| 3.4.4 利用新云网站管理系统漏洞攻击案例(1) 通过本案例可以学到: ① 了解新云网站管理系统; ② 利用新云网站管理系统存在的SQL注入漏洞、文件下载漏洞以及文件暴露漏洞等来获取Webshell。 通过对新云网站管理系统Version 2.0.0 Access 免费版进行代码和实际测试分析,发现该版本系统存在多个安全漏洞。本案例通过一个实际案例来介绍如何利用新云网站管理系统的漏洞来获取Webshell,感谢网友"逍遥复仇"为本案例提供了一些素材,具体步骤如下。 从后台寻找关键信息。在网站地址后加上Admin后进入后台管理,如图3-124所示,在该后台页面中可以看到"新云网络"、"新云网站管理系统"字样,由此我们可以判断该系统极有可能采用的是新云网站管理系统。  (点击查看大图)图3-124从后台寻找关键信息 技巧 ① 网站的后台页面、前台页面以及其他页面极有可能包含一些说明信息,例如开发商的宣传图片、版本、说明等。通过查找这些信息可以进行网站是否采用了现有一些管理系统。 ② 在对一个网站进行入侵或者安全检测时可以使用telport等软件将网站整个文件全部下载到本地,然后对文字、图片以及内容等进行查看,从中获取有用的信息。 查找新云网站管理系统目前存在漏洞。通过Google、百度等搜索引擎查找"新云 漏洞"等,其结果表明新云系统存在以下三个方面的漏洞。 ① 系统中的Articlepost.asp文件存在注入漏洞,具体位置在user/articlepost.asp文件第333行,第333行代码如下: SQL="select ArticleID,title,content,ColorMode,FontMode,Author, ComeFrom, WriteTime, username from NC_Article where ChannelID=" & ChannelID & " And username=’" & Newasp.MemberName & "’ And ArticleID=" & Request("ArticleID") 代码中直接将Request("ArticleID")放到查询语句里面了,通过分析Articlepost.asp文件中的333行上下的代码,没有任何过滤;只要用户发文章的权限均可以可以构造以下SQL注入语句: articlepost.asp?ChannelID=1&action=view&ArticleID=1 union select 1,2,3,4,5, username,password,8,9 from nc_admin 注册并登录的用户可以直接在浏览器上输入以上语句,就可以爆出管理员的表和代码。如果数据库是采用MSSQL的,也可以同样进行利用。另外,在同文件夹下的Softpost.asp文件中也存在类似的问题。 ② 数据库文件下载漏洞。在新云网站管理系统Version 2.0.0 ACCESS 免费版中数据库文件的默认名称为#newasp.mdb,可以直接在浏览器中通过输入地址http://127.0.0.1/database/#newasp. mdb下载数据库文件。其原理是将"#"换成"%23"即可下载数据库文件。 ③ 文件暴露漏洞。在网址后直接加上flash/downfile.asp?url=uploadfile/../../conn.asp即可下载conn.asp文件。该文件包含了数据库的实际路径等信息,获取了这些信息便可以下载数据库,获取管理员的密码等。 进行漏洞是否存在的实际测试,通过文件暴露漏洞下载conn.asp文件。在网址后台地址直接加上"flash/downfile.asp?url=uploadfile/../../conn.asp",如图3-125所示,出现文件下载安全安警告提示对话框,单击"保存"按钮将该conn.asp文件下载并保存到本地。  (点击查看大图)图3-125下载conn.asp文件 说明 通过浏览器或者其他下载软件下载网站的以后缀为.asp/.asa等文件时,文件虽然下载到了本地,但文件中的内网却是普通HTML代码内容,这种情况表明该网站ASP类文件不能进行下载。 获取数据库的实际地址,下载数据库文件。直接打开下载的conn.asp文件,从中可以看到数据库的实际地址为网站根目录下的Database目录下,如图3-126所示。  (点击查看大图)图3-126获取网站数据库的名称和实际路径 在浏览器中输入数据库的实际地址,如果数据中含有#号,则需要将其替换为"# ",例如http://www.somesite.com/database/#mydatbase.mdb按回车即可将其下载到本地计算机。 登录后台并上传ASP木马文件。打开下载的数据库文件,找到并打开"NC_Admin"表,复制Password的MD5值,然后通过www.xmd5.com等网站或者md5Crack等软件来破解该MD5值。成功破解后,使用其来登录后台管理,成功登录后台后,选择"下载中心"将ASP木马默认后缀".asp"更改为图片后缀".jpg",然后将其上传到网站,如图3-127所示。  (点击查看大图)图3-127上传木马文件到后台 备份数据库得到WebShell。在后台管理中选择"数据备份"将数据库备份为ASP文件,备份路径为"\admin\databackup",备份文件名称为"nohack.asp",如图3-128所示。  (点击查看大图)图3-128备份数据库文件 测试ASP木马是否能够正常运行。在IE浏览器中输入刚才的备份地址:"http://www. ***.com/admin/databackup/nohack.asp",直接打开得到了Webshell,如图3-129所示。  (点击查看大图)图3-129测试并得到WebShell 至此已经得到了网站的WebShell,后续工作就是提升网站权限,提升权限在本案例中不讨论。本案例继续探讨如果利用已经获取的信息来进一步的获取更多WebShell。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 13:22 , Processed in 0.133179 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
