韩城攻略

    搜索了一下这个IP，发现竟然是韩国的主机。先用端口扫描，发现主机开了21、1433、3389这几个端口。没有开80端口，看来通过网站渗透进去是不可能了，重点放在1433端口。用MSSQL溢出测试，结果没有成功。只能寄希望于弱口令上了。我比较喜欢用HSCAN。命令格式：“HSCAN -h ip -mssql –ftp”。果然有一个SA空口令。用SQLTools连接成功，执行命令时发现xplog70.dll被删除了。

    翻了半天硬盘也没找到xplog70.dll，问了几个朋友也说没有。看来只能用别的扩展组件执行命令了。用SQL查询分析器连接目标主机时出现了奇怪的现象，连接成功后程序自动关闭，从网上又下载了一个也是这样，输入错误的密码还会提示密码错误，真搞不懂是怎么回事。正当我不知所措的时候，朋友扔过来一个SQLRootkit 。在程序界面里添上IP，用户名和密码，点击登录后就连接成功。SqlRootkit利用四种组件来执行系统命令，在执行前还可以先检测一下组件，并且它还具有恢复的功能。当然前提是支持组件的文件要存在，如xplog70.dll、odsole70.dll和xpstar.dll。我们先看看组件是否存在。

    xp_cmdshell缺少文件不能用、sp_oraceate显示执行成功但主机没有执行命令、xp_regwrite执行命令超时、xp_servicecontrol执行命令虽然没有回显，但却是唯一能执行成功的。

    远程登录主机，打开事件查看器，发现日志没有被删除。用动网数据库中记录的入侵时间比对了一下安全中的用户登录日志，找到了入侵者的IP。从“C:\Documents and Settings”目录下找到了入侵者浏览网站的历史记录，这下证据确凿，他跑不了了（日志的图片就不给大家看了，见谅）。查看入侵者的IP得知是上海的ADSL。临走时在CMD下执行了：“quser”，看到管理员也在线，并且发现了这台主机已经在线三百天了。

    我还没见过在线时间这么长的Windows主机，难怪入侵者那么嚣张。把入侵者的IP和相关的证据交给了朋友把并过程告诉了他，后面的事情就随他了。

    总结这次反入侵过程，基本上没碰到难处，可以说一气呵成。也没有什么新技术，都是大家知道的，就是把它们都组合起来而已。感觉防护比入侵难多了，要从各个方面做好防护。在这里奉劝那些“黑客”，我们去入侵是印证自己的技术，不是用来搞破坏的。