我最近比较清闲,为了检验自己的技术水平,于是就帮一位电脑老师检测了他的网站,在浏览器中打开学校的网址,在网址后面分别添加上Default.asp、Index.asp、Default.php和Inctex.asp进行提交,结果Default.asp返回了正确的页面,看来网站是使用ASP开发的。
网站上包括了新闻、图片、音乐等栏目,我随手点开了一条新闻,然后在其地址“http://www.xxxcn/new/vlew.asp?id-466”后面添加了一个“’”并提交,结果显示出来的页面立刻变成了“此文章已删除……”,这有可能存在注入漏洞哟。我又在网址后面分别添加“and 11”和“and 12”进行提交,结果也得到了不同的页面,没错,是注入漏洞。
拿出工具顺利的猜解出了用户名和MD5密码,我把猜解出来的MD5密码拿到CMD5网站上去查询,可惜却没有查询出来,估计是加了符号的缘故吧。看来注入这条路是行不通了,我继续在首页上闲逛,无意中看到了“成长博客”这个栏目。
有博客?前段时间不是爆出了很多ASP博客的漏洞吗?我就点进去看了看,原来使用的是Oblog的博客。Oblog似乎前段日时间爆出了一个ATTACHMENT.ASP参数处理不严的漏洞,而且官方的补丁还补不严。我分别在浏览器中打开,都返回了OBLOG的logo,看来漏洞已经被管理员修补了。又尝试了好多注入点的爆库,结果也都失败了,看来这个网站的安全性还是比较好的,所有的漏洞都“戴了套”。
这时,我又看到了一个叫做“小小画范”的栏目,打开一看,原来使用的是动网8.2系统,大家应该都知道IIS的文件名解析漏洞吧,也就是诸如“hacknote.asp;hacknote.jpg”这类的文件名在IIS中都会被当成“ASP”来解析,而动网论坛默认带有个人空间功能,而且还支持自定义模版,我们正好可以利用。
论坛的注册功能已经被锁定了,但记得我以前曾经注册过的,于是就来到了登录页面,输入印象中的用户名和密码,用户名是输对了,但密码老是错,唉,我RP不会那么差吧!终于,在尝试了半个小时之后,终于奇迹般的登录了,来到“我的主页”一“个人空间管理”一“自定义风格”,接下来就是最关键的一步了,很多人都是在这儿失败的,因为打开文件管理后看不到上传,要解决这个问题其实很简单,在“样式风格ccs修改里”随便修改一个图片名称,点击“保存设置”,然后就会来到一个提示成功的页面,接着文件管理就可以使用了。
打开文件管理,上传限制是100K,但是心动吧的ASP大马却是112K(唉,真是RP爆差啊,怎么老是遇到这种限制呢),而别的大马又不好用,于是在工具包里翻了翻,找出了小勇4K的ASP小马,立刻改名为“hacknote.asp;hacknote.jpg”进行上传,上传成功后打开小马,这回运气不错,“userskins/”目录没有被限制执行权限,真是百密一疏啊,再接着就是在小马中写人心动吧大马进行上传了,打开传上去的大马,熟悉的界面出现了,输入默认密码abcxd,登录成功了。
看来权限还是很大的,就是CMD不能运行,不管它了,反正服务器安装了Serv-U,直接使用大马自带的SU提权功能新建一个帐户提权,运行3389准各登录时,却发现无法登录,原来是服务器在内网中的。到了嘴边的肥肉却吃不到,怎能甘心呢?使用NC把端口反弹到本机(各位,这个有点危险哦,小心被抓),这样就可以登录了。
因为管理员的疏忽,没有对“userskins”限制执行权限,从而导致了严重的后果,使得我直接拿到了最高权限,假设这不是测试,而是一次真实的攻击,且论坛允许用户注册的话,那么所引起的后果该有多大?在此,也提醒各位站长,做好第三方程序的安全防护,禁止上传目录的ASP执行权限。
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。