我的私人信箱多次接到化妆品广告邮件,感觉不像是种毒的,于是点开连接去看看,原来是一个卖化妆品的商务网站。看上去较漂亮,就是不知安全性如何?以前注意过天意商务网,但这个较陌生,不知是什么系统(如图1所示)。
图1
习惯性地看看有无上传之处,居然没有发现有上传图片或其它东东的地方。不死心,注册一个用户,仍然没有发现可以上传或发表文章之处。再看看有无注入漏洞,在网址后面加上“'”,提示“请勿输入非法字符”,说明已做了防注入处理。不甘心啊!再加上“and 1=1”仍出现这个提示。如图2所示。
图2
看到上面有一个论坛,是动网7.0-SP2的,试试上传页面,不存在上传漏洞。看上去这个网站还算安全。不过,这个论坛只开了个几栏目,边图标都是动网的没有改。感觉管理者不会太专业,也没有怎么打理,会不会都是按默认安装的?于是试试默认的数据库名,果然一炮命中!数据库是默认的Dvbbs7.mdb。下载后用查看软件打开,在DV-Log中查找,如果管理员修改密码,这个记录中可以找到明文密码。果然找到了密码,如图3所示。
图3
进入后台,由于SP2的后台也不能上传,于是先在论坛发张帖子,上传一个图片文件,然后在后台通过备份数据库的方式获得了一个WebShell,再删除这个帖子,做到不留痕迹。这种方法大家很熟悉了,就不多说了,这里是网站当时留下的操作记录,如图4所示。
图4
有了WebShell就好办多了,用站长助长6.0在线查看数据库,居然是明文密码!顺利进入后台,仍然没有找到是什么系统……郁闷。
利用WebShell试试能否浏览和遍历硬盘,没想到却提示找不到路径,执行命令也没有反应,看来主机商的安全设置还不差。本来入侵到这里就基本结束了,但我在看网站文件时,发现了这个系统的上传漏洞。它其实是有上传文件的,只是不是以前通常的Upfile,.asp,而是叫Upload_flash.asp和Upfile_flash.asp。如图5所示。
图5
看了一下它的代码,发现路径是从提交中接收的,并且没有过滤,也就是说同样存在上传漏洞。于是拿出老兵的万能上传工具上传ASP后门,提示成功,但找不到文件名,试了几个可能的地方都没有!再直接访问该页也提示成功,原来这个提示是假的。如图6所示。
图6
老兵的万能工具都搞不定?怪事!于是决定抓包看看。具体抓包就不说了,这是抓包结果(前面部分)如下:
POST /xshop/upfile_flash.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpg"filepath"/
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="filelx"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="EditName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="FormName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="act"
uploadfile
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="file1"; filename="G:hk2004upshow.asp"
Content-Type: text/plain
……
……
接下来当然是修改数据包,修改路径参数,改ASP为jpg"swf") and (filelx<>"jpg") then
response.write "该文件类型不能上传![ 重新上传 ]"
response.end
end if
…………
if filelx="jpg" then
if fileext<>"gif" and fileext<>"jpg" then
response.write "
只能上传jpg"filelx"”下增加了“jpg"CURSOR: pointer" onclick=javascript:window.open(this.src); src="http://www.9php.com/college/UploadPic/2006/8/27/2006827233259901.jpg" onload="return imgzoom(this,550)" align=no>
图7
特别要说的是,有一台是虚拟服务器,居然可以遍历盘符和执行命令,几十个网站一下都在手中,而且还开了3389,我当然不会放过,如图8所示。
图8
我写此文时特意到网上找了一下,同这个网站相似的,有的叫秋叶商城,有的叫动感购物商城,都存在这个上传漏洞。可能是以前的上传工具无效吧,才使得这个漏洞较其它上传发现得晚,不过到目前为止,还没有上传工具,我的上传工具就献给大家吧!不用太感谢我,嘿嘿!