我的web+asp攻擊

asp+sql攻擊大家已經耳熟能詳了，大略攻擊步驟像下面：

520)this.width=520;" style="CURSOR: hand" οnclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/151946.gif" οnlοad="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0>

以上的總結，只是亂寫的，只是我的個人經驗，其中主要的是靈活運用，舉幾個簡單的例子。

在access注入後有時候會遇到管理員纔可以用的上傳頁面，就可以又直接執行前面一步，即檢測asp上傳漏洞。在mssql注入時，也許會遇到sa，卻沒有所有的權限，也許僅可以使用軟件列出目錄，就要根據實際情況自由發揮，所以我說我是亂寫的。

以上那段話是爲了引出我的這次入侵過程。

這個站是朋友讓我幫忙的，他們的技術都很不錯，所以他們給我看的站，開始也沒什麼把握，我們在一點一點地分析站點裏所套用的每一個程序，有了點滴成果，就拿出來共同討論一下。

首先要蒐集這個站點上面所套用的程序，或者是子站點，從域名www.xxx.com看到頁面是幾個論壇

520)this.width=520;" style="CURSOR: hand" οnclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/152350.gif" οnlοad="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0>

看到動網就興奮，桂林老兵的上傳利用工具，試了一通，結果不出所料。

一個站點如果只有論壇，沒有主頁，顯然有點浪費空間。ping了一下，ip出來了，whois結果是隻有一個域名幫定了這個ip。朋友剛好告訴我把ip打進去，就有一個站，果然，asp的，拿着我上面的辦法“過”了一遍，注入，mssql,sa，我是獨立ip，架了tftp，讓朋友去執行，結果沒反應，後臺頁面沒找到，注入時nbsi反映很慢，只好另尋他途。

這裏有個文章系統，沒見過的，管理頁面沒找到。其實，我看到都不是圖文的新聞，證明他不能上傳圖片，就有點鬱悶。但是也不能放過，隨手輸入edit.asp，提示錯誤是說缺少一個值，看到錯誤，說明頁面存在。根據這個小程序，我猜想管理員的習慣會把id=作爲那個編輯文章的頁面，就把id=1添上，還真的可以編輯頁面，不需要驗證管理員。我在文章裏輸入一個空格，點確定，竟然到了編輯管理後臺裏。可以更改不是目的，要的是webshell。

繼續察看，從圖片路徑上看（像www.xxx.com/image/aaa.gif一般都是做主頁時放上去的，不會有上傳頁面，如果你發現圖片路徑是upload/aaa.gif，下一步你就可以找upload.asp,uppic.asp,upfile.asp等等，十有八九能碰上。這也是經驗）/image/aaa.gif，看起來不像是上傳進去的，果然就這樣沒辦法了。

我突然想起來，那個論壇的前面主頁，連接着3個論壇，有一個是6.0！朋友說，這個論壇不允許註冊。暈倒，管理員有毛病？不讓註冊我懷疑是有漏洞,他沒補上,所以不敢讓註冊.或者是別的原因吧.但是6.0的暴庫,也很好玩!如果給我了密碼,進後臺,就可以更改註冊信息,放入asp木馬了.我就是不死心!不信你的論壇個個都是牛人!一個弱密碼都沒有!一頁一頁的看,終於被我找到一個白癡222111密碼一樣.可惜,暴庫不成功,害我費了1個多小時猜密碼!察看管理員組,很明顯,這幾論壇都是一個人做的.所以統一打了補丁,不會有問題,或者被人進來過?想到這些,輸入uploadface/ok.asp,uploadface/image.asp,uploadface/shell.asp都沒有東西,仔細一看!鬱悶死了!在uploadface下的權限被設置了!不允許執行可執行文件如cgi,asp,看來這個管理員不是菜鳥.

520)this.width=520;" style="CURSOR: hand" οnclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/152917.gif" οnlοad="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0>

爲了不放過任何地方,我開始嘗試猜解管理員密碼,每個論壇都是兩個管理員,一男一女,密碼很可能都一樣,可惜俺就是猜不出來...(誰拿西紅柿砸我?先等一下嘛!如果最後沒進去,我寫這個做什麼?)

