图1
习惯性地看看有无上传之处,居然没有发现有上传图片或其它东东的地方。不死心,注册一个用户,仍然没有发现可以上传或发表文章之处。再看看有无注入漏洞,在网址后面加上“'”,提示“请勿输入非法字符”,说明已做了防注入处理。不甘心啊!再加上“and 1=1”仍出现这个提示。如图2所示。
图2
看到上面有一个论坛,是动网7.0-SP2的,试试上传页面,不存在上传漏洞。看上去这个网站还算安全。不过,这个论坛只开了个几栏目,边图标都是动网的没有改。感觉管理者不会太专业,也没有怎么打理,会不会都是按默认安装的?于是试试默认的数据库名,果然一炮命中!数据库是默认的Dvbbs7.mdb。下载后用查看软件打开,在DV-Log中查找,如果管理员修改密码,这个记录中可以找到明文密码。果然找到了密码,如图3所示。
图3
进入后台,由于SP2的后台也不能上传,于是先在论坛发张帖子,上传一个图片文件,然后在后台通过备份数据库的方式获得了一个WebShell,再删除这个帖子,做到不留痕迹。这种方法大家很熟悉了,就不多说了,这里是网站当时留下的操作记录,如图4所示。
图4
有了WebShell就好办多了,用站长助长6.0在线查看数据库,居然是明文密码!顺利进入后台,仍然没有找到是什么系统……郁闷。
利用WebShell试试能否浏览和遍历硬盘,没想到却提示找不到路径,执行命令也没有反应,看来主机商的安全设置还不差。本来入侵到这里就基本结束了,但我在看网站文件时,发现了这个系统的上传漏洞。它其实是有上传文件的,只是不是以前通常的Upfile,.asp,而是叫Upload_flash.asp和Upfile_flash.asp。如图5所示。
图5
看了一下它的代码,发现路径是从提交中接收的,并且没有过滤,也就是说同样存在上传漏洞。于是拿出老兵的万能上传工具上传ASP后门,提示成功,但找不到文件名,试了几个可能的地方都没有!再直接访问该页也提示成功,原来这个提示是假的。如图6所示。
图6
老兵的万能工具都搞不定?怪事!于是决定抓包看看。具体抓包就不说了,这是抓包结果(前面部分)如下:
POST /xshop/upfile_flash.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.hzlook.com/xshop/upload_flash.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d4b89201ec
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WHCC/0.6; .NET CLR 1.1.4322)
Host: www.hzlook.com
Content-Length: 2002
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSASDRTSD=DACEIKEALOCGCEPDAPNLFLJI; BoardList=BoardID=Show
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="filepath"/
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="filelx"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="EditName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="FormName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="act"
uploadfile
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="file1"; filename="G:\hk\2004\upshow.asp"
Content-Type: text/plain
……
……
接下来当然是修改数据包,修改路径参数,改ASP为JPG,并进行相应的处理,然后用NC提交,居然提示“该文件类型不能上传!”,难道它会判断文件是否真为图片?上传一个真正的图片文件,这样也便于得知文件到底传到哪了。意外的是,真图片它也提示“该文件类型不能上传!”,这就怪了,以前还从未遇见连真图片都不能传的,只好再读代码。找到了关键代码如下:
if (filelx<>"swf") and (filelx<>"jpg") then
response.write "该文件类型不能上传! [ 重新上传 ]"
response.end
end if
…………
if filelx="jpg" then
if fileext<>"gif" and fileext<>"jpg" then
response.write "
只能上传jpg或gif格式的图片!
原来,在判断文件类型前,还有一个判断!先看文件类型Filelx,再看扩展名类型Fileext,这比动网多了一个判断,而我的抓包中,Filelx是空白,当然不能上传了,也怪不得老兵的工具无效呢。
找到了原因就好办了,当然是再来修改数据包,在“Content-Disposition:form-data; name="filelx"”下增加了“jpg”,并进行相应处理后,终于用NC上传成功!
看来,这是一个新的漏洞,但我实在不知它是什么系统,用关键字搜索,找到一大堆网上商城网站,看了几个,仍没有提示是什么系统,但有的看上去同动网后台相似,试试这些网站,同样有这两个上传文件,也同样能用NC上传ASP文件。这样太麻烦了,于是自己写了一个上传工具,找一个上传一个,一会儿就有一大堆WEB肉鸡了,如图7所示。
图7
特别要说的是,有一台是虚拟服务器,居然可以遍历盘符和执行命令,几十个网站一下都在手中,而且还开了3389,我当然不会放过,如图8所示。
图8
我写此文时特意到网上找了一下,同这个网站相似的,有的叫秋叶商城,有的叫动感购物商城,都存在这个上传漏洞。可能是以前的上传工具无效吧,才使得这个漏洞较其它上传发现得晚,不过到目前为止,还没有上传工具,我的上传工具就献给大家吧!不用太感谢我,嘿嘿!
