事情背景:
时间:周六下午15:24,接到客户电话。
内容:客户搬迁服务器至机房,正常开机后,管理员账户无法登录,当时听到第一反应是输入错误,但是在客户连续输入几次后,我才回想起来,上次在客户现场的时候给系统加固的时候,密码最长使用天数为90天,算了算日子,应该是过期了(还好当时添加了一个低权限用户);跟他们讲述了发生的原因,由于客户负责部门为财务部,没有人会操作电脑,类似PE、大白菜这些工具不会用,我真头疼,又要给他们通俗易懂且详细的解决方案。
将事情汇报给该项目的市场经理,市场经理讲述给市场主管,市场主管建议由市场经理载我连夜驱车前往客户单位,确定下班后就出发。我就马上开始制作系统PE盘,想要开始操作一遍。
……
一切都很顺利,临近下班,市场经理跟我说今天没法过去,原因是另一个项目要开标了,要去的话得我自己过去;(我真是日了狗,前一刻才答应客户说今晚会过去,下一刻马上让我食言,真不可靠),没办法了,只能给客户说声抱歉了,并保证在周末给他们一份详细的解决文档,仅要求他们找一个会一点电脑操作的人;暂时完事,下班回家~
吃完饭后,开始在网上求助,无果,最后问了公司的黄教授,并给我一个提权工具;这个提权工具是利用windows 漏洞ms14-058。简单来说,就是可以用一个CMD调用一个特殊的exe文件,提权成system用户,从而入侵任何版本的服务器.(后来也成功了,因为客户单位服务器常年不联网,没更新补丁,仅安装一个360支撑着)
拿到工具,了解这个漏洞之后,还是不放心,首先我自己实验了一把,把exe文件上传至阿里云服务器上,说干就干。
首先在我的ECS云主机上添加一个User级别的账户,然后更改设置,使该账户可以进行远程登录,之后刚把文件上传至云主机,手机马上接收到一条告警信息(大意为:云盾检测到一个木马程序),这反应真快,没法远程进行了,那就本地进行吧,打开虚拟机软件,emmm没有Windows 2008的镜像包,电脑硬盘快不行了;我真是烦呀;最后对看看关于这个漏洞的资料。
一夜无果……
终于迎来了新的一天,周日,今天是跟客户约定的日子,早上6:30就醒了(平时也差不多就这个点醒),眯一会儿,到7:00开始在蚂蚁森林帮助好友收能量(真开心)。
……
11点了,有点等不及了,这客户怎么还不联系我,难不成我一天要耗在这了,绝不允许,主动出击。
然后财务人员就开始驱车去机房了,这才对嘛,我也得准备一下了,把工具发送给对方,然后大概过一遍流程。
对方达到机房后,先让她再试试管理员账户和密码(还存在一种怀疑,她输入错了。),结果很正确,没能顺利登录。
只能启用B了,登录低权限账户,把exe文件放到桌面上。(苦难开始)
对方不知道怎么进入cmd控制台,我得通过语音和照片的方式告知对方,我……
经过一段艰苦的指引之后,终于打开了CMD控制台。
之后就语音/截图,我做什么操作,截图,让对方跟着我做什么操作。
看到这,我陷入了自责,我究竟做错了什么,是我哪里教错了,还是我的截图太模糊了。(应该是我遭报应了)
进入Desktop之后,开始指引对方执行文件,但是又发生了一件我很头疼的事情。
怎么会是.lnk快捷方式呢???我给的不是win.exe,我当时真是快吐血了,不能她怎么操作的。
之后又拷贝了一次,这次应该是拷贝正确了,360报警,显示为木马程序,遂让对方关闭360程序。
首先让对方输入 win64.exe whoami
之后开始将更改超级管理的命令发送过去
win64.exe net user administrator 12345678 (执行没成功,我也不大知道原因,后来问了黄教授,原来是我后面接的语句没有添加"",命令格式应为:win64.exe "{需要执行的语句}"
win64.exe "net user administrator 12345678"
发送过去,这次应该没有问题了,结果还是出问题了。
我还有一口气,不怕,继续纠正。
之后引导对方,注销当前账户,登录超级管理账户。
我真感动!真欣慰!眼泪都要掉下来了!
至此,问题解决了,然后叮嘱对方,更改口令,然后把win文件删除,开启360防护。
现在梳理一下这个事情。
Windows系统超级管理密码过期(但还是知道管理员密码),管理员账户无法登录,有一个低权限账户可以登录;当前服务器长时间未更新系统补丁,这次更改密码成功的条件有两个。
1、低权限账户
2、系统未更新补丁
利用的系统漏洞,ms14-058
防护措施,更新系统补丁,低权限账户也有可能是其他能够登录系统的账户,如数据库用户、网站服务用户。
【之后开始记录此次操作,耗时25分钟编辑文章。】
他们的管理员密码因为密码策略的缘故,密码过期了,超级管理员无法登录,
