本文作者:玄貓[B.C.T] 
本文原發(fā)表于《黑客X檔案》2005年第7期，網(wǎng)上首發(fā)地址為B.C.T(http://www.cnbct.org/showarticle.asp?id=495)和黑色森林(http://www.blackwoosd.cn) 
本文版權(quán)歸《黑客X檔案》和作者雜志社所有  
-------------------------------------------------------------------------------- 

玄貓?jiān)?004年12期的黑X上發(fā)表了對(duì)于九酷網(wǎng)絡(luò)個(gè)人主頁(yè)空間管理系統(tǒng)(下面稱(chēng)作”九酷”)的一篇漏洞研究（請(qǐng)參看2004年12期雜志《輕松突破免費(fèi)空間限制》），當(dāng)時(shí)針對(duì)的版本是3.0，最近拿到了九酷程序的4.1免費(fèi)版，其官方說(shuō)明上寫(xiě)到修正了許多漏洞，但貓貓始終認(rèn)為簡(jiǎn)單的asp程序很難做到高效安全地管理免費(fèi)空間，于是簡(jiǎn)單的對(duì)這套程序作了安全監(jiān)測(cè)，結(jié)果發(fā)現(xiàn)了多個(gè)高危漏洞，大部分能直接威脅到管理員或其他用戶的安全，甚至危及服務(wù)器。我們來(lái)看看這些漏洞： 

1、上傳漏洞。  


程序的編寫(xiě)者犯了一個(gè)較易被忽略的錯(cuò)誤-僅在后臺(tái)管理中配置”禁止”上傳的文件的類(lèi)型，而并非”允許”上傳的類(lèi)型，這樣極容易忽略一些危險(xiǎn)的擴(kuò)展名。 

我們來(lái)看界面，選擇一個(gè)asp文件上傳，程序提示擴(kuò)展名非法，好的，我們把擴(kuò)展名改為asa,上傳，成功，得到了一個(gè)Shell。

但是我們運(yùn)氣不會(huì)總是這么好吧，如果有經(jīng)驗(yàn)的網(wǎng)管把a(bǔ)sa,cer等文件的asp.dll映射刪除了怎么辦呢。我們可以利用SSI來(lái)獲得敏感信息。 

什么是SSI呢，SSI是Server Side Include的縮寫(xiě)，即服務(wù)器端包含，這個(gè)功能可以在服務(wù)器端包含一個(gè)文件，由ssinc.dll這個(gè)文件負(fù)責(zé)包含文件。譬如我們?cè)赼sp中常用的<!--#include file="conn.asp"-->即是SSI的一種應(yīng)用。 

在本地寫(xiě)一個(gè)文件，內(nèi)容是<!--#include file="inc/conn.asp"-->，保存為look.stm上傳到服務(wù)器上，然后訪問(wèn)此文件，查看源文件，你就可以看到程序的數(shù)據(jù)連接文件的內(nèi)容了。這個(gè)系統(tǒng)的數(shù)據(jù)庫(kù)沒(méi)有作防下載處理，我們可以放心下載。但是注意：如果文件名是有特殊符號(hào)的，我們應(yīng)該用ASCII碼轉(zhuǎn)換器來(lái)轉(zhuǎn)換正確的地址。 

關(guān)于上傳，還有一個(gè)漏洞就是，這個(gè)系統(tǒng)用的是5xsoft的通用上傳類(lèi)，有沒(méi)有上傳漏洞呢，這個(gè)漏洞很老了，希望大家自己動(dòng)手試試看。 

2、保存漏洞。  

新的4.1的九酷，對(duì)讀目錄、文件和刪除都作了不錯(cuò)的權(quán)限判定，如果直接改參數(shù)會(huì)報(bào)錯(cuò)說(shuō)沒(méi)有權(quán)限，并且改文件名的時(shí)候程序也會(huì)一樣判斷是不是危險(xiǎn)類(lèi)型。 

經(jīng)過(guò)測(cè)試，玄貓發(fā)現(xiàn)在文件編輯保存模塊出現(xiàn)了小洞洞，我們可以把文件順利地保存為asp的擴(kuò)展名，但是程序會(huì)對(duì)文件內(nèi)容進(jìn)行檢查，一些危險(xiǎn)字符是不能用的，不過(guò)我們可以用一句話木馬，在文件中寫(xiě)入:<%execute request("value")%>，然后用玄貓改進(jìn)的一句話木馬客戶端寫(xiě)入新的文件即可。 

最新評(píng)論