危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2064 浏览15042175

检测某学校小站

昨天危险漫步给了一个学校的小站让我练下手,用了大半天的时间终于拿到了shell,整个过程虽然没什么难度,但很考验耐心,把过程简单的和大家分享下。

先简单说下目标网站的情况,独立服务器,Windows操作系统,服务器上就一个学校的网站。服务器的网络带宽不高,在我这里访问速度很慢,有时候页面都显示不全,为此浪费了很多时间。

为了不泄露具体的网站地址,我在拿到shell后把网站的程序打包下载到了本地,在虚拟机里把网站运行了起来,简单修改了下原来网站的版权信息,一个和检测的网站几乎一模一样的模拟网站就诞生了,我就用它重现拿shell的过程。以下所说的目标网站指的就是虚拟机里那个模拟的网站。

一、发现任意文件下载漏洞

打开目标网站首页,发现首页内容比较多,并且知道了利用的是ASP的程序。随便点开一篇文章,熟悉的“E-ReadNews.asp”,难道是E创政府网站管理系统或者是利用E创改的系统?E创的一个比较显著的特征就是防盗链,找到了一篇存在附件的文章,直接点附件可以下载,鼠标移上去显示文件的下载地址为,直接用浏览器打开,提示“非法链接!”,和以前接触过的E创系统直接访问文件下载地址时的提示相同,现在几乎可以断定目标网站采用的是E创政府网站管理系统或在E创政府网站管理系的基础上修改来的系统。

确定了目标网站采用的程序对我来说是个好消息,因为我知道E创系统存在一个任意文件下载漏洞。看目标网站是否存在任意文件下载漏洞,尝试下载网站数据库连接文件conn.asp来测试下。首先用浏览器访问,显示空白页,没有出现找不到文件的错误提示,说明文件存在,更加坚定了我对目标网站采用的是E创政府网站管理系统的想法,因为E创政府网站管理系统的数据库连接文件就是网站根目录下的文件conn.asp。构造下载conn.asp的链接,注意地址最后面有一个英文的点号。用浏览器直接打开地址,并不能下载文件,提示“非法链接!”。

检测某学校小站 入侵检测

这是因为网站检查了REFERER信息,只有REFERER信息是目标网站的类似这样的地址才可以,直接用浏览器打开下载地址时REFERER信息为空,自然不能下载了。怎么突破呢?以前用Mozilla Firefox浏览器的一个插件可以修改REFERER信息进而突破,后来我找到了更简单的办法,那就是用Curl。

打开命令提示符,切换到C盘根目录下,输入命令“curl-e”,回车后通过执行命令后的显示知道下载了一个771字节大小的文件。打开C盘,文件conn.asp已经躺在根目录下了,用记事本打开它,确实是conn.asp被下载回来了。

在conn.asp中找到了我感兴趣的内容:

'DbType="MSSQL"'链接MSSQL数据库

'DbType="MYSQL"'链接MYSQL数据库

ifDbType="ACCESS" then

DB = "DataBase/#####GOVcn#####.asp"

Con\= "Provider = Microsoft.Jet,OLEDB.4.O;Data Source = "& Server.MapPath(db)

end if

通过代码知道网站利用的是ACCESS数据库,数据库路径为DataBase/#####GOVcn#####.asp,把#####GOV.cn###转化为URL编码%23%23%23%23%23%47%4F%56%2E%63%6E%23%23%23%23%23,用浏览器访问,出现了错误提示“Microsoft 编译器错误错误'800a040e' 'loop'语句缺少'do'”,看来数据库有防下载表,不能直接下载。

一、下载网站主数据库文件受阻

再来试下用任意文件下载漏洞能不能下载数据库文件。在命令行下输入命令,回车后显示下载的文件大小为0,来到C盘根目录下,也没有新文件#####GOVcn#####.asp生成,看来数据库文件下载失败了。再尝试下载了几个网站目录下的asp文件,都下载成功,就是下载数据库文件不成功,不知道怎么回事,知道原因的朋友欢迎和我交流。

三、下载文件读文件搜集信息

下载网站主数据库文件受阻,网站又不存在明显的其它简单漏洞,只能多收集点信息了。用的后台登录地址,在后台登录页面显示的版权信息为“学校网站管理系统”,看来目标网站的网站程序不是纯正的E创政府网站管理系统,可能是在E创政府网站管理系统的基础上修改来的一个学校网站管理系统。虽然有了后台登录地址,却没有管理员的用户名和密码,进不了后台。现在能利用的就是一个任意文件下载漏洞(网站主数据库下载不了),暂时没别的方法,只能用它多下载些网站的文件来读,希望能从读文件中发现有用的信息。在WVS的扫描结果中几个目录比较特别,它们是kscx,xjgl,cjcx,OA。说不定网站目录下还有别的Web程序。先来看kscx目录下是什么东西,用浏览器打开,发现是一个工作量查询系统。

在页面上有登录的地方,应该验证登录的时候需要查询数据库,看它用的是哪个数据库文件,如果能下载的话看里面有没有敏感信息。通过查看网页源代码知道验证登录的文件为ALoginCheck.asp,在命令行下输入,把文件ALoginCheck.asp下载了回来,用记事本打开,发现数据库文件为ALoginCheck.asp所在目录下的BGMConn.asp,在命令行下输入命令,回车后显示下载了一个254字节大小的文件,打开下载回来的BGMConn.asp,得到了数据库的路径Database/FlexMenu.mdb,用浏览器打开,出来了数据库下载的对话框。打开下载回来的FlexMenu.mdb,在一个名为namesfz的表中发现了一个用户名为admin,密码为xxx2c3a3278705d6的用户,看来像一个管理员用户。在在线破解网站破解出密码为xxx015,用用户名admin和密码xxx015在后台登录,发现果然是管理员用户,进入了工作量查询系统的看台,原来是一个工资查询系统。这个后台功能太简单,没找到拿shell的方法,先暂时不管它了,换别的目录看看。打开发现是一个管理系统,也是一个登陆页面。

打开其实打开的是,通过查看网页的源代码知道登录验证文件就是index.asp,在命令行下输入命令,把index.asp下载了回来,用记事本打开它,发现数据库连接文件为Inc/oConn.asp,构造命令,把oConn.asp下载了回来。用记事本打开oConn.asp,得到学生信息管理系统的数据库为DBP,是一个变量,但不知道它的具体值。返回来看index.asp的代码,发现还包含了文件Inc/lnfo.asp,下载回来打开,发现Inc/Info.asp又包含了文件config.asp,构造命令,把config下载了回来,在里面终于找到了变量DBP的值为Data/dbl.mdb。学生信息管理系统的数据库的下载地址,下载后打开,在数据库中发现了一个用户名为admin,密码为7a57a5a743894aOe的管理员用户,破解出密码为admin。用获得的管理员的用户名和密码进入了学生信息管理系统的后台,但后台还是功能太简单,然后上传大马成功获得了shell。    

      

本文来自 危险漫步博客 转载请注明;

本文地址:http://www.weixianmanbu.com/article/1832.html

相关推荐

发表评论

  • 紫鸢

    现在的网站漏洞还真是不少,但是有用的漏洞我觉得会玩工具就想去入侵一个网站的话那就有点太异想天开了,现在不是当初了,

  • 心态最重要

    楼主连小学都不放过嘿嘿嘿

  • 浮云

    思路不错 其实现在关键的不是技术 而是思路 就像侦探破案一样