現(xiàn)在越來(lái)越多的入侵是針對(duì)第三方的插件或者文件。那么筆者就帶領(lǐng)大家走進(jìn)ewebeditor在線文本編輯器的世界。了解該如何利用ewebeditor在線文本編輯器的疏漏來(lái)獲取網(wǎng)站的權(quán)限。
　　說(shuō)起安全檢測(cè)的方法大家可能最熟悉的要屬注入，上傳或者利用網(wǎng)站的配置不當(dāng)或者管理員的疏忽等等，但是現(xiàn)在越來(lái)越多的入侵是針對(duì)第三方的插件或者文件。那么筆者就帶領(lǐng)大家走進(jìn)ewebeditor在線文本編輯器的世界。了解該如何利用ewebeditor在線文本編輯器的疏漏來(lái)獲取網(wǎng)站的權(quán)限。
　　正文：
　　這天筆者正在工作，忽然MSN彈出消息，原來(lái)是朋友花錢(qián)制作了一個(gè)網(wǎng)站，并且買(mǎi)了域名跟空間，想讓筆者測(cè)試一下網(wǎng)站的安全性與服務(wù)器的安全。盡量找出網(wǎng)站存在的一些安全隱患。在朋友的竭力邀請(qǐng)之下筆者開(kāi)始了這次的入侵檢測(cè)之旅。
　　通過(guò)朋友對(duì)筆者的敘述筆者了解到。 朋友網(wǎng)站所用的空間就是他買(mǎi)程序的時(shí)候官方送他的免費(fèi)一年使用權(quán)， 那么如此說(shuō)來(lái)服務(wù)器上肯定會(huì)部署很多網(wǎng)站。 而且很有可能是相似的程序，那么是不是入侵其中一個(gè)網(wǎng)站然后了解他的配置信息以后再用同樣的手法搞定服務(wù)器其他網(wǎng)站呢?按照這個(gè)思路筆者開(kāi)始了入侵的旅途。
　　首先打開(kāi)朋友發(fā)來(lái)的域名，地址為www.pockxxx.com。粗略看了下頁(yè)面為英文的，是一個(gè)賣(mài)手機(jī)與游戲機(jī)的網(wǎng)站。在IP138查詢(xún)得知域名所對(duì)應(yīng)的IP為210.51.22.X 為北京網(wǎng)通，看來(lái)是托管在IDC機(jī)房的服務(wù)器。使用superscan與IIS掃描器掃描服務(wù)器得到如下結(jié)果。
　　1、服務(wù)器操作系統(tǒng)為windows2003 所用IIS版本為6.0
　　2、服務(wù)器開(kāi)放 80 1433與3389端口 三個(gè)端口
　　3、使用telnet 220.250.64.X 1433與3389 端口發(fā)現(xiàn)均不能連通，相必服務(wù)器是安裝了防火墻或者IDS之類(lèi)軟件。 那么既然只有80端口對(duì)外開(kāi)放那么就只能從WEB程序入手了。
　　首先打開(kāi)網(wǎng)站，很漂亮的一個(gè)網(wǎng)站程序。大概看了下網(wǎng)站是使用ASP程序發(fā)開(kāi)的。那么首先想到的就是sql injection 也就是SQL注射漏洞，隨便打開(kāi)一個(gè)連接，地址為http://www.pcokXXX.com/product.asp?id=1294 在地址后面加一個(gè)單引號(hào)發(fā)現(xiàn)返回的錯(cuò)誤信息為：
Microsoft OLE DB Provider for ODBC Drivers錯(cuò)誤'80040e14'
　　[Microsft][ODBC Micorsoft Access Diver] 字符串語(yǔ)法錯(cuò)誤 在查詢(xún)表達(dá)式'product。asp?id=1294'中。
　　/product。asp,行 32
　　從這個(gè)錯(cuò)誤提示我們能看出下面幾點(diǎn)：
　　1、網(wǎng)站使用的是Access數(shù)據(jù)庫(kù)，通過(guò)ODBC連接數(shù)據(jù)庫(kù)，而不是通過(guò)JET引擎連接數(shù)據(jù)庫(kù)
　　2、程序沒(méi)有判斷客戶(hù)端提交的數(shù)據(jù)是否符合程序要求。
　　3、該SQL語(yǔ)句所查詢(xún)的表中有一名為productID的字段。
　　看來(lái)網(wǎng)站是基于ASP ACCESS數(shù)據(jù)庫(kù)的架構(gòu)了。 使用and 1=1 與and 1=2 發(fā)現(xiàn)返回的信息不一樣，說(shuō)名存在SQL注射漏洞 不過(guò)網(wǎng)站數(shù)據(jù)庫(kù)使用的是ACCESS數(shù)據(jù)庫(kù)。那么只能猜解管理壓密碼登陸后臺(tái)來(lái)拿WEBSHELL了 如果是sql server數(shù)據(jù)庫(kù)的話有一定權(quán)限還可以使用BACK 來(lái)備份一個(gè)WEBSHELL。
　　在確定了存在注射漏洞后，筆者開(kāi)始了艱辛的猜密碼的過(guò)程，在注射點(diǎn)后使用SQL語(yǔ)句
And (Select Count(*) from Admin)>=0
　　發(fā)現(xiàn)頁(yè)面返回正常說(shuō)明存在admin表。那么既然知道了有admin表就繼續(xù)猜字段吧。不過(guò)一般來(lái)說(shuō)這樣的程序用的字段無(wú)非這幾個(gè) username password id userid user_password pwd name userpwd什么的 所以猜這樣的字段非常容易 語(yǔ)句一復(fù)制 挨個(gè)試就好了猜了半天 發(fā)現(xiàn)admin表里存在username password id三個(gè)字段。為了證明自己的猜解沒(méi)有錯(cuò)誤。筆者又使用了啊D的SQL注射工具。 結(jié)果發(fā)現(xiàn)確實(shí)存在username password與ID這三個(gè)字段如圖1

最新評(píng)論