Aspx目标网站入侵之旁注加跨站入侵

指定目标网站入侵之旁注加跨站入侵  

2010-09-17 14:06:49|  分类： 默认分类 |  标签： |举报 |字号大中小 订阅

Src:http://blog.163.com/songzhansheng2006@126/blog/static/1773328920108172649168/

今天中午群里的幸福又发站出来了，说是网站挺好看的，呵呵。这不用说，铁定的这小子又看上人家源码和模板了。一般他发的网站我都会看的。呵呵，之前也有帮他拿过几个，那小子什么黑客技术基本不懂。拿别人网站程序做网站到还挺能耐滴。

     打开网站看了下，整个网站结构分三部分，一个企业站目录，一个品牌站目录，一个商城目录，先看了下企业的，打算一个一个的来。不过企业的全站是flash的。这个根本没什么利用的。然后看了下品牌站的目录和商城站的目录，程序都是ASPX的。这下有点难到我了，因为本人对ASPX网站的入侵经验基本为零。

       在两个子站目录下逛了半天，只找到了一个后台登陆地址，试了下弱口令和万能密码也都没成功，啊D跑了下也没找到什么上传文件的地方，搜索引擎site了也没信息。

     万般无奈之下只有抱着试一试的态度去旁注，拿网站去网上查询了下，这一查发现服务器上的站还真不少。总的大概有159个，服务器放在福建厦门。旁注我一般不喜欢使用啊D或者明小子的工具，查的结果一点不准。

     随后便随便找了个公司的网站拿去检测了下，结果没成功，于是便换了一个，拿检查出来的第一个站放啊D一跑，估计是人品爆发，ASPX的注入点，而且还是DB的权限。

     看到这个首先想到的方法肯定就是列目录使用差异备份拿shell了，不过现在好多DB权限的注入都不能列目录了，这个事情有点杯具。虽然现在不能列目录了，但至少是MSSQL的注入，可以去跑表和字段，因为一般情况MSSQL的注入跑出管理员的表和字段是没问题的。为了提高效率，在跑表的过程当中我顺便用手工猜下管理员登陆地址。直接在域名后面加admin目录路径，管理员登陆口就乖乖出来了。



       到后台登陆口自然要使用下弱口令和万能密码了，当试到 admin' or 'a'='a 密码随便的时候，直接便进后台了。估计真是人品爆发，ASPX的使用万能密码成功的次数也就那么一两次。这次居然又让我遇见了。

       既然万能密码都能上后台的系统估计在后台拿shell也是非常简单的，说不定直接就能上传。不过我去试直接上传asp文件的时候却不行，做了验证的。然后试过GIF98a文件头欺骗也没成功，后来发现有ewebeditor编辑器，不过管理员在编辑器做了不少文章，数据库路径，登陆地址都找不到。使用ewebeditor的可能性是很小的了，还得继续回来研究下之前那个图片上传功能。

     为了研究它首先还是找到文件上传程序页再说吧，不过直接在后台却不能使用右键功能，看来程序表面工作还是做得蛮到位的嘛。不过要找到上传页地址并不难，直接后台上传图片并抓包就能找到了。

       看到了吧，很容易就找到上传图片页了，/upload/JC_Upload.aspx?type=image&flepath=product&dt=Tue+Jun+8+19%3a56%3a54+UTC+0800+2010，不过找到这个页面路径有我本能的被一个地方吸引了，咱们来看看flepath=product，这样一句我想各位不陌生哦，看到这个心想难道图片保存的路径是根据filepath变量值来定义的？再看了下图片默认上传的路径在在根目录下的uploadfile/product/目录下，其中的确有一个名为product目录。为了验证这个想法，我把filepath=product修改成filepath=products，然后先访问下uploadfile/products/确定了下文件夹不存在，然后在使用修改后的上传文件去上传了一个正常的图片。提示文件上传成功，然后去访问了下uploadfile/products/这个目录出现以下画面：

       可以看到，现在products目录已经存在了(这个在上传成功后的页面查看源代码也能看到的)，这就说明文件上传后保存的路径是按照filepath的值来定义的，而且在目录不存在的情况下还会自动创建。这样咱们利用就简单多了，直接把filepath=product修改成filepath=product.asp然后上传一个一句话木马图片就行了，充分利用IIS解析漏洞，类似的漏洞在我之前的文章中都有提及过。

     到此旁注我已顺利拿下了一个网站，现在就要朝最终的目标站进军了，拿了asp的webshell后发现服务器权限设这很BT，wscript.shell组件被删除，只剩application的了，而且常见的everyone目录都不能访问，除了windows下的temp目录可写可读。查看这些本想是提权拿服务器的，只要提权成功拿下服务器的话那目标站肯定是不在话下了。不过简单看了下后发现提权希望不大，而且第一次探针服务器的时候还把IIS整来挂了老半天才恢复。

     既然提权没希望的话就看下能不能跨目录吧，这也目前要拿下目标站的唯一希望了，不过不期待ASP的木马能跨目录，因为刚拿下的这个站是aspx的，所以我直接上aspx的shell了。aspx的shell权限要比asp高得多，要运行aspx的程序，服务器至少是要给user权限的。而且aspx大马还有一个功能就是IIS Spy ，这个功能可以列出服务器上所有网站的配置信息，但要有权限的情况下。

     上了aspx的大马就直接IIS Spy了下，结果IIS上的所有网站出乎意料的就全部被列出来了。

       看到了吧，所有IIS服务器上的网站信息都被列出来了，包括网站匿名访问账号、密码、网站域名以及网站所在文件夹路径。只要网站配置信息能全部列出来，那使用aspx的shell访问其他网站目录就没什么大问题了。然后在这个页面中搜索下目标网站的域名，找到了路径直接拿去访问了下，网站下的目录和文件乖乖的就被列出来了。

       既然现在能列目录了，那拿下目标站的几率就更高了，至少我们能完全窥透他网站所有文件内容了。不过在这里能读取目录就要看有没有写入权限了，不过一般情况能读不能写的时候多，不过今天我遇到的还是第一次，既能读取也能写入，直接就将webshell写入到目标网站的根目录下了。

     至此，最终的目标站也顺利拿下了，总的来说能拿下这个网站运气占了很大一部分，技术也就一些比较基础的吧，像万能密码的使用，上传漏洞的利用这些都是比较基础的，最后的关机部分完全靠的是运气哈。