金梅写真程序2003版本是金梅ASO程序专卖店出品的一款收费的ASP+ACCESS程序,在其网站上是明码标价250元出售的,这套程序可能知道的人并不多,但目前金梅专卖店的另一款金梅收费电影程序2003第三版在网络上风头正劲,被许多电影网站所采用。一开始我是想在网上下载金梅专卖店的电影程序来看看有什么漏洞可以利用,如果被我看出来的话,我可就有免费电影看了,呵呵!但可惜在网上一直没有搜到这套源码,倒是意外的找到了金梅写真程序2003版本的源码下载,看来它是难逃此劫了啊。
很快,我在本机安装完这套程序后几乎不到1分钟,就发现了第一个漏洞:popnw.asp文件没有对ID参数做任何的过滤,在popnew.asp源码里设立到ID这个参数时候,只是简单写到:SQL=”select*from news where articleid=”&request(“id”)。对于这种利用SQL注射的攻击方法,大家也都耳熟能详了,就是利用跨表子查询来破解管理员的用户名和密码,可以在www..******. com/pomnew.asp?id=num这个语句后面用SQL语法构造and 1=1和and 1=2条件为真或假的等式,根据页面看亏回来的不同信息来破解出管理员的ID和密码,但是这种方法要猜很多次才能猜出一个正确的结果,而且如果目标网站的管理员用了中文ID和密码的话,恐怕又要多费一番周折了。先将这个漏洞放一边吧,再来看看有没有别的漏洞。
没过多久,又发现了这套程序的第2个漏洞,整套程序的逻辑验证不严导致了像我这样的“恶意”用户可以利用那个UPfile.asp上传任意文件。我们来看一下这套金梅写真程序的工作流程。登录后台的关口程序login.asp->输对用户名和密码后登录->正确登录后产生cookie值,cookies(“name49s”)=true->如果cookie值name49s为true,就可以调用upload.asp向upfile。Asp提供数据生成上传文件,如果cookie值name49s为false就返回login.asp重新登陆,好像这一切都很完美,表面上看来无懈可击,但恰恰忽略了向upfile.asp提供数据的不一定就是upioad.asp!所以我们可以用一个本地的表单直接向upfile。Asp提供数据!
我们在本机装好一个金梅写真系统,输入管理员的用户名和密码后,来到上传页面,现在本机的路径是http://127.0.0.1/sap/xj/UPOAD/upload.sap,我们将它保存成html网页到本地,并修改本地这个html页的action=”upfile.sap”改为actiob=heep://目标网站的写真程序的web目录/UPLOAD/upfile.asp提交一个海阳顶端网ASP木马,就可以成功上传了!
或许读者会问,就这么简单吗?错!源码作者也不是吃素的!程序中还是做了一定的防范的,ASP木马上传是上传了,文件上传到http://目标网站的写真程序的web目录/UPLOAD/imgwsf/这个目录。但是我们却无法得知上传的文件名字,因为upload.asp将我们上传的文件名字改了名字,看看upfile.asp源码吧,它是如何改名字的
原来在UPfile.asp接受表单程序中,上传文件的3个字母后缀名字没有变化,只是把前面改为了服务器的当前时间中所有数字加个0而已,比如服务器的当前时间为2003年的10月8日23:19:02,我们传了一个asp程序,那么就会在http://目标网站的写真程序的web程序/UPLOAD/imgsf/这个目录下生成200312319020.asp这个文件。
好,明白了过程,我们再来!看好时间,现在是2003年10月8号的22:22分(秒数我们不可能估计的准),我们上传一个asp木马,于是有个最简单也是最有效的办法就是依次来试60次提交的URL!
肯定会找到上传的ASP木马!呵呵,这个漏洞倒是有趣。
看到这里,聪明的读者一定也找到了我文章的“漏洞”了!这个漏洞和上面的漏洞相比,仍有两个问题,一个是仍然要猜N次后才能得到ASP木马的URL,第二个是如果服务器的时间比本地的慢或者快很多的话就麻烦了,我们不知道要猜测到什么时候才能猜到上传后的木马名字了。
虽然有了这两个漏洞,但是利用起来都很麻烦呀,可不像我题目中写的那样轻取金梅写真程序2003版,于是聪明人说了,你肯定发现了第三个漏洞,一点也没有错,最后我正是利用cookie欺骗取得了金梅写真程序2003版的管理员密码,我们来看下change。Asp的部分源码。
这是一个金梅写真程序的后台管理文件,它将管理员的用户名字和密码直接显示在chnage.asp页面当中了,而看change.asp源码得知,要想看到change.aso显示页面,唯一的要求是cookie的值cookies(:name49s”)=true,为了验证一下我的想法,我打开了本机装的金梅写真程序的http://127.0.0.1:81/asp/xj/SHANGE.ASP(图一),用了WSockExpert.exe这个小东东来抓包,得到了下列数据(图二)
哈,一切都在我们的掌握之中,我们不能只在本机折腾了,修改一下我们得到的数据中的IP地址和CHANGE.ASP的URL,用ACCESSDRIVE这个工具中的http DEBUGGER来发送把。在http DEBUGGER的每个选项(httpaddress.postdate.ugercookie.urlReferer)里对应修改填入我们抓到的数据后,再点击一下connect按钮。看看我们得到了什么?
于是,我们就知道了网站的管理用户名和密码是ADMIN和jet&downpic,现在我们就可以登录后台正大光明的上传一个ASP木马来扩大我们的权限了(图四)
本文为网络安全技术研究记录,文中技术研究环境为本地搭建或经过目标主体授权测试研究,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,在挖掘、提交相关漏洞的过程中,应严格遵守相关法律法规。