危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20614130

IIS6.0设计缺陷助我走上入侵成功之路

某日想入侵一个网站,尝试以后发现该网站设置了所有参数只能是数字,所以无奈选择了旁注。用啊D跑了一下,发现这台服务器上有很多网站,随便逛了逛就找到一个搜索型的注入漏洞,修改一下搜索网页的页面提交参数后放NBSI跑了一下,发现是MSSQL的数据库,“PUBLIC”权限,再用啊D跑了一下是“DB_OWNER”权限。

既然啊D都说了是“DB_OWNER”权限,那肯定用它了。现在思路很明确了,如果数据库与服务器未分离,能列目录的话直接列目录,然后使用差异备份直接上传一句话木马,最后再传个大马就完事了。

用啊D列了一下服务器上的目录,发现可以列出来,在服务器上翻了一会,对照着啊D跑出来的旁注的网址,很快就可以找到网站的目录了,接着就用“getwebshell”工具直接生成了一个ASP的一句话木马。

本以为事情会很顺利,很快就可以看到胜利的曙光,但是接下来的事情却让我花费了很多时间,我用一句话木马客户端是可以连接我导出的ASP木马,但是在我传大马的过程中无论是上传ASP大马,还是写入ASP木马,还是复制ASP文件全部提示没有权限,连新建目录都没有权限。

看来是服务器做了限制,所以没办法直接上传ASP木马了,我本来想直接用getwebshell工具备份其他如ASPX木马的,因为我看到这个服务器上有几个站是用ASPX的,但是最后也是无功而返。

入侵就这样被阻断了,这条路不行那我就只能从其他几个网站人手了,后来试了其他几个站也是如此设置的,没办法,我只好用啊D慢慢翻服务器上的文件,还真发现了一些可以利用的东西。

我直接用工具上传ASP木马,提示上传成功,但是看结果,扩展名不是ASP的,我访问文件,文件也是存在的。看到这,我想起来原来服务器上有些目录还是可以写入目录和文件的,就这个图片上传的目录就可以。但是我测试了一下,文件是可以上传,但是ASP、CER、ASA、ASPX等扩展名的文件上传依然提示没有权限,而目录却是的确可以新建的,其他图片上传也是可以的,这个设置的确是很让入侵者头痛。

我又重新理了一下思路,服务器应该是Windows的,我有一句话的ASP木马,可以新建目录,可以新建除了ASP等扩展名外的文件,那不知道可不可以利用IIS6.0那个经典的设计缺陷漏洞呢?如果可以的话,那我直接新建一个.ASP的目录,然后把GIF等扩展名的ASP木马直接放入不就可以成功运行木马了。我新建了一个b.asp的目录。

结果显示目录新建成功了,真是幸运,我又把先前上传的GIF格式的ASP木马直接复制到新建的目录里面,也显示复制成功了,我在浏览器里输入网址,终于出现了久违的登陆页面。

输入密码进去,却傻了眼,页面显示无法找到该页,我开始是怀疑自己密码输错了,又输了一遍,还是错误。怎么会这样呢?突然想起在使用IIS6.0这个漏洞的时候有些ASP木马是要修改的,具体怎么修改却忘记了。我找到了那篇文章,原因在于这个ASP木马里有这句代码。

这里显示接收到的参数是通过URL来传递的,也就是说当我们登陆的时候,服务器会解析b.asp,所以无法验证的情况便出现了。解决的办法也很简单,只要把上面的第一句代码直接修改为URL=Request.ServerVariables("PATH_INFO")就可以了,“PATH_INFO”可以直接呈现虚拟路径,可以顺利解析GIF大马。

把修改好后的ASP木马,按原来方法再提交一次,顺利进入webshell,进入后发现除C盘外的所有盘都不能访问,也不支持wscript.shell,我试了一下用啊D列出的目录直接跳转到我要入侵的网站下面,显示跳转成功,但是不能对里面的文件进行操作,这个也在意料之中,毕竟人家也不是那么差的。

其实现在已经能够浏览目标网站的文件了,应该离成功也不远了,我按照平常的思维,直接下载了目标站的数据库连接文件,找到了MSSQL的数据库连接信息,直接用webshell连接目标网站的数据库,先保存管理员原来的MD5密码,用来恢复之用,然后用updata命令更改网站管理员的密码为“admin”。

接下来就可以直接用修改后的密码登录后台了。

进入后台后发现有上传的地方,但是只能上传图片,没有数据库压缩备份选项,所以也不能用通常的方法来获得webshell,但是我们不是可以用getwebshell导出asp木马嘛,大不了再把前面的工作再做一次就好了。

入侵到这里就结束了,说实话这个服务器安全还是做得不错的,真实的入侵历程比文章中写到的内容还要多一些,只是其他的办法我都未能获得网站的权限,所以也就不写了,感觉入侵是一种综合知识的运用,大家平时应该多积累一些知识和经验,以便给今后的入侵提供便利。