我的web+asp攻击

asp+sql攻击大家已经耳熟能详了,大略攻击步骤像下面:

以上的总结,只是乱写的,只是我的个人经验,其中主要的是灵活运用,举几个简单的例子。
在access注入后有时候会遇到管理员才可以用的上传页面,就可以又直接执行前面一步,即检测asp上传漏洞。在mssql注入时,也许会遇到sa,却没有所有的权限,也许仅可以使用软件列出目录,就要根据实际情况自由发挥,所以我说我是乱写的。
以上那段话是为了引出我的这次入侵过程。
这个站是朋友让我帮忙的,他们的技术都很不错,所以他们给我看的站,开始也没什么把握,我们在一点一点地分析站点里所套用的每一个程序,有了点滴成果,就拿出来共同讨论一下。
首先要搜集这个站点上面所套用的程序,或者是子站点,从域名www.xxx.com看到页面是几个论坛

看到动网就兴奋,桂林老兵的上传利用工具,试了一通,结果不出所料。
一个站点如果只有论坛,没有主页,显然有点浪费空间。ping了一下,ip出来了,whois结果是只有一个域名帮定了这个ip。朋友刚好告诉我把ip打进去,就有一个站,果然,asp的,拿着我上面的办法“过”了一遍,注入,mssql,sa,我是独立ip,架了tftp,让朋友去执行,结果没反应,后台页面没找到,注入时nbsi反映很慢,只好另寻他途。
这里有个文章系统,没见过的,管理页面没找到。其实,我看到都不是图文的新闻,证明他不能上传图片,就有点郁闷。但是也不能放过,随手输入edit.asp,提示错误是说缺少一个值,看到错误,说明页面存在。根据这个小程序,我猜想管理员的习惯会把id=作为那个编辑文章的页面,就把id=1添上,还真的可以编辑页面,不需要验证管理员。我在文章里输入一个空格,点确定,竟然到了编辑管理后台里。可以更改不是目的,要的是webshell。
继续察看,从图片路径上看(像www.xxx.com/image/aaa.gif一般都是做主页时放上去的,不会有上传页面,如果你发现图片路径是upload/aaa.gif,下一步你就可以找upload.asp,uppic.asp,upfile.asp等等,十有八九能碰上。这也是经验)/image/aaa.gif,看起来不像是上传进去的,果然就这样没办法了。
我突然想起来,那个论坛的前面主页,连接着3个论坛,有一个是6.0!朋友说,这个论坛不允许注册。晕倒,管理员有毛病?不让注册我怀疑是有漏洞,他没补上,所以不敢让注册.或者是别的原因吧.但是6.0的暴库,也很好玩!如果给我了密码,进后台,就可以更改注册信息,放入asp木马了.我就是不死心!不信你的论坛个个都是牛人!一个弱密码都没有!一页一页的看,终于被我找到一个弱用户222111,密码一样.可惜,暴库不成功,害我费了1个多小时猜密码!察看管理员组,很明显,这几论坛都是一个人做的.所以统一打了补丁,不会有问题。或者被人进来过?想到这些,输入uploadface/ok.asp,uploadface/image.asp,uploadface/shell.asp都没有东西,仔细一看!郁闷!在uploadface下的属性被设置了!不允许执行可执行文件如.cgi,.asp.看来这个管理员不是菜鸟.

为了不放过任何地方,我开始尝试猜解管理员密码,每个论坛都是两个管理员,一男一女,密码很可能都一样,可惜俺就是猜不出来…(谁拿西红柿砸我?先等一下嘛!如果最后没进去,我写这个做什么?)
又一次陷入困境,我眼红的盯着这个站,鼠标胡乱移来移去,突然!我看到了友情论坛,鼠标一闪而过,好像是个ip地址后加相对路径,(鼠标移动在连接文字上,IE的左下角会出现连接地址)难道是他本机上的?刚才ping的地址忘了,再来一次.哈哈,又有一条路!这里还不只一个论坛,一个是摄影的论坛,一个是千年网络游戏的论坛,都是7.0动网,还是老办法,先看动网上传,唉…失望惯了,白激动一场。
看着这两个论坛,千年,还是那个管理员作的。但这个摄影的,却不是,而且这个摄影的论坛只有一个版面,显然是新办好的.隐约感觉到问题会出在这里.有可能这个管理员是菜鸟!输入默认数据库路径,不存在,备份目录下也没有.也可能是人家先帮他弄好了才给他的.
也许很多人在这里会放弃,但我,就是不会死心.我观察一个站,感觉它不是个牛站,感觉它会有漏洞,就会从早到晚,没日没夜地观察。我坚信一定会有突破!习惯的深吸一口气,把我用过的招数在脑海里复习一遍。然后继续观察。在我开始换一种思路的时候,突然想到,最后那个论坛,还有个管理员.而我还没有猜弱密码!保持平静的心情,打开这个管理员的用户资料,看起来,这个邮箱是真的,就先拿它做密码.

看到进入论坛页面,心情,就不用说了,前后几个小时的努力,终于让人激动了一下.这种密码不用说,也是后台的,赶快上传"图片",我倒!怎么?还不行了!莫非是把upfile.asp做了手脚?
试着上传真的图片,竟然可以.这里很明显了,他允许上传图片,但是会检查的.几匹马都试了,还是不行.我在后台基本设置里选择无组件上传,显示服务器不支持,不能上传,很显然是站长因为服务器不支持无阻件上传方式,故意改为

它是故意过虑了asp文件,或者是检查图片,没关系,有办法!用那个脚本插入图片的工具,我插入冰狐浪子。

最后上传成功,在后台改为asp文件,不能保存在uploadface目录下,那里可是不允许可执行文件访问的。就这样,几经波折,拿到了webshell

但是拿到了WEBSHELL却发现有的目录没有写权限,而我的目的是只要是WEB目录都有写权限。由于这个站里面有SQL SERVER,我在WEBSHELL里找出来数据库连接文件:
connStr="Provider=SQLOLEDB.1; Persist Security Info=True; Data Source=.; Initial Catalog=scyg; User ID=sa; Password=format c:"
昏,密码竟然是format c:,有个性!
用SQLTools.exe连上以后不能执行命令,xp_cmdshell被删除。人家在这里早作好了防备。试着恢复xp_cmdshell,没想到xplog70.dll也被删除了。用砍客联盟的木马客户端观察进程发现d:盘有SERV-U,这个目录刚好是可写的。就在本机装了一个和肉鸡版本一样的SERV-U,然后下载他的ServUDaemon.ini覆盖我的,打开FTP管理,改密码和可浏览路径,最后替换他的文件,可是最终结果还是失败。
正当我想要放弃的时候,看到进程里还个有pcanywhere,高兴ing!在他的硬盘中翻出来.CIF密码文件,复制到WEB目录并下载,然后用PcAnyWhereCrack.exe查出了用户名和密码。连接上去,呵呵,以后的事情就简单了。
入侵的时候,我们总会碰上很多问题,有些是不能解决的,但是只要我们的思路正确,总会有突破口的。而那个模式图,也只是一种暂时的形式,文章写到这里,相信管理员心理也已经有了防范方法。但是防范的时候要注意,“马其诺防线”是可以绕过的,我们还要考虑敌人已经进来的时候,怎样继续防御。

发表评论?

0 条评论。

发表评论