危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18790229

巧妙构造拿到网站webshell

一日,受同学之邀,要求检测一下他以前的高中学校的网站,这是我的最爱,怎能拒绝,于是也就有了下文。打开他学校的网站,随便找个链接地址试了一下,发现有注入漏洞,不会这么简单吧,把注入点放到啊D中跑了半天也没有跑出表段,刚开始还以为是表段名比较特殊,后来手工注入了一下,却发现了一个奇怪的现象,在注入点后面输入“and exists(select*from admin)”,却出现了意外。

再把表替换成admin1,就报错了,以前没有见过这种情况,不知道该怎么解放了,使用啊D扫描了一下后台,结果扫描到了一个froum.asp文件,原来安装了一流信息拦截系统,怪不得会出现上面的情况呢。

要想绕过一流信息拦截系统,只要在被过滤的关键字中间加入一个“%”,就可以绕过拦截了,再次在注入点后面输入"an%d exis%ts (selec%t*fro%m admin)”,提交后页面返回了正常,接着开始手工注入,使用“order by”语句猜出当前表字段为6,接着输入“an%d 1=2 unio%n selec%t 1,2,3,4,5,6frO%m admin”,结果却出错了,把“%”去掉却提示在联合查询中所选定的两个数据表或查询中的列数不匹配。

不知道是怎么回事了,这个拦截系统太麻烦,再来看看有什么别的可以利用的,发现网站上还有一个同学录,打开后发现很眼熟,原来是风华同学录,下面的版权信息注明是风华同学录,不过这里使用的应该是2.0的版本,因为我以前高中学校的网站使用的也是这个同学录,所以我对这个同学录比较熟悉,也找到了它的一个注入漏洞,先来注册一个会员,然后再加入一个班级,在班级信息处选择“查看/添加”本校教师,选择一个教师的详细信息。

我们在网址后面添加上一个“'”,提交后报错了,我又到网上下载了一套源码,查看了一下teachiist.asp文件的代码,具体代码我就不贴出来了。

漏洞就在这个detail()子程序里,变量TeacherID接收到的id的值没有经过任何过滤就代人数据库操作导致了漏洞的产生,不过这个文件包含了一个验证用户的文件,需要登录后才能利用,所以不能直接把这个注入点放到啊D里跑,只能使用手工的方法了,使用“order by”语句猜出当前表表字段数为9,在注入点后面输入“and 1=2 union,selectl,usemame,password,4,5,6,7,8,9from admin”,猜出了管理员的帐户和密码。

要想登录后台,必须要用管理员帐户先登录前台,还要猜前台帐户的密码,选择注册校友,在用户列表里发现有一个skyma的用户,管理员后台的帐户为skymama,这个很可能就是管理员的前台帐户了,在注入点后面输入“and 1=2 union select1,userid,userpwd,4,5,6,7,8,9 from student where userid=“skyma"”,猜出了管理员前台帐户密码,使用猜到的后台成功登录进入后台。

接下来就是拿webshell了,这个系统后台能利用的地方很少,没有备份,数据库是asp的后缀,基本信息写在数据库里,由于数据库加了密码,导致插入的一句话木马不能被解析,上传也没什么漏洞,之前我没有找到拿webshell的方法,但是这次是帮别人检测,拿不到webshell岂不是很没面子,只好硬着头接着找,试试最新的文件解析漏洞行不行,在班级相册里上传一个图片,发现图片被重命名为了2010291939373878.gif,这样上传类似1.asp;1.jpg这样的图片就无效了,再来看看后台,发现后台可以更改图片上传的目录,把upload改为upload.asp再到前台上传图片,提示保存路径的目录不存在,看来上传文件里没有如果检测不到上传目录就自动创建的代码,这样就不能利用文件夹解析漏洞了。

我停下来想了一会儿,真的就不能利用最新的文件解析漏洞了吗?虽然不能直接上传类似于1.asp;1.jpg这样的文件,但是却可以构造这样的文件啊,如果把上传目录政为“upload/1.asp;”,再在前台上传一个图片,图片的地址会不会变成“upload/1asp;2010291939373878.gif"这样呢?我马上在后台试验,修改上传目录为“upload/1.asp;”,再到前台上传一个图片,查看图片地址,确实构造成功了。

这样就好了,我马上把一句话木马插入到图片里上传上去,然后使用一句话木马客户端进行连接,但是却没有出现大马的界面,怎么回事呢?我在本地测试了一下,发现是图片的代码太多了,一句话木马没有被解析,把一句话木马,木马插到文件头GIF89a的后面,重新上传,再来连接一下,终于成功连接上了。

Websehll总算是拿到的了,入侵就此结束。

这篇文章并没有什么新的技术,只是把学到的知识灵活运用了一下而已,希望这篇文章能对大家有所帮助。

相关推荐