危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982439

另类后台拿shell

阳光明媚的一个早上,我坐在电脑前,吃着小零食、听着歌、喝着饮料、聊着QQ,嘿嘿,小生活过的不错吧!

眼球一晃,看见群里有人在谈论学校网站的话题,突然间我就想到了当初检测自己初中和现在学校网站的事情,那真叫一个“杯具”,检测许多年,从来未成功……

因为某些原因,我从来没有拿到过自己学校的网站权限,回想起来,以前曾经有过一次机会,但当时由于自己的无知而错过了,这难道就是命运的安排吗?这天,可能是心血来潮,对于学校网站进行检测的心思竟然又复燃了,学校网站是独立服务器,没有旁站,整站使用的是PHPCMS2007的模板。虽然说是伪静态,但表面上看就像是一个全静态的网站,只有后台登录页面是PHP的。许多有漏洞的模板也没有安装,相对的入侵的机会也就很渺茫了。

打开学校网站的后台登录页面,根据以前进入后台的经验,联想到大多数学校的后台密码都设置的比较简单,于是我就把以前社工得到的8个管理员帐号逐一测试,没想到糊里糊涂的就成功了一个。哇,好幸运啊,当时兴奋的差点冲昏了头脑。

既然成功的进入了后台,那么搞个webshell应该不在话下吧,因为PHPCMS2007拿webshej~很简单的。但事实上却没有我想的那么乐观,后来才发现我使用的这个帐号权限非常低,很多功能都没权限使用,试,发现这个帐号只有发布部分新闻和生成文章的权限。随后我又到网上找了一下关于PHPCMS2007拿webshell的文章,基本上没找到什么有用的资料,难道到了这步却叫我放弃?当时好郁闷啊,仔细的想了一会儿,不都说“一份耕耘,一份收获”吗,还是要坚持,不然永远也不会成功!

我来到添加新闻处,发现有个上传图片的功能,打开看看是否可以上传php文件,带着一丝希望我来到了这里,但是却以失败而告终。算了,先随便发布一个网页看看吧,重新来到刚刚的地方随便输入一番,点击提交,文章自动生成了。打开刚发布的文章,看到是类似articlehtml的名字命名的,本来想抓包看是什么方式生成的页面,突然发现页面有一个“高级设置”的选项,原来可以在这里设置呀。此时我想到了Windows2003+HS6.0的解析洞,但是这个网站是Linux+apache2.2,嗯?apache2.2?好长时间没摘过apache,居然把apache的解析漏洞给忘记了,于是把生成的文件名前缀更改为“.php.”,不管文件后缀为什么,只要是php结尾的,就会被Apache解析成php文件。我tephp-句话木马插入到文章中,然后生成文章,成功了!打开该文章的页面,准各连接一木马,可是不太对呀,木马最后执行,后来才发现php.后面跟的是个FD.html,真是悲剧啊!看看表,已经12:10了,到了吃午饭的时间了,可不能为了个shell饿着肚子呀,随后起来活动了一下身子,吃了午饭,开始午睡。下午起来后,伸伸懒腰,重要坐回到电脑前,看看危险漫步的博客,寻找灵感。然后继续上午未完成的工作。上午遇到了ID.htm1的命名问题,于是我便想尽各种办法来试图绕过它,但是都没有成功。既然如此,那就只好祭出最后一招了,拿出WsockExpert,开始抓包,看看是怎样创建文件的。打开WsockExpert主程序,选择好进程,确定后返回到编辑文章的界面,直接点击确定。提示成功后返回到WsockExpert中,此时可以看到已经抓到很多数据了,我把重要的地方截取了下来,如下:“addtimel=2010-070715:51:06&aYtic Leishtmll=l&articIe[htmldir]-html&articlelprefixl=.php.&hl_urtrule-O&php_urlrule-0&ticle[templaieid]-O&arIlcle[skinidl=O&article[readp oint]=0”,这个就是经过我URL编码转换过来的数据,可能有些偏差,但是不耽误我们分析。addtime参数是时间,“[htmldir]”参数是生成的目录,“[prefix]”参数跟的是我们自定义的文件名前缀,最后面的参数大概是判段利用什么模块和什么方式来生成文件,可以看出它们的值都为0,应该是采用的默认方式。我们废话少说,直接来到主要部分,也就是“自定义文件名前缀”这里。开始时我猜测自定义文件名前缀这里是否可以使用Ox00来截断,后来经过测试表明我的思路是正确的。我把前缀名改为rr*.php%00”的格式(Ox00在URL编码后值为“n/000”),因为是-XURL的方式POST数据,不必再使用nc来提交,完全可以提交修改后flOURL来达到生成任意文件名的目的,效果与使用NC提交是一样的,而且比NC更方便。“articleid-191”是生成文章的ID,如果修改其它文章,只需要把ID号更改成想要修改的文章ID即可。在后台页面提交这个链接,提示更新成功后,也就成功的把PHP一句话木马插入到文章目录Efjx.php这个文件内了。

通过“lanker微型PHP+ASP管理器”来连接一句话木马,密码为“cmd”,成功的导出了大马。此时的心情真是难以形容,好激动、好悲伤、好快乐、好痛苦!一年前曾经有一个机会摆在我面前,我没有把握住它,但是一年后的今天,我终于突破了命运的枷锁。

相关推荐