主要清晰思路------记一次NC改包拿SHELL
时间:2010-11-24 来源:fdsajhg
一:先简单分析下网站
asp的,网站做的很大方,简洁,这也是我喜欢的原因
手工加了个单引号'页面发生跳转,明显的做过过滤了,又翻了几个ID链接,仍旧如此。于是注入就放掉。
后台弱口令,admin/admin, 'or'='or'/'or'='or', admin/admin888,等测试了一般的都没用。呵呵,看来得详细搜集下网站信息了,那就先看下网站的目录结构吧:
二:网站目录结构
看下扫描结果:
Connecting 210.51.*.*:80... Succeed!
Trying To Get Server Type... Succeed!
Server Type: Microsoft-IIS/6.0
Testing If There Is A Default Turning Page... Not
Found: /admin/ (HTTP/1.1 200 OK) !!!
Found: /admin/manage/ (HTTP/1.1 403 Forbidden)
Found: /../admin/login/ !!!
Found: /upload/ (HTTP/1.1 403 Forbidden) !!!
Found: /index.htm (HTTP/1.1 200 OK) !!!
Found: /index1.asp (HTTP/1.1 200 OK) !!!
Found: /../admin/ !!!
Found: /admin/index.asp (HTTP/1.1 200 OK) !!!
Found: /news/ (HTTP/1.1 403 Forbidden) !!!
Found: /editor/admin_login.asp (HTTP/1.1 200 OK)
Found: /editor/ (HTTP/1.1 403 Forbidden) !!!
Found: /editor/db/ (HTTP/1.1 403 Forbidden) !!!
Found: /editor/upload.asp (HTTP/1.1 200 OK) !!!
Found: /editor/db/ewebeditor.mdb (HTTP/1.1 200 O
Found: /admin/manage.asp (HTTP/1.1 200 OK) !!!
Found: /admin/ (HTTP/1.1 200 OK) !!!
Found: /admin/ (HTTP/1.1 200 OK) !!!
Found: /Editor/ (HTTP/1.1 403 Forbidden) !!!
Found: /Inc/ (HTTP/1.1 403 Forbidden) !!!
Found: /News/ (HTTP/1.1 403 Forbidden) !!!
Found: /common/ (HTTP/1.1 403 Forbidden) !!!
Found: /data/ (HTTP/1.1 403 Forbidden) !!!
Found: /pic/ (HTTP/1.1 403 Forbidden) !!!
Found: /service/ (HTTP/1.1 403 Forbidden) !!!
三:简单分析利用信息
貌似很多可利用的信息:
我们逐步分析:
(1)
/admin/
/admin/index.asp
/admin/manage.asp
这几个是后台页面,因为搞不到密码,后台就前不提了
(2) /upload/
这个里面一般是上传的图片文件,所以也没什么利用信息
(3)editor/admin_login.asp
编辑器管理登陆页面,可以测试下默认密码是否可以登录,不过现在很多站防范措施很好,都不是默认的了
(4)/editor/db/ewebeditor.mdb
编辑器数据库,可以下载下来查找登录密码,这里我们可以下载下来,但密码暂时破不了。
路到这暂时断了,该如何呢???
四:发现利用信息:
再次把以上的信息分析了下:
发现了利用信息
admin/manage.asp
这一页面可能没有严密的验证,导致这一进入后台管理页面:如图:
但是我在后台找拿SHELL方法时,也有局限性,因为有些页面经过session验证,导致我们无法访问
譬如:譬如添加图片等页面,它会跳转到后台登陆页面,不过在修改文章处,可以正常进入上传页面:
五:重点之NC巧妙改包,拿下SHELL
如图上传页面:
我们按常规的抓包,改包来测试下
发现有上传路径,想着应该很容易搞定:
下面简单改包:
路径后面加几个字符:
2 .asp 后面有个空格,别忘了,呵呵
完整的为:http://www.cnblogs.com/../UploadFiles/Product/2.asp
Content-Length: 4279
长度需要改下:
因为加了6个字符,所以再加6,那就是:
Content-Length: 4286
下面我们用十六进制编辑器改下那个空格,2改为0
修改前
修改后
然后就是提交包了
提交后的结果如图:
这是为什么呢,我们来看前面,上传那个图片
http://www.cnblogs.com/../UploadFiles/Product/_2009101810505991000.jpg
我们上传图片后,他自动为生成一个前带下划线的图片文件,
那我们如何突破呢,
思考了下,还是利用IIS解析漏洞吧,我们把包数据改下:
/http://www.cnblogs.com/UploadFiles/Product/2.asp;
倘若我们直接在后面加个分号,那我们上传后地址会不会变为:
/http://www.cnblogs.com/UploadFiles/Product/2.asp; _xxxxxxx.jpg 呢,这不正是IIS解析漏洞所以利用呢,原理感觉很是正确
光想不行,还得实战测试
呵呵,理想的效果出现
立即访问小马地址
就这样搞定:
六:拓展思路测试:
经过再次思考,测试,如果IIS解析漏洞用不了,那怎么办呢!
于是我们再改下包,
/http://www.cnblogs.com/UploadFiles/Product/2.asp
2.asp 后面我们不加分号了,加两个空格,
我们提交看看效果:
OK,呵呵,理想的马儿,
可以正常访问:
七:结语:
测试到这,只为源码,不为别的,
相关阅读 更多 +
