现在很多网站为了追求形象,在网站首页使用了Flash轮换展示,有的使用了图片展示;网站最核心的东西内容,为了保持网站的效果,因此会经常更新图片或者flash文件,在网站后台设计过程中就保留有Flash上传接口,本文就是利用上传模块中未对上传文件格式进行限制而获取Webshell。
1.利用弱口令进入系统
凭借经验直接获取后台地址“http://www.*******.com.cn/admin/login.asp”,如图1所示。在用户名中输入“admin”,密码输入“admin”,同时输入页面的验证码,单击进入进行登录测试,如图2所示,成功进入系统。
图1 获取后台登录地址
图2成功进入后台管理
#p#
2.寻找可利用漏洞
在综合管理模块中找到了Flash滚动展示系统,该系统主要用在首页滚动图片,如图3所示,一共提供了5个图片进行轮换。可以对每一个图片进行管理,可以设置图片链接地址、图片文件的具体位置以及图片的简单描述。上传是测试的关键点,单击上传按钮,出现一个新的上传界面,如图4所示。
图3 找到上传漏洞利用页面
图4 获取文件上传页面
单击“浏览”按钮,在本地选择一个asp的WebShell上传,如图5所示,系统未对上传的文件进行限制和过滤,Webshell直接上传成功,开始时我使用的是IE,后面使用Firefox,便于获取Webshell的实际地址。也可以通过查看页面源代码来获取Webshell的实际地址——flash_images/2009102611432135519.asp,如图6所示,在网页源代码中包含了Webshell的实际地址和文件名称,在有些情况下如果不能获取Webshell的实际地址,则可以通过抓包来获取。
图5 上传Webshell成功
图6 通过查看源代码获取Webshell地址
#p#
3.获取Webshell
在IE中输入Webshell的地址http://www.xxxxxxx.com.cn/flash_images/2009111021591092019.asp,输入密码验证通过后,成功获取该网站的Webshell,如图7所示。
图7 获取Webshell
#p#
4.提权
通过Webshell对系统的硬盘和文件进行详细查看,如图8所示找到系统使用了Serv-U,可以尝试通过Serv-U来提升权限,以前常用asp的马提权,通过分析发现该系统支持asp.net,因此可以尝试用asp.net的马来提权,如图9所示,单击“SUEXP”,使用默认的命令增加一个密码为“1”的管理员用户“1”。
图8 获取Serv-U具体地址
图9 使用asp.net提权
#p#
5.获取管理员密码
使用用户“1”,登录系统后,通过IE直接下载saminside软件,下载到本地后获取系统的hash值,通过破解系统账号获取了管理员的密码,如图10所示,再次换用管理员用户登录系统。使用管理员密码登录系统是为了获取管理员的一些信息,通过这些信息有可能对该网络进行渗透。
图10 使用管理员的密码登录系统
#p#
6.相邻服务器的渗透
在该服务器上安装好cain后,进行sniffer,如图11所示,可以嗅探到附近服务的POP3登录密码,如果时间允许还可以嗅探其它类型的口令。
图11 获取同一网络的POP3登录密码
#p#
7.回顾与总结
本次成功渗透完毕后再回过来查看对系统的漏洞扫描,如图12所示,在该系统中扫描出2个注入漏洞,这两个漏洞是统计系统的。从渗透方法来说,用的都是比较简单的方法,对该系统还有几个方法可以利用:
(1)目录扫描,通过扫描系统目录,可以发现该系统使用了文件编辑器。
(2)对统计系统的注入。现在越来越多的系统主系统并不存在什么漏洞,但在插件和一些统计系统上存在漏洞,如果这些插件和辅助系统使用了同一个数据库,在存在SQL注入漏洞的情况下,可以顺利获取Webshell。
(3)旁注。该服务器上面存在多个网站,可以针对这些网站一一进行SQL注入测试,在实际测试中,发现存在多个漏洞,这些漏洞都可以利用。
技巧与经验:渗透在于对细节的把握,一个小漏洞也能渗透一个大型系统!
图12 漏洞扫描结果
【编辑推荐】