指定目标网站入侵之旁注加跨站入侵
2010-09-17 14:06:49| 分类: 默认分类 | 标签: |举报 |字号大中小 订阅
Src:http://blog.163.com/songzhansheng2006@126/blog/static/1773328920108172649168/
打开网站看了下,整个网站结构分三部分,一个企业站目录,一个品牌站目录,一个商城目录,先看了下企业的,打算一个一个的来。不过企业的全站是flash的。这个根本没什么利用的。然后看了下品牌站的目录和商城站的目录,程序都是ASPX的。这下有点难到我了,因为本人对ASPX网站的入侵经验基本为零。
在两个子站目录下逛了半天,只找到了一个后台登陆地址,试了下弱口令和万能密码也都没成功,啊D跑了下也没找到什么上传文件的地方,搜索引擎site了也没信息。
万般无奈之下只有抱着试一试的态度去旁注,拿网站去网上查询了下,这一查发现服务器上的站还真不少。总的大概有159个,服务器放在福建厦门。旁注我一般不喜欢使用啊D或者明小子的工具,查的结果一点不准。
随后便随便找了个公司的网站拿去检测了下,结果没成功,于是便换了一个,拿检查出来的第一个站放啊D一跑,估计是人品爆发,ASPX的注入点,而且还是DB的权限。
看到这个首先想到的方法肯定就是列目录使用差异备份拿shell了,不过现在好多DB权限的注入都不能列目录了,这个事情有点杯具。虽然现在不能列目录了,但至少是MSSQL的注入,可以去跑表和字段,因为一般情况MSSQL的注入跑出管理员的表和字段是没问题的。为了提高效率,在跑表的过程当中我顺便用手工猜下管理员登陆地址。直接在域名后面加admin目录路径,管理员登陆口就乖乖出来了。
到后台登陆口自然要使用下弱口令和万能密码了,当试到 admin' or 'a'='a 密码随便的时候,直接便进后台了。估计真是人品爆发,ASPX的使用万能密码成功的次数也就那么一两次。这次居然又让我遇见了。
既然万能密码都能上后台的系统估计在后台拿shell也是非常简单的,说不定直接就能上传。不过我去试直接上传asp文件的时候却不行,做了验证的。然后试过GIF98a文件头欺骗也没成功,后来发现有ewebeditor编辑器,不过管理员在编辑器做了不少文章,数据库路径,登陆地址都找不到。使用ewebeditor的可能性是很小的了,还得继续回来研究下之前那个图片上传功能。
为了研究它首先还是找到文件上传程序页再说吧,不过直接在后台却不能使用右键功能,看来程序表面工作还是做得蛮到位的嘛。不过要找到上传页地址并不难,直接后台上传图片并抓包就能找到了。
看到了吧,很容易就找到上传图片页了,/upload/JC_Upload.aspx?type=image&flepath=product&dt=Tue+Jun+8+19%3a56%3a54+UTC+0800+2010,不过找到这个页面路径有我本能的被一个地方吸引了,咱们来看看flepath=product,这样一句我想各位不陌生哦,看到这个心想难道图片保存的路径是根据filepath变量值来定义的?再看了下图片默认上传的路径在在根目录下的uploadfile/product/目录下,其中的确有一个名为product目录。为了验证这个想法,我把filepath=product修改成filepath=products,然后先访问下uploadfile/products/确定了下文件夹不存在,然后在使用修改后的上传文件去上传了一个正常的图片。提示文件上传成功,然后去访问了下uploadfile/products/这个目录出现以下画面:
可以看到,现在products目录已经存在了(这个在上传成功后的页面查看源代码也能看到的),这就说明文件上传后保存的路径是按照filepath的值来定义的,而且在目录不存在的情况下还会自动创建。这样咱们利用就简单多了,直接把filepath=product修改成filepath=product.asp然后上传一个一句话木马图片就行了,充分利用IIS解析漏洞,类似的漏洞在我之前的文章中都有提及过。
到此旁注我已顺利拿下了一个网站,现在就要朝最终的目标站进军了,拿了asp的webshell后发现服务器权限设这很BT,wscript.shell组件被删除,只剩application的了,而且常见的everyone目录都不能访问,除了windows下的temp目录可写可读。查看这些本想是提权拿服务器的,只要提权成功拿下服务器的话那目标站肯定是不在话下了。不过简单看了下后发现提权希望不大,而且第一次探针服务器的时候还把IIS整来挂了老半天才恢复。
既然提权没希望的话就看下能不能跨目录吧,这也目前要拿下目标站的唯一希望了,不过不期待ASP的木马能跨目录,因为刚拿下的这个站是aspx的,所以我直接上aspx的shell了。aspx的shell权限要比asp高得多,要运行aspx的程序,服务器至少是要给user权限的。而且aspx大马还有一个功能就是IIS Spy ,这个功能可以列出服务器上所有网站的配置信息,但要有权限的情况下。
上了aspx的大马就直接IIS Spy了下,结果IIS上的所有网站出乎意料的就全部被列出来了。
看到了吧,所有IIS服务器上的网站信息都被列出来了,包括网站匿名访问账号、密码、网站域名以及网站所在文件夹路径。只要网站配置信息能全部列出来,那使用aspx的shell访问其他网站目录就没什么大问题了。然后在这个页面中搜索下目标网站的域名,找到了路径直接拿去访问了下,网站下的目录和文件乖乖的就被列出来了。
既然现在能列目录了,那拿下目标站的几率就更高了,至少我们能完全窥透他网站所有文件内容了。不过在这里能读取目录就要看有没有写入权限了,不过一般情况能读不能写的时候多,不过今天我遇到的还是第一次,既能读取也能写入,直接就将webshell写入到目标网站的根目录下了。
至此,最终的目标站也顺利拿下了,总的来说能拿下这个网站运气占了很大一部分,技术也就一些比较基础的吧,像万能密码的使用,上传漏洞的利用这些都是比较基础的,最后的关机部分完全靠的是运气哈。