频道澳门葡京手机版网址
登录注册
澳门葡京手机版网址 > 安全 > 网站安全 > 正文

小漏洞,大危害之检测青岛某大学政法澳门新莆京娱乐

2009-04-26 07:21:51           
收藏   我要投稿
Solar-fly [S.N.T]

终于体会到大学生活的腐败与无聊了,整天窝在宿舍里,抱着电脑上网,人都开始退化了,无意中打开了青岛科技大学政法澳门新莆京娱乐的网站,在澳门葡京手机版网址的右上角突然看到了一个管理入口,这不明显是在勾引我嘛,一下子精神就上来了,如图1。

image001

直接打开看看吧,这么简单的登录界面,连个验证码都没有,如图2。直接试试万能密码’or’=or’,没想到这么简单的就进去了,感觉今天运气实在是太好了,如图3,仔细找找看有什么可以利用的地方,没有发现可以备份数据库的地方,不过却找到了一个上传图片的地方,如图4。
 
image002

image003

image004

接下来的思路就很明确了,大家要把这个上传的地方作为一个突破点。现在来上传抓包看看,选择一个图片上传,抓包情况如图5所示。但是很遗憾,没有找到大家想要的上传地址。没办法了,大家尝试使用明小子旁注入侵工具来直接上传木马吧,可是没有成功,提示说文件格式不对,如图6。

image005 
image006

我又试着改变上传的类型,并更换别的小马,但无一例外的都出现了“文件格式不对,请重新上传”的提示,看来这个方法也不行了,可是后台也没有别的可以利用的地方呀?我重新整理了下思路:没有备份,有上传,但是上传受到了文件格式的限制。这样的话,大家要么就此放弃,要么就必须突破上传格式的限制才行。
关于如何突破上传限制的方法我知道的有两种,一种是更改后缀名.asp.jpg,或者是改成.jpg.asp,但这两种格式都尝试上传,一个是出现了“无法找到该页”的错误页面信息,如图7,一个则是上传时出现了“文件格式不对,请重新上传”的提示,如图8。
 
image007 
image008

这时候,我又看了看刚才的上传抓包数据,突然发现有一点变动了,如图9,大家看到图9和图7地址栏中的数字了没有,是不是可以在后缀后面添加上.asp然后再上传呢?说干就干,直接把整个上传地址复制下来,更改成/admin/uploadPic.inc.asp?upload_code=ok&editImageNum=1&actionType=&picName=&editRemNum=2622122008102622.asp后再直接上传试试,如图10,图11。
 
image009

image010 
image011

但是打开文件仍然出现了“无法找到该面”的错误页面,如图12。分析下失败的原因,可能有两个:1、构造上传错误;2、上传成功,但是没有找不到上传的小马(后来在我拿下webshell后才知道是上传构造出了错,不过这也是后话了)。
 
image012

因为没有办法找到上传的小马,因此只能暂时从构造上传出错这个角度来考虑了,终于体会到书到用时方恨少了,菜鸟的悲哀,我的痛苦……^ _ ^
这时候就要用到百度了,毕竟它比我读的书多(似乎不是一个级别的,呵呵),使用上面截取的构造语句在百度上进行搜索,天无绝人之路,终于找到了,如图13。
 
image013

看到没有,这原来还是个老漏洞呢,直接利用现成的提交就可以了。我把找到的资料整理了一下,如下:
1、把后缀admin/uploadPic.asp?actionType=mod&picName=snight.asp添加到网址后面
2、把大家的小马改成.gif后缀进行上传,比如snight.gif
3、访问http://www.xxx.com/uppic/snight.asp
4、然后就是上传大家的大马

接下来就和图11的上传步骤一样了,最后来看下结果吧,小马终于出来了,如图14,然后就是再上传个大马上去了,如图15。
 
image014
 
image015

本次入侵就这么结束了,我给网站管理员发了一封邮件通知对方修补漏洞,然后又删除了小马和大马。整个入侵过程就是通过偶然的发现来进入后台,在无法备份的情况下突破上传格式的限制,并利用百度找到上传的最终解决方法,成功的拿到webshell。造成网站沦陷的原因无外乎网站管理者的疏忽,把管理登录入口放在了如此明显的地方,而密码也没有进行特殊符号的过滤。此后我又去了其他几所大学,似乎这样类似的情况还不少呢,在此就不一一列举了,希翼全民安全意识的提高才能保证网络的安全

上一篇:CVE-2009-1285: phpMyAdmin Code Injection
下一篇:跨站脚本攻击XSS攻击与防范指南
相关文章
图文推荐

关于大家 | 联系大家 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 澳门葡京手机版网址_澳门新莆京娱乐_www.88807.com - 点此进入--致力于做实用的IT技术学习网站

XML 地图 | Sitemap 地图