圖1

    習(xí)慣性地看看有無上傳之處，居然沒有發(fā)現(xiàn)有上傳圖片或其它東東的地方。不死心，注冊(cè)一個(gè)用戶，仍然沒有發(fā)現(xiàn)可以上傳或發(fā)表文章之處。再看看有無注入漏洞，在網(wǎng)址后面加上“'”，提示“請(qǐng)勿輸入非法字符”，說明已做了防注入處理。不甘心??！再加上“and 1=1”仍出現(xiàn)這個(gè)提示。如圖2所示。

圖2

    看到上面有一個(gè)論壇，是動(dòng)網(wǎng)7.0-SP2的，試試上傳頁面，不存在上傳漏洞?？瓷先ミ@個(gè)網(wǎng)站還算安全。不過，這個(gè)論壇只開了個(gè)幾欄目，邊圖標(biāo)都是動(dòng)網(wǎng)的沒有改。感覺管理者不會(huì)太專業(yè)，也沒有怎么打理，會(huì)不會(huì)都是按默認(rèn)安裝的？于是試試默認(rèn)的數(shù)據(jù)庫名，果然一炮命中！數(shù)據(jù)庫是默認(rèn)的Dvbbs7.mdb。下載后用查看軟件打開，在DV-Log中查找，如果管理員修改密碼，這個(gè)記錄中可以找到明文密碼。果然找到了密碼，如圖3所示。

圖3

    進(jìn)入后臺(tái)，由于SP2的后臺(tái)也不能上傳，于是先在論壇發(fā)張?zhí)樱蟼饕粋€(gè)圖片文件，然后在后臺(tái)通過備份數(shù)據(jù)庫的方式獲得了一個(gè)WebShell，再刪除這個(gè)帖子，做到不留痕跡。這種方法大家很熟悉了，就不多說了，這里是網(wǎng)站當(dāng)時(shí)留下的操作記錄，如圖4所示。

圖4

    有了WebShell就好辦多了，用站長助長6.0在線查看數(shù)據(jù)庫，居然是明文密碼！順利進(jìn)入后臺(tái)，仍然沒有找到是什么系統(tǒng)……郁悶。

    利用WebShell試試能否瀏覽和遍歷硬盤，沒想到卻提示找不到路徑，執(zhí)行命令也沒有反應(yīng)，看來主機(jī)商的安全設(shè)置還不差。本來入侵到這里就基本結(jié)束了，但我在看網(wǎng)站文件時(shí)，發(fā)現(xiàn)了這個(gè)系統(tǒng)的上傳漏洞。它其實(shí)是有上傳文件的，只是不是以前通常的Upfile,.asp，而是叫Upload_flash.asp和Upfile_flash.asp。如圖5所示。

圖5

    看了一下它的代碼，發(fā)現(xiàn)路徑是從提交中接收的，并且沒有過濾，也就是說同樣存在上傳漏洞。于是拿出老兵的萬能上傳工具上傳ASP后門，提示成功，但找不到文件名，試了幾個(gè)可能的地方都沒有！再直接訪問該頁也提示成功，原來這個(gè)提示是假的。如圖6所示。

圖6

    老兵的萬能工具都搞不定？怪事！于是決定抓包看看。具體抓包就不說了，這是抓包結(jié)果（前面部分）如下：

POST /xshop/upfile_flash.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.hzlook.com/xshop/upload_flash.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d4b89201ec
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WHCC/0.6; .NET CLR 1.1.4322)
Host: www.hzlook.com
Content-Length: 2002
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSASDRTSD=DACEIKEALOCGCEPDAPNLFLJI; BoardList=BoardID=Show
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="filepath"/
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="filelx"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="EditName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="FormName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="act"
uploadfile
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="file1"; filename="G:\hk\2004\upshow.asp"
Content-Type: text/plain
……


……

    接下來當(dāng)然是修改數(shù)據(jù)包，修改路徑參數(shù)，改ASP為JPG，并進(jìn)行相應(yīng)的處理，然后用NC提交，居然提示“該文件類型不能上傳！”，難道它會(huì)判斷文件是否真為圖片？上傳一個(gè)真正的圖片文件，這樣也便于得知文件到底傳到哪了。意外的是，真圖片它也提示“該文件類型不能上傳！”，這就怪了，以前還從未遇見連真圖片都不能傳的，只好再讀代碼。找到了關(guān)鍵代碼如下：

 if (filelx<>"swf") and (filelx<>"jpg") then
  response.write "該文件類型不能上傳！　[ 重新上傳 ]"
 response.end
 end if　
…………
if filelx="jpg" then
 if fileext<>"gif" and fileext<>"jpg"  then
  response.write "

只能上傳jpg或gif格式的圖片！　
原來，在判斷文件類型前，還有一個(gè)判斷！先看文件類型Filelx，再看擴(kuò)展名類型Fileext，這比動(dòng)網(wǎng)多了一個(gè)判斷，而我的抓包中，F(xiàn)ilelx是空白，當(dāng)然不能上傳了，也怪不得老兵的工具無效呢。

    找到了原因就好辦了，當(dāng)然是再來修改數(shù)據(jù)包，在“Content-Disposition：form-data; name="filelx"”下增加了“jpg”，并進(jìn)行相應(yīng)處理后，終于用NC上傳成功！

    看來，這是一個(gè)新的漏洞，但我實(shí)在不知它是什么系統(tǒng)，用關(guān)鍵字搜索，找到一大堆網(wǎng)上商城網(wǎng)站，看了幾個(gè)，仍沒有提示是什么系統(tǒng)，但有的看上去同動(dòng)網(wǎng)后臺(tái)相似，試試這些網(wǎng)站，同樣有這兩個(gè)上傳文件，也同樣能用NC上傳ASP文件。這樣太麻煩了，于是自己寫了一個(gè)上傳工具，找一個(gè)上傳一個(gè)，一會(huì)兒就有一大堆WEB肉雞了，如圖7所示。

圖7

    特別要說的是，有一臺(tái)是虛擬服務(wù)器，居然可以遍歷盤符和執(zhí)行命令，幾十個(gè)網(wǎng)站一下都在手中，而且還開了3389，我當(dāng)然不會(huì)放過，如圖8所示。

圖8

    我寫此文時(shí)特意到網(wǎng)上找了一下，同這個(gè)網(wǎng)站相似的，有的叫秋葉商城，有的叫動(dòng)感購物商城，都存在這個(gè)上傳漏洞?？赡苁且郧暗纳蟼鞴ぞ邿o效吧，才使得這個(gè)漏洞較其它上傳發(fā)現(xiàn)得晚，不過到目前為止，還沒有上傳工具，我的上傳工具就獻(xiàn)給大家吧！不用太感謝我，嘿嘿！

最新評(píng)論