网上找工作奇遇

yxwxqflbyg

转载请勿去掉版权标记,谢谢----by rabbitsafe   http://www.rabbitsafe.cn/ QQ:3818718




从本文中你可以学到：
１。抓包改数据nc上传获得webshell。
２。通过php版的serv-u溢出提升权限。
３。怎样解决动网无组件上传漏洞。
今天给大家讲讲我在网上找工作的奇遇，这篇文章没用到什么新的技术，方法都是网上很常见的，在遇到困难时多想想办法，只要肯思考，困难一定会被解决的。下面进入文章的正题吧。









一、拿webshell篇








放寒假在家里闲着无聊，就在网上看看网站，因为明年就要毕业了，非常担心将来工作的事情，所以就在网上看了看招聘类的网站，想多了解下人才需求的状况，为将来找工作做些准备。于是，我就登录了几个网上招聘的网站，首先，注册会员，注册完毕后是添写简历，简历处可以上传照片，因为平常安全玩多了，出于好奇，想看看网站照片上传过滤了没有 ( 图１)screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}"  alt="" src="/Article/UploadPic/2007-10/200710275142908.JPG"  border=0>





个人简历处上传照片界面
我先把一个asp木马改成jpg的后缀上传看看，上传成功，看看抓取的数据包，数据包格式和早期动网上传的那种一样，不知道路径过没过滤‘/0’。(图２)
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}"  alt="" src="/Article/UploadPic/2007-10/200710275147548.JPG"  border=0>





抓取上传图片的数据包
在name=＂filepath＂后面是指文件上传的目录photo，在它后面加上\s.asp和一个空格。修改Content-Length值，加上7个字节，因为\s.asp和空格总共7个字节。用Ultraedit中的hex编辑，把空格处改成００，保存。然后把修改好的数据用NC提交上去，NC提交格式是nc –vv 网站IP　80
(图3)
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}"  alt="" src="/Article/UploadPic/2007-10/200710275148980.JPG"  border=0>


该目录不允许执行脚本程序
晕，还做了点安全工作，这个目录不让我执行asp脚本程序，那我们就换网站根目录。因为网站根目录是一定可以执行脚本程序，修改数据包，在数据包的路径后面加上/../../s.asp，再次用nc上传，ok，上传成功，木马成功运行。熟悉的海洋顶端木马的界面出现了。

(图4)
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}"  alt="" src="/Article/UploadPic/2007-10/200710275149459.JPG"  border=0>



成功运行海洋顶端木马
一个这么大的人才网，意然，还有这种上传漏洞，可以直接拿到webshell。上传漏洞对网站的危害可想而知，注入漏洞现在这么疯狂，很多菜鸟朋友，看到一个网站就拿工具开始干起来了，不要忘了上传漏洞，它才是最危险的，注入的目的是得到后台管理员用户名和密码，但是后台如没有什么可上传的地方，或者上传做了限制，那不是白忙了。入侵时，思路一定要活跃，不要忘了最简单的漏洞。












二、服务器提权篇


现在拿到webshell了，看能不能拿到服务器的权限。执行命令，返回拒绝访问，缺少对象。先查看下那些组件能用吧， WScript.Shell ，FSO可以用，应该是cmd.exe设了权限，禁止guest用户访问，没关系，我们传一个cmd.exe上去，要找个有执行权限的目录，一般C:\Documents and Settings\All Users\Documents\这个目录下是Everyone拥有执行权限，我们传个cmd.exe上去试试看。在WScript.Shell里写上C:\Documents and Settings\All Users\Documents\cmd.exe再执行命令看看，成功返回结果了，呵呵。看看开了哪些服务，开了serv-u，mysql，apache，东西还真不少。我们先看看serv-u目录能不能访问，打开Ｃ:\Program Files\Serv-U\可以正常打开目录，说明guest用户拥有访问权限，有些服务器装了serv-u，端口号，默认用户密码都没改，但是最后不成功，可能就是serv-u的安装目录没有访问权限，所以导致提权失败。我们看看端口号，是默认的43958。马上传个serv-u溢出程序到C:\Documents and Settings\All Users\Documents\这个目录下，执行看下，可以正常运行，先加个管理员吧。执行后窗口没反应了，晕，不会是漏洞补了吧。ftp 网站ip，返回是serv-u6.2的，我说呢，好像听说本地提权程序对这个版本没有用。竟然，服务器装了mysql，应该支持php，上传个php版的serv-u溢出提升权限试试看。

(图5)
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}"  alt="" src="/Article/UploadPic/2007-10/200710275150775.JPG"  border=0>



php版的serv-u溢出提升权限
马上ftp连接上，执行quote site exec net.exe user rabbitsafe 124578 /add，quote site exec net.exe user localgroup administrators rabbitsafe
/add。把rabbitsafe添加为管理员了。好，我们现在来登陆终端。
(图６)
screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}"  alt="Click here to open new window CTRL+Mouse wheel to zoom in/out" src="/Article/UploadPic/2007-10/200710275151287.JPG" width=716  border=0 resized="true">
成功登录远程终端
这次的渗透算是完成了，我清除完日志后，就在服务器上给管理员留言了，告诉他网站有漏洞，服务器权限设置有问题，我就下了。







三、总结篇






我后来查看了上传文件的源代码，关键就在这一句了，formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt这句话将一段字符串合并起来。我们能改的就是formPath这个参数。在计算机中检测字符串的关键就是看是否碰到'\0'字符，如果是，则认为字符串结束了。也就是说我们在构造上传文件保存路径时，只要欺骗计算机，让他认为类似"photo\s.asp"这样的路径参数已经结束了，这样，后面一连串的时间字符我们都可以不要，从而达到直接将文件保存为我们定义的文件名的目的。因些，我们要做的是在构造的数据包中，将表单中的filepath改成类似photo\s.asp '\0'的字符串然后发送出去就行了。
漏洞修补：漏洞是formpath这个参数造成的，因为它没有过滤’\0’这个字符，只要改成filename=trim(replace(formPath,chr(0),"")&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt就行了。
后来，管理员和我联系上。他说他们公司网站这边一直没有专人看管，总是被攻击。我正想找个管服务器的事做做，锻炼下。没过几天，他们的人市部的主任就专程到我们学校来了一趟，和我谈了谈服务器管理的事。因为我没有破坏他们网站的正常运行，还主动给他们说了漏洞的事情，而且还帮他们解决了网站长期被攻击的问题，所以，他们才放心把服务器交给我管理。
到此，这次网上找工作奇遇就结束了。我们学习网络安全知识的目的是为了使网络能更好的发展，使国内网站的安全得到提高。希望大家以后多为网络安全做出自己的贡献，不要专门改首页，挂网马。只要每个人为网络献出自已那份力量，我相信我们国内的网络会更加强大。