危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2307 浏览21468736

利用重命名漏洞来获取webshell

放假了,在家好无聊啊,这天上网也没打开影子系统,也就不想再打开那些黑客工具了,万一不小心中病毒了那可就麻烦了,来看看这两天人品咋样吧,昨晚有个哥们儿在群里发了一个网址,我打开看了一下,发现他把人家网站的主页给改掉了,还用来做广告,先来小小的鄙视一下,我一直认为学习技术并不是为了做这些坏事的。

既然这个网站是被别人搞过的,我也就没啥兴趣了,从那个网站上随便打开了一个友情链接,原来是一家玻璃公司的网站,管他呢,习惯性的在同址后面加上了admin,结果后台蹦了出来。既然今天是来撞人品的,那就试一下默认的用户名和密码吧,没想到竟然就这么进来了,进入了后台感觉有点儿小小的失望,翻看了一下后台,找到了几个可以上传的页面,但没有找到备份的地方,那我们如何得到自己想要的webshell呢?

后台里很详细的列出了服务器的信息,我们可以看到服务器使用的是Windows系统,服务器IIS版本为Microsoft-IIS/6.0。直觉告诉我这里有解析漏洞可以利用,但到底要怎么利用呢,大家们请继续往下看。

我搞网站的时候一般都是先想办法上传木马,然后再想办法恢复回来!这次也不例外,但既然没有备份,我们也就不能简单的往上传了。来查看一下哪个地方可以上传文件吧,结果发现在添加产品的地方可以插入或修改图片,好了,就是它了。

上传asp文件时提示格式不对,只允许上传jpg、gif等,那我更改了后缀还不行吗?但让人郁闷的是更改了后缀依然不行,试了一下正常的图片是可以上传的,看来是对文件进行了某种判断,真是让我发愁啊!

但大家发现没有,在上面还有一个远程上传,我从网上随手找了个图片链接试了一下,发现远程的图片是可以上传的。随后,我就把更改了后缀的木马文件先传到了以前搞到的webshell上(当然我们也可以先传自己的空间中),然后再使用远程上传图片,结果仍然不能上传,提示参数不正确。仔细想了想,正常的图片是可以上传的,改了后缀的却不会轻易放弃的,我又试了一下图片木马,结果还是不行,没办法,看来只有另寻他路了。

上面不是还有一个媒体类型上传吗,来试试这个吧,我把asp木马改成了rm格式,然后直接上传,奇迹出现了,哈哈,上传成功!原来这里只是对后缀进行了简单的判断,但新问题也出现了,要怎样才能把上传的网马弄回asp格式呢?先别急,看到最下面的重命名没有?结合上面所说的IIS6.0解析漏洞,大家们应该知道怎么散了吧。原先的名称是2010261135633.rm,现在我们改一下,先点重命名,出现了页面,我们在2010261135633后面添加上“asp;1”,再点击“修改”按钮,这样文件全名就改成了“2010261135633.asp;1.rm”。

文件默认的保存路径是“/upload”,但访问的时候却提示找不到,唉,真是困难重重啊,我们先打开刚才添加的这篇文章,查看源文件,从源文件里看出了蹊跷,里面有这个路径“../system_dntb/upload/2010261135633.asp;1.rm”,这不就是我们的网马吗?好了,把它添加到网址后面并补全地址,直接访问,哈哈,木马终于出现了,终于可以拿到群里跟朋友友们炫耀一下了,嘿嘿。

这次的入侵没有用到任何工具,能拿下网站全凭人品加细心,其实进入了后台不只是数据库备份可以拿到webshell的,一定要多注意一下细微的地方,我们有很多方法可以利用,比如今天的这个,利用重命名就导致了网站的沦陷。

我查看了一下支持的组件,发现支持wscript.shell,虽然不可以直接执行命令,但我们上传一个cmd.exe后就可以执行简单的系统命令了,执行systeminfo命令后发现是四核处理器,而且是个独立服务器,呵呵。Shell的权限很大,可以浏览各盘目录,而且端口也开了很多,安全性不容乐观啊!我又简单的试了一下“巴西烤肉”提权,发现漏洞已经被管理员补上了,还是另找时间再慢慢的提权吧,反正提权并不是今天的主题(关键是本人水平实在有限,可能需要大费一番功夫才行,呵呵),我就不占用宝贵的版面了,最后再重申一遍,技术是把双刃剑,我们要把它利用到对人有益的方向才行。