文章作者:rabbitsafe
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com)
注:文章已经发表于2006年7期《黑客手册》,后由原创作者友情提交到邪恶八进制论坛,转载请著名原始出处《黑客手册》
从本文中你可以学到:
1。抓包改数据nc上传获得webshell。
2。通过php版的serv-u溢出提升权限。
3。怎样解决动网无组件上传漏洞。
今天给大家讲讲我在网上找工作的奇遇,这篇文章没用到什么新的技术,方法都是网上很常见的,在遇到困难时多想想办法,只要肯思考,困难一定会被解决的。下面进入文章的正题吧。
一、拿webshell篇
放寒假在家里闲着无聊,就在网上看看网站,因为明年就要毕业了,非常担心将来工作的事情,所以就在网上看了看招聘类的网站,想多了解下人才需求的状况,为将来找工作做些准备。于是,我就登录了几个网上招聘的网站,首先,注册会员,注册完毕后是添写简历,简历处可以上传照片,因为平常安全玩多了,出于好奇,想看看网站照片上传过滤了没有 ( 图1)
个人简历处上传照片界面
我先把一个asp木马改成jpg的后缀上传看看,上传成功,看看抓取的数据包,数据包格式和早期动网上传的那种一样,不知道路径过没过滤‘/0’。(图2)
抓取上传图片的数据包
在name="filepath"后面是指文件上传的目录photo,在它后面加上\s.asp和一个空格。修改Content-Length值,加上7个字节,因为\s.asp和空格总共7个字节。用Ultraedit中的hex编辑,把空格处改成00,保存。然后把修改好的数据用NC提交上去,NC提交格式是nc –vv 网站IP 80 <1.txt,返回图片上传成功。
(图3)
该目录不允许执行脚本程序
晕,还做了点安全工作,这个目录不让我执行asp脚本程序,那我们就换网站根目录。因为网站根目录是一定可以执行脚本程序,修改数据包,在数据包的路径后面加上/../../s.asp,再次用nc上传,ok,上传成功,木马成功运行。熟悉的海洋顶端木马的界面出现了。
(图4)
成功运行海洋顶端木马
一个这么大的人才网,意然,还有这种上传漏洞,可以直接拿到webshell。上传漏洞对网站的危害可想而知,注入漏洞现在这么疯狂,很多菜鸟朋友,看到一个网站就拿工具开始干起来了,不要忘了上传漏洞,它才是最危险的,注入的目的是得到后台管理员用户名和密码,但是后台如没有什么可上传的地方,或者上传做了限制,那不是白忙了。入侵时,思路一定要活跃,不要忘了最简单的漏洞。
二、服务器提权篇
现在拿到webshell了,看能不能拿到服务器的权限。执行命令,返回拒绝访问,缺少对象。先查看下那些组件能用吧, WScript.Shell ,FSO可以用,应该是cmd.exe设了权限,禁止guest用户访问,没关系,我们传一个cmd.exe上去,要找个有执行权限的目录,一般C:\Documents and Settings\All Users\Documents\这个目录下是Everyone拥有执行权限,我们传个cmd.exe上去试试看。在WScript.Shell里写上C:\Documents and Settings\All Users\Documents\cmd.exe再执行命令看看,成功返回结果了,呵呵。看看开了哪些服务,开了serv-u,mysql,apache,东西还真不少。我们先看看serv-u目录能不能访问,打开C:\Program Files\Serv-U\可以正常打开目录,说明guest用户拥有访问权限,有些服务器装了serv-u,端口号,默认用户密码都没改,但是最后不成功,可能就是serv-u的安装目录没有访问权限,所以导致提权失败。我们看看端口号,是默认的43958。马上传个serv-u溢出程序到C:\Documents and Settings\All Users\Documents\这个目录下,执行看下,可以正常运行,先加个管理员吧。执行后窗口没反应了,晕,不会是漏洞补了吧。ftp 网站ip,返回是serv-u6.2的,我说呢,好像听说本地提权程序对这个版本没有用。竟然,服务器装了mysql,应该支持php,上传个php版的serv-u溢出提升权限试试看。
(图5)
php版的serv-u溢出提升权限
马上ftp连接上,执行quote site exec net.exe user rabbitsafe 124578 /add,quote site exec net.exe user localgroup administrators rabbitsafe /add。把rabbitsafe添加为管理员了。好,我们现在来登陆终端。
(图6)
成功登录远程终端
这次的渗透算是完成了,我清除完日志后,就在服务器上给管理员留言了,告诉他网站有漏洞,服务器权限设置有问题,我就下了。
三、总结篇
我后来查看了上传文件的源代码,关键就在这一句了,formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt这句话将一段字符串合并起来。我们能改的就是formPath这个参数。在计算机中检测字符串的关键就是看是否碰到'\0'字符,如果是,则认为字符串结束了。也就是说我们在构造上传文件保存路径时,只要欺骗计算机,让他认为类似"photo\s.asp"这样的路径参数已经结束了,这样,后面一连串的时间字符我们都可以不要,从而达到直接将文件保存为我们定义的文件名的目的。因些,我们要做的是在构造的数据包中,将表单中的filepath改成类似photo\s.asp '\0'的字符串然后发送出去就行了。
漏洞修补:漏洞是formpath这个参数造成的,因为它没有过滤’\0’这个字符,只要改成filename=trim(replace(formPath,chr(0),"")&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt就行了。
后来,管理员和我联系上。他说他们公司网站这边一直没有专人看管,总是被攻击。我正想找个管服务器的事做做,锻炼下。没过几天,他们的人市部的主任就专程到我们学校来了一趟,和我谈了谈服务器管理的事。因为我没有破坏他们网站的正常运行,还主动给他们说了漏洞的事情,而且还帮他们解决了网站长期被攻击的问题,所以,他们才放心把服务器交给我管理。
到此,这次网上找工作奇遇就结束了。我们学习网络安全知识的目的是为了使网络能更好的发展,使国内网站的安全得到提高。希望大家以后多为网络安全做出自己的贡献,不要专门改首页,挂网马。只要每个人为网络献出自已那份力量,我相信我们国内的网络会更加强。联系qq:3818718