又一次陷入困境,我眼紅的盯着這個站,鼠標胡亂移來移去,突然!我看到了友情論壇,鼠標一閃而過,好像是個ip地址後加相對路徑,難道是他本機上的?剛纔ping的地址忘了,再來一次.哈哈,又有一條路!這裏還不只一個論壇,一個是聶影的論壇,一個是千年網絡遊戲的論壇,都是7.0動網,還是老辦法,先看動網上傳,唉...失望慣了,白激動一場。

看着這兩個論壇,千年,還是那個管理員作的。但這個聶影的,卻不是,而且這個聶影的論壇只有一個版面,顯然是新辦好的.隱約感覺到問題會出在這裏.有可能這個管理員是菜鳥!輸入默認數據庫路徑,不存在,備份目錄下也沒有.可能是人家先幫他弄好了纔給他的.

也許很多人在這裏會放棄,但我,就是不會死心.我看一個站,感覺它不是個牛站,感覺它會有漏洞,就會從早到晚,沒日沒夜地觀察。我堅信一定會有突破!習慣的深吸一口氣,把我用過的招數複習一遍,然後繼續觀察.在我開始換一種思路的時候,突然想到,最後那個論壇,還有個管理員.我還沒有猜弱密碼!保持平靜的心情,打開這個管理員的用戶資料,看起來,這個郵箱是真的,就先拿它做密碼.

520)this.width=520;" style="CURSOR: hand" οnclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/154413.gif" οnlοad="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0>

看到進入論壇頁面,心情,就不用說了,前後幾個小時的努力,終於讓人激動了一下.這種密碼不用說,也是後臺的,趕快上傳"圖片",我倒!怎麼?還不行了!莫非根本是把asp的內容作了手腳?試着上傳真的圖片,竟然可以.這裏很明顯了,他允許上傳圖片,但是會檢查的.幾匹馬都試了,還是不行.我在後臺基本設置裏選擇無組件上傳，顯示服務器支持，卻不能上傳，很顯然是作者因爲服務器不支持，故意改爲

520)this.width=520;" style="CURSOR: hand" οnclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/154304.gif" οnlοad="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0>

它是故意過慮了asp文件，或者是檢查圖片，沒關係，有辦法！用那個腳本插入圖片的工具，我插入冰狐浪子。

520)this.width=520;" style="CURSOR: hand" οnclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/154537.gif" οnlοad="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0>

最後上傳成功，在後臺改爲asp文件，這裏不能保存在uploadface目錄下，那裏可是不允許可執行文件訪問的。就這樣，幾經波折，拿到了webshell

520)this.width=520;" style="CURSOR: hand" οnclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/154624.gif" οnlοad="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0>

但是拿到了WEBSHELL卻發現有的目錄沒有寫權限，而我的目的是只要是WEB目錄都有寫權限。由於這個站裏面有SQL SERVER，我在WEBSHELL裏找出來數據庫連接文件：

connStr="Provider=SQLOLEDB.1; Persist Security Info=True; Data Source=.; Initial Catalog=scyg; User ID=sa; Password=format c:"

昏，密碼竟然是format c:，個性！用SQLTools.exe連上以後不能執行命令，
xp_cmdshell人家在這裏早作好了防備。用砍客聯盟的木馬客戶端觀察進程發現d:盤有SERV-U，這個目錄剛好是可寫的。就在本機裝了一個和肉雞版本一樣的SERV-U，然後下載他的ServUDaemon.ini覆蓋我的，打開FTP管理，改密碼和可瀏覽路徑，最後替換他的文件，可是最終結果還是失敗。

正當我想要放棄的時候，看到進程裏還個有pcanywhere，高興ing！在他的硬盤中翻出來CIF文件，複製到WEB目錄並下載，然後用PcAnyWhereCrack.exe查出了用戶名和密碼。呵呵，以後的事情就簡單了。