:25 +08:00
    @ksupertu
    1 360杀毒好像不能打补丁
    2 微软有官方补丁包为什么要用360这种曾经篡改过补丁包的软件
    3 服务器需要杀毒软件? 权限控制好 服务器加一层WAF 啥事没有
    t6attack
        27
    t6attack  
       2014-10-01 00:41:55 +08:00
    按照现行法律,入侵主机满20台即可入刑。
    所以现在非商业竞争性网络,普遍没什么动力修复漏洞。
    ksupertu
        28
    ksupertu  
       2014-10-01 01:08:14 +08:00
    @typcn
    1、360服务器版是目前免费服务器版软件里打补丁做的最好的了,可以自己去感受一下金山服务器版杀毒软件的补丁功力,隔离网几乎打不上补丁,不会通过CC服务器中转,这个杀毒你以为哪来的,不是卫士服务器版自己拖上来的?
    2、微软官方有补丁包,可是你家的服务器全部有独立IP对外服务吗?全部拥有外网访问权限?
    3、家贼难防,出门左转乌云看如何攻破waf
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3680 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:19 · PVG 12:19 · LAX 20:19 · JFK 23:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.