作者：小帥(xsser)@[0.S.T] 
本文已發(fā)表在《黑客手冊》第4期，轉(zhuǎn)載請注明出處，或以超鏈接方式注明：http://blog.0kee.com/xiaoshuai 小帥's blog
很久沒去asp300溜達了，不去總覺得的對不起這個發(fā)布站的流量，也對不起黑客手冊那么多讀者的強烈要求（別扔雞蛋！扔錢?。?，那好，既然牛都吹起來了，我不得不冒著生命危險看看代碼吧，反正我下載下來的時候就覺得很偉大，這個系統(tǒng)很偉大，他吹的比我還大，好好，我們看他怎么說的：88red生成htm靜態(tài)頁面企業(yè)建站系統(tǒng)V3.0經(jīng)過精心打造正式推出，集合了網(wǎng)站地圖、企業(yè)新聞中心、企業(yè)產(chǎn)品、搜索、客戶留言、下載、投票系統(tǒng)等等功能，基本涵蓋了一個企業(yè)網(wǎng)站所需要的基本功能。其生成靜態(tài)頁面的功能為廣大企業(yè)網(wǎng)站優(yōu)化搜索引擎SEO，提供了最大的幫助。系統(tǒng)設計了新的美工，更加貼近企業(yè)網(wǎng)站效果。我們用事實說話。1、未過濾的留言版打開目錄后發(fā)現(xiàn)conn.asp、config.asp等文件，那就看看吧，首先看config.asp里沒有什么特別的，conn.asp里容錯了（就是防止暴庫了），沒戲？當然有，我們看下conn.asp： 
<% on error resume next dim conn dim connstr dim db db="data/qiyedata.asa" Set conn = Server.CreateObject("ADODB.Connection") connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(db) conn.Open connstr%> 
順藤摸…亂摸吧，摸到啥就是啥，我摸到了數(shù)據(jù)庫，還是asa的，我先想到了一句話這個東西，一句話？什么東西能和一句話連在一起呢？怎么讓他入庫呢？用戶、留言、發(fā)布等地方，我看了一下根目錄都是靜態(tài)的，想想html注入行不？這個想法我先擱著，去看留言，留言都是靜態(tài)的，唉！沒事，繼續(xù)…根目錄下有個叫savegb.asp的文件，想想也知道是保存留言的文件，那就看他的過濾吧，片斷如下： 
if request.form("code")="" then ‘驗證碼為空就“彈死你”response.write"<script language=javascript>alert('請?zhí)顚懩拿?);this.location.href='javascript:history.go(-1)';</script>"response.endend ifif request.form("content")="" then ‘你不寫留言內(nèi)容就剝奪你的發(fā)言權response.write"<script language=javascript>alert('請?zhí)顚懥粞詢?nèi)容');this.location.href='javascript:history.go(-1)';</script>"response.endend ifset rs=server.createobject("adodb.recordset") ‘滿足以上2個要求才讓你去見數(shù)據(jù)庫sql="select * from gb"rs.open sql,conn,3,3 
唉！文件頭也就個conn.asp沒什么防止或者過濾的，這樣就造成2個結果：第1、直接寫一句話得到shell。第2、跨站腳本攻擊咯！先來看第一個辦法，寫一句話（前提數(shù)據(jù)庫里沒干擾），如圖1

然后我們點擊“提交”，這樣我們的一句話就輸入到asa的數(shù)據(jù)庫了。我是小旋風，asa格式的文件不解析的，所以我換成asp，但是原理是一樣的，我們來看圖2

這樣我們就成功的把一句話插到了數(shù)據(jù)庫里，接著就是提權什么的。第2個，我們來看xss，由xss大家要馬上想到有不有辦法拿到webshell，比如利用管理員的session進行操作什么的，跨站得到webshell，某牛人寫過，我們來看后臺吧，后臺驗證的還行，至少我們的萬能鑰匙不再萬能。片段如下： 
TheAdmin=Replace(Trim(Request("User")),"'","") ‘過濾了空格，并把單引號轉(zhuǎn)換成空格Pass=Replace(Trim(Request("Pass")),"'","") ‘和上面一樣的過濾。Set Rs=Server.CreateObject("Adodb.RecordSet")Sql="Select * From Admin Where admname='"&TheAdmin"'" 再進入數(shù)據(jù)庫操作Rs.Open Sql,Conn,1,3If Rs.eof thenResponse.Write "<Script Language='javascript'>alert('對不起，此用戶不存在!');window.location.href='Login.asp';</Script>"Response.EndElsePass1=Rs("admpass")If Pass1=Md5(Pass) thenSession("admin")=Rs("admname")Response.Redirect "Main.asp"ElseResponse.Write "<Script Language='javascript'>alert('對不起，密碼錯誤!');window.location.href='Login.asp';</Script>"End IfEnd IfRs.CloseSet Rs=NothingConn.CloseSet Conn=Nothing 
End If 
沒戲看了，單引號過濾了就被掐住了我們進后臺的辦法之一。繼續(xù)看代碼，思路現(xiàn)在整理一下，方便大家理解吧。留言過濾不嚴---à一句話入庫---àxss---à后臺驗證很好，無法進入-à找到配置文件的文件頭查看。2、利用漏洞1順藤摸webshell我們用默認密碼進去看看后臺，啥白盒黑盒一起測試，測到webshell就是好tester，呵呵，廢話不繼續(xù)了，小心編輯扣小費，我們來看圖3

最新評論