前几天在网上转悠,看到有人公布了SiteDvnamic企业网站管理系统的一个漏洞,利用该漏洞可以轻松得到wcbshell,由于正值放假,也懒的测试,这几天闲了,才从网上下载了SiteDvnamic企业网站管理系统并在虚拟机里搭建了一个环境来测试,根据网上介绍的方法成功得到了webshell。
这个漏洞是出在AdmiYdatabase目录下的index.asp文件上,由于该文件没有包含判断是否已经登录的语句,就导致了任何用户都可以在没有登录后台的情况下访问到,从而泄露了数据库路径,在下载数据库并得到管理员用户名确和密码进入后台后就有可能得到webshell,(为什么要说“有可能”呢?这主要是与web服务器的系统版本有关,下面我会提到的)。
SiteDynamic企业网站管理系统分为标准版、多语言标准版、企业版和免费版等四个版本,其中前三个版本都是收费的,我从官方网站http://www.xxx .cn/prduct/sitedynamiU2008/6/129.html下载的是最新的免费版来进行测试,获取webshell的方法和操作过程很老套也很简单,高手大虾和已经会了的朋友就请直接飘过吧!
我在虚拟机的Windows2003 下安装好了这套企业管理系统,我们直接存浏览器中打开http://127.0.0.1/admin./daabase/index.asp,看到了什么?直接来到了数据库管理页面,点击“数据库压缩”就看到了当前的数据库路径和名称。
没有登录后台我们就可以直接访问某些管理页面了,在浏览器中直接访问得到的数据库地址http://127.0.0.1/database/c3b3ceb5da27lai.mdb,就出现了下载页面。下载数据库后使用辅臣数据库浏览器打开它,在db_system表中找到了管理员的用户名和密码,不过密码经过了md5加密,没关系,我们到在线md5破解网站去查询一下,密码不是太复杂的话很容易就可以查到的。如果我们成功的得到了管理员密码,就可以进行下一步了,使用得到的管理员用户名和密码登录后台(后台默认目录是admin),登录成功后什么也不要做,直接在浏览器里打开http://127.0.0.1/Admin/finder/Deault.asp,就来到了文件管理器,可以上传文件,不过却过滤了asp、asa等格式,我们还可以利用它创建目录,而且可以创建类似test.asp这样的目录,这时大家们想到了什么?是不是已经想到了Windows2003 lIS6.0文件解析路径漏洞,也就是当文件夹名为类似hack.asp的时候(也就是文件夹名看起来像一个ASP文件的文件名),此时这个文件夹下的任何类型的文件(比如.gif、.jpg、.txt等)都可以在IIS中被当做ASP程序来执行。如果web服务器使用的是Windows2003系统,那我们就可以利用这个漏洞了,我的虚拟机系统正好是Windows2003,完全可以利用。
我们新建一个名为test.asp的目录(第一次点“新建目录”按钮的时候会弹出一个是否允许脚本执行的提示框,选择“临时允许执行脚本的窗口”,再点一次“新建目录”按钮就可以新建目录了),然后访问http://127.0.0.1/Admin/,选择“管理工具”-->“系统设置”,把上传文件路径由原来的/uploadfile/改为/uploadfile/test.asp/(其中test.asp对应着我们刚才建立的test.asp目录),点击“提交”保存更改,然后再次打开http://l27.0.0.1/Admin/finder/Defun.asp,通过“浏览”按钮选择一个已经把名字改为hackerxfiles.jpg的小马,点“upload”按钮进行上传,上传成功后点一下上传的文件就可以看到上传文件的路径了,显示小马的路径为/uplodfile/test.asp/2009/02/2009020117261444.jpg,我们在前面添加上服务器的地址,完整的访问地址就是http://127.0.0.1/uploadfile/test.asp./2009/0212009020l17261444.jpg,来访问一下看看,我们可爱的小马出现了,再用它写个大马传上去,也成功了。
至此,成功的得到了webshell。
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。