文章作者:udb311
入侵前期:话说今天某群员发我一个网站,有编辑器可上传文件。但就是无法上传到服务器,苦苦找不到拿shell的方法。
目标站分析:
1、后台地址:manger,万能密码可进入。
2、上传地址:upfile_flash.asp 动感商城上传漏洞,可生成diy.asp
3、编辑器上传:manger/webedit280/admin_login.asp可登录。
这个小站的漏洞可真多啊,分析完毕有几个办法都可以拿下它。但是为什么这么多方法都无法得到webshell呢?
第一步,先进入后台观察下,没有备份功能。上传jpg通过备份改名称是不行了。
第二步,登录ewebeditor编辑器后台,修改格式上传。
1、先添加asa上传,发现成功返回上传文件名称与地址但是访问地址确不存在。
不存在的原因可能有三种,一是被杀、二是目录无效或者不能写入,三是无ASA扩展。
2、再添加aaspsp上传,发现成功返回上传文件名称与地址但是访问地址确不存在。
注:先排除ASP扩展名问题,因为网站asp的就能解析。
3、换马继续上传,发现成功返回上传文件名称与地址但是访问地址确不存在。
注:排除马被杀的可能,上传一个asp的正常文件仍然如此。
4、上传jpg正常图片,发现成功返回上传文件名称与地址访问地址文件存在。
注:排除文件目录不写入的原因。
5、继续添加php,cer等上传类型,问题仍旧。
第三步,利用ewebeditor遍历目录查看网站文件。
1、发现根目录有upfile_flash.asp 动感商城上传漏洞,上传仍然无果。
2、发现网站目录存在diy.asp大马一只,心想用朔雪跑下密码也就拿下了。于是呼把马发给了那会群员。
空下来了,再仔细想想。网站只能上传jpg,gif.rar这类文件。那肯定是服务器有IIS防火墙或者是拦截系统把可执行程序都给过滤了。通过80端口提交的文件名称过滤了。防火墙或者拦截系统一般只设置指定的文件名如asa,asp,aspx,cer,php等,如果我变通一个,就可以绕过其过滤。想绕过asp,asa文件又能执行的,那只能利用IIS解析漏洞了。
这下就行了,还记得1.asp;2.jpg吗?通过ewebeditor后台样式添加aaspsp;或者asa;这种就可以成功上传得到webshell了。
成功拿下目标webshell,发现是一流信息监控拦截系统在作怪。
本文并无技术亮点,通过入侵实例可以开拓思维突破极限。欢迎大家指导学习!
--------------------------------------------------------------------------------
友情提醒:对于网站漏洞存在而不能完全杜绝的情况下,服务器采用信息拦截系统还是能阻拦一部分黑客入侵的。另外要告诉管理员朋友们的是,在设置这类系统的时候要考试全面些。只添加asp,asa,cer,aspx,php等正常文件还是不够的。要考虑到系统的存在的缺陷,把asp; asa; cer;等在IIS上能运行的扩展也添加上去。
-------------------------------------------------------------------------------- |
|
