作者:绝情
本文已经发表在黑客X档案08年第3期,转载请保留作者博客和黑客X档案信息。

起因:

我的高中同学明年毕业,今年实习去了这家公司,公司声明培训后会在某知名品牌电脑公司做话务员,但是交完6000元的培训费之后,却都纷纷被派往一些小公司做话务员,所以有了这次的检测。避免给自己惹出不必要的麻烦,我隐去公司的信息把目标站点命名为A站。

    第一天

    准备检测A站的时候已经是晚上了,首先检测了下同服务器的网站都有哪些(这是个人的习惯),一共有三个站点,一个是A站,一个是A的二级域名占,还有一个我们就叫他B站吧,后面还要着重提到这个B站。然后就用啊D搜索了一下A站注入点,检测出了三个注入点(图1),

Highslide JS



是DB_OWNER的权限(图2),

Highslide JS


但是无法列出目录(图3)。

Highslide JS


都说人多力量大,所以就把站给dio群里的同志们看了下,话说的还真是没错,人多还真是力量大。不一会X兄弟就把A站的后台地址和帐号密码丢来了,人家手工猜解的就是准啊(大家一定要学会手工注入)!迅速地登陆了后台,但是那个后台实在是太可怜了,什么有利用价值的功能都没有(图4),

Highslide JS


倒是颜MM眼急手快,直接在后台发现了ewebediter在线编辑器(图5)。

Highslide JS


这下子大伙高兴了,因为这个编辑器还是很好利用的,我用默认的用户和密码顺利的登陆了后台(图6),

Highslide JS


当我用新建或修改样式并且添加asa上传类型的方法时失败了,操作已经被限制了(图7)。

Highslide JS


已经是半夜了所以收工睡觉。

    第一天收获:1.知道了A站同服务器的站
                2.登陆了A站的后台,但毫无利用价值
                3.发现有ewebediter在线编辑器,但是不能添加或修改样式
    第二天

    现在只剩下我自己搞了,我在A站的页面仔细地看了看结构,一通乱点之后发现了另外的一个站点,对照昨天查询旁注时的记录来看,这个站就是昨天查到的B站。原来B站是A站的一个下属站点。打开B站看了看都是静态页面没什么突破,但是在角落里发现了一个小论坛,刚开始看上去很像bbsxp的风格,所以就盲目地开始按照bbsxp寻找突破口,但是毫无收获。最后用论坛的菜单关键字在google里搜索了一下,这次才知道原来是itbbs论坛。有了这个发现也是不错的,至少我们可以下载到源代码看看。搜索了半天终于下到了这个论坛程序源码,直接用几个很有特点的文件验证下,全部存在再次证明了目标站点运用的就是itbbs这套程序。但是当我去下载默认的数据库路径时却提示不存在,这下又郁闷了还要再想办法了。在论坛看了看收集了一点信息,管理员的帐号是Admin,而且已经两个月没有登陆了,最新的帖子也是在两个月前,我想这么不在意的一个论坛应该不会很安全的吧!我决定开始收集管理员的信息,运用传说中的社工找找突破口,查看得到了管理员的生日和邮箱,先用生日做为密码登录论坛试验一次,但是可惜失败了。在google上搜索了下这个邮箱,只有一条有用信息,这个邮箱的主人是一个网站规划的站长,就是给网站做包装推广的站,这下明白了原来A站是这个规划站站长给建的,我突然有一个联想,每次帮朋友建站的时候都愿意留点自己的信息,这可能是人的虚荣心吧!或者也可能是个变相的广告。我又用那个规划站的域名做为密码登陆论坛,还是失败。用Admin的用户名和他的邮箱地址作为密码登陆失败,我又用邮箱的用户名做为密码,这次成功的登陆论坛前台(图8)。

Highslide JS


二话没说直接奔后台啊!可是后台还有一次验证,用刚才的所有用户密码组合登陆全部失败,又陷入了僵局。

    第二天收获:1.查找到B站,并且含有论坛程序
                2.确认了B站的论坛程序为itbbs,但是默认数据库被更改
                3.猜到了B站论坛管理员的前台用户密码,但是无法进入后台

    第三天

    本来自己的水平也不怎么地,搞不下就放弃呗!然后开始在网上闲逛,我有一个爱好就是爱看各位强人的博客。忽然一个日志引起了我的注意,ewebediter在线编辑器还有个遍历目录的漏洞,自己以前是知道的怎么就没想到呢?看文章的时候都觉得掌握了,可是实际运用的时候却是另外一回事。简单的介绍下这个漏洞,当进入ewebediter在线编辑器的后台之后,点击上传文件管理选项,在下拉列表里随意选择一个样式,这是会显示该目录下的所有文件,这时的地址栏末尾会有类似webeditor/admin_uploadfile.asp?id=34这样的连接,这时我们在webeditor/admin_uploadfile.asp?id=34的末尾添加&dir=..这样就会跳到上一级目录,加&dir=../..就会跳到&dir=..的上一级目录,以此类推一级一级的跳。原理大家知道了就好办多了,跳了两次之后我就来到了A站的根目录(图9),

Highslide JS


在A站的目录里看了半天,没找到什么突破口,我尝试着又向上跳了一次,这下看到了B站的目录,还记得吗?B站里还有个论坛呢!我跳进了B站的目录,然后进入论坛目录,首先看到了一个databack目录,这个论坛的后台一定有备份功能,我们成功的可能性又大了不少。找到数据路目录进去一看才知道,数据库的默认名字没有改变,只是大小写的顺序改变了一下,怪不得下载不了看来管理员还是有点道行地。下载到数据库查看得到了后台用户名和密码(图10、11、12),

Highslide JS


Highslide JS


Highslide JS


顺利地登陆后台(图13)。

Highslide JS


然后在前台找个帖子发了一张图片,当然这张图片是改过后缀名的小马(图14),

Highslide JS


上传成功后返回了图片的文件名,我们已经知道了论坛的目录结构,当然知道图片的路径了,用备份数据功能把图片备份成为asp结尾的文件(图15),

Highslide JS


打开来看一下我们可爱的小马,已经顺利地潜入了服务器(图16),

Highslide JS


然后用小马上传个大马。现在我们已经在B站的目录里了,可是别忘了我们的目标是A站,我向A站里跳了一下可以进入(路径刚才在ewebediter遍历目录的时候已经知道了),而且权限还相对比较宽松,上传个大马到目标站点,此次检测到此结束(图17)。

Highslide JS


    第三天收获:1.运用ewebediter在线编辑器遍历目录漏洞找到了B站论坛的数据库
                2.进入B站论坛后台,通过备份成功拿到B站
                3.跳转到A站,上传大马成功拿下A站

结尾:

在过程中我可能犯了很多的低级错误,比如没有仔细想想ewebediter是不是还有其他的漏洞,还有没有自己检查就盲目地确定了B站的论坛程序,这些小失误却浪费了很多的时间,这些都是我们应该注意的,看别人的文章很容易懂,但是当自己去做的时候就完全不是那么回事了,文中有不妥之处请多多包涵。
Technology | Comments(0) | Trackbacks(0) | Reads(7072)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive