很多大虾都是经过检查程序源代码的模式来发现破绽的。由于我刚开局学ASP,所以还没有到达这种境界。说来蹊跷,虽然搜查破绽不繁难,但偏偏一些程序的破绽就让我给挖了进去。本文旨在提示一些网管和站长,应增强网络安保方面的看法。以前看过一个“动网upfile破绽应用”的动画教程(大家有兴味可以到Google里搜查),使我对抓包修正有了初步了解。过后就觉得用途不仅是上行那么繁难。于是爱死了Winsock Expert,经常有事没事拿着它剖析数据包。不经意间,有很大的收获。最近应用它成功地绕过了MD5验证,入侵了某个站点。治理员飞蛾扑火图1是笔者入侵过的一个站点。该网站经常使用的是沸腾3AS漂泊尘缘资讯系统(外围:尘缘雅境图文系统)V0.45 Access版build 1程序。这次我抱着帮它检测破绽的心态,瞧瞧能不能再次入侵成功,并放个页面上去。
图1大家都知道尘缘雅境有个破绽——Uploadfaceok.asp可以上行ASP木马。治理员似乎知道这里有疑问,曾经启动了处置。几经查找,自动数据库地址曾经不在了。不过转来转去,觉得这个站点有点让人摸不着头脑,就似乎有人故意在留后门一样。在阅读消息的时刻,发现它用的是ReadNews1.asp 这个文件,并没有用原来的ReadNews.asp,棘手输入一个“'”符号(引号不输入),居然存在注入破绽。wwW.itCOMPuteR.CoM.Cn是个注入点,然而将文件名改为readnews.asp?newsid=173却被过滤了。很显然,这是治理员修正过文件的什么中央。但必需是由于疑问注入破绽,所以看不出起源程序那段防止注入代码的含意,最后自以为是地把原来用来防止注入的局部给去掉了。如此的误操作,就形成了一个破绽的存在。也就是说尘缘雅境系统原本不存在这个注入点,如今却被有意中制造了一个。注入之后获取的明码,即数据库中的明码值是MD5加密过的,这个“地球人都知道”。怎样办?MD5我破解不了。用Winsock Expert查问关键值MD5破解不开,我就想到了Winsock Expert抓包修正,由于我记得尘缘雅境这个程序在后盾治理员修正明码的时刻,并没有要求输入原始明码,而自动明码框中的则是原始明码的MD5值。就是说,假设你修正明码,系统就会要求验证旧的明码的MD5值。如今既然拿到了MD5值,那么人造就可以修正明码了。有一点要留意,抓包的时刻要看分明包的内容,看看它除了要验证旧明码的MD5值以外,还会验证什么。我下载了这个版本的程序,预备看看后盾有什么可以经过修正拿到WebShell。在本机上关上IIS服务,访问初始化程序的后盾页面。后盾有个治理员修正明码的中央,我猜想假设程序在修正后盾明码的时刻经常使用Cookie验证模式,那么咱们就可以间接提交相应的数据包,假设包中内容合乎程序要求,程序就会以为非法,则口头修正治理员明码的代码。图2是我在修正明码的时刻抓的数据包。关键是想看看修正明码都须要什么消息,须要合乎包中哪些内容(我在本机上的IIS主机IP地址为192.168.32.21)。上方就是须要验证的Cookie内容 :
图2Cookie:ASPSESSIONIDQSTCRBQS=IGCLHDBBPLKKLEAAPKGHCLPH;reglevel=;fullname=%D0%A1%B7%D1; purview=99999;KEY=super;UserName=base;Passwd=279d34fa1dfd71aa这些是须要的消息。咱们只需知道有username、Passwd、purview、KEY、fullname这几个值须要验证就行了,上方要想方法让他们合乎要求。再看看数据库,它们都在Admin表下,也就是说,咱们可以经过注入弄到它们。purview=99999和KEY=super这两个值是说明它们为超级治理员的,不须要变卦,最关键的就是剩下的三个值。欺 骗经过NBSI工具注入,获取了Username=admin, Passwd=24a2b13f36f9f99c, fullname=doudou三个值,咱们就用这些来诈骗。如今包对应的值有了,包内容假设如今提交,就会发生修正成功,这样能把我在本机的初始尘缘雅境程序明码改掉。但要改的可是被入侵的系统,怎样做到呢?咱们知道包内容外面有被修正程序的IP地址,当然也可以改,可是改了以后还要计算并修正包大小值,这样很费事。罗唆这样,就先诈骗自己的机子,让它以为自己所架设的主机IP地址就是域名lovefree.org;而后再抓包,让自己的机子以为lovefree.org又指向原来的中央,那么咱们就不用再改变包的内容了。上方要做的是让我自己的电脑以为站点在我的IP上,而且对应的门路就是我装置的尘缘雅境初始化程序地址。修正E:\WINDOWS\system32\drivers\etc\下的hosts文件,加一行内容:192.168.32.21 lovefree.org(图3)。
图3而后设置IIS主机,加上个虚构目录wenzhang/wenzhang,指向尘缘雅境在自己机子上的目录。好了,如今在阅读器上输入就是我机子上的初始尘缘雅境了。这样做的目的是抓到的包可以间接提交给实在的地址,为了保障包的大小一样,在我机子上的username=admin、fullname=doudou,也设置得和远程主机一样(可以在后盾改,fullname是治理员的全名)。一切就绪,如今开局再抓一次性修正明码的包,为了繁难起见,我曾经把治理员消息改为username=admin,fullname=doudou了。剩下包里须要修正的消息,就是MD5的明码值,由于MD5加密后都是16位的,不影响包大小。POST /admin/saveedit.asp?id=1 HTTP/1.1Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint,application/msword, application/x-shockwave-flash, */*Referer:……Content-Length: 110Connection: Keep-AliveCache-Control: no-cache(上方是Cookie验证内容)Cookie:NB796459377Vote1=1;ASPSESSIONIDQSTCRBQS=MGCLHDBBGDELLJGJGJHGKBML;reglevel=; fullname=doudou; KEY=super; UserName=admin; purview=99999; Passwd=24a2b13f36f9f99c(上方是修正消息)username=admin&passwd=abend&passwd2=abend&fullname=doudou&depid=10&oskey=super&shenhe=1&cmdok=+%D0%DE+%B8%C4+看到了吧,包和真的一样!简直就像从它的主机上抓来的。这样咱们要改的,就只要passwd的MD5值了,就是说,只需这个也婚配,真正的lovefree.org主机就会认可。改为24a2b13f36f9f99c就是注入获取的明码MD5值。如今把host文件的内容改回来之后,再输入域名lovefree.org就能关上实在地址了。用NC命令提交(图4)。
图4哈哈!“祝贺您!您的资料曾经修正成功! 2秒钟后前往上页!”总 结如今明码就是abend。用它来登录后盾,到网站属性“上行文件类型:”多加一个ASP,就可以上行ASP木马。其实还有很多程序都存在这样的疑问,假设你拿到了某站治理员的MD5值,无妨用这种方法试一下,兴许有很大收获!小资料:什么是MD5MD5的全称是Message Digest Algorithm 5(消息摘要算法),在上世纪90年代初由Mit laboratory for computer science和Rsa>
