【asp源码栏目提醒】:网学会员--在 asp源码编辑为广大网友搜集整理了:asp漏洞与入侵方式详解【必看】 - 教育绩等信息,祝愿广大网友取得需要的信息,参考学习。
整理
asp 漏洞与入侵方式情Blog的文章 修改并添加了一部分内容 740728303qq.com by 黑蝎子 2012-08-130x00 前言 ........................................................................................................................................30x10 WEBDAV.................................................................................................................................30x20 IIS6 短文件名漏洞..................................................................................................................30x30 网站源代码.............................................................................................................................40x40 网站备份文件、说明文件、数据库备份文件与robots.txt..................................................4 0x41 网站备份文件.................................................................................................................4 0x42 说明文件..........................................................................................................................4 0x43 数据库备份文件..............................................................................................................4 0x44 Robots.txt .........................................................................................................................50x50 未验证的上传页面.................................................................................................................5 0x51 经典的upload.
asp/upfile.
asp组合...................................................................................5 0x52 与之类似的上传漏洞.....................................................................................................5 0x53 黑名单验证......................................................................................................................5 0x54 shtml/shtm/stm文件爆
源码 .............................................................................................5 0x55 其他方式..........................................................................................................................5 0x56 MIME 类型检查.............................................................................................................5 0x57 一个偷懒用的JS提交代码 .............................................................................................50x60 留言板攻击与非法注册..........................................................................................................6 0x61 留言板攻击.....................................................................................................................6 0x62 非法注册..........................................................................................................................60x70 未经授权访问的后台文件......................................................................................................60x80 万能密码与登陆框注入.........................................................................................................7 0x81 万能密码.........................................................................................................................7 0x82 登陆框注入.....................................................................................................................70x90 注入攻击.................................................................................................................................70xA0 后台功能利用.........................................................................................................................7 0xA1 配置文件插马................................................................................................................7 0xA2 数据库备份....................................................................................................................8 0xA3 后台中的上传页面........................................................................................................8 0xA4 目录遍历与任意文件下载.............................................................................................8 0xA5 利用SQL执行功能导出SHELL....................................................................................9 0xA6 模板/JS等生成页面.......................................................................................................90xB0 其他.........................................................................................................................................9 0xB1 细心,耐心与笔记 ........................................................................................................9 0xB2 阅读
源码 ........................................................................................................................9 0xB3 判断是否是JS验证 .........................................................................................................9 0xB4 一个关于IIS6 解析漏洞的小知识 ................................................................................9 0xB5 狗、神、盾 ....................................................................................................................9 0xB6 IIS7 ..................................................................................................................................90xC0 附件.........................................................................................................................................9 0xC1 沙盘sandbox...................................................................................................................9 0xC2 LOCK数据包 ..................................................................................................................9 0xC3 IISWRITE .....................................................................................................................10 0xC4 ACCESS跨库查询测试站点 ........................................................................................10 0xC5 IIS短文件名漏洞利用工具 ..........................................................................................10 0xC6 经典上传漏洞测试站点 ..............................................................................................10 0xC7 eweb与fck漏洞资料......................................................................................................10 0xC8 lake2 一句话加密工具 .................................................................................................10 0xC9 留言板CSRF测试站点与利用代码 ............................................................................10 0xCA 万能密码列表 .............................................................................................................10 0xCB ACCESS偏移注入知识 ...............................................................................................11 0xCC 带有一句话木马的数据库 .........................................................................................11 0xCD 杨凡大牛发出的文档 .................................................................................................11 0xCE Upload_Attack_Framework文档..................................................................................110xD0 参考资料...............................................................................................................................110x00 前言 整理思路时顺手做的总结,菜比文章自娱自乐,发出来权当科普,大牛们无视。
由于大多时候
asp 都是与 IIS 配合使用,传说中的 iasp 极为罕见,所以这里情形均假设为 ASPIIS 环境。
注:文档中所有神兽都可以右键-gt复制然后直接粘贴到文件夹中。
另:不保证工具的安全性,为保证系统安全请在虚拟机中执行或使用沙盘(本人只保证沙盘的绝对安全) 。
免责声明:本文档旨在安全研究,通过探讨攻击原理从而形成防御对策。
实战中请确认已获取目标站点站长授权或本地搭建测试系统操作。
本人对因本文档所述攻击方法而造成的各种直接与间接损失不负有任何法律责任。
0x10 WEBDAV 虽然这东西不大常见基本被所有人忽略,但这里也不得不提出来并作为第一项。
但是没有禁止的情况也不少 究其原因就是虽然管理员一般都把这玩意禁掉, , (IIS6 默认开启此项功能)如果没有禁止的话,权限大的直接 PUT SHELL,权限小但是能列目录的话可以 PROPFIND 列根目录,就算什 。
总之先 OPTIONS么权限都没有,也可以在拿到 SHELL 之后 LOCK 一个黑页防删恶心人(开个玩笑,莫当真)一下看看允许的方法是绝对不会吃亏的。
当然我们不能心存侥幸,但是万一呢? ,还可以知道是 在查看 WEBDAV 时还可以顺便通过返回头确定 IIS 版本与开启的拓展(如.net 或 php)否是 CDN 等一些信息。
PROPFIND、PUT、COPY等方法直接用IISWRITE工具即可,LOCK方法见附件。
最后,从http://technet.microsoft.com/找到的search数据包提交上去都是 500 错误,求大牛调教。
0x20 IIS6 短文件名漏洞 这个是最近爆出来的,而且没有补丁,只有临时解决方案,而微软临时解决方案的普及度可以说相当之低。
用这个漏洞可以爆出 web 物理路径下全部的文件,虽然仅仅是 8.3 命名规则,但这也已经足够了。
如果扫出了 RAR、7Z、ZIP 等文件,再配合自己手工生成字典猜解剩下的几个字符,那么离下载也就不远了。
如果是 LOG、BAK、SQL、MDB 等文件,虽然这些文件在.net 环境下不能下载,但是配合一些任意文件下载漏洞也是可以利用的,而且仅
asp 而无.net 拓展的 iis 也不少见。
工具见附件,漏洞看似鸡肋但有些时候会达到意想不到的效果。
举个例子:某站主站有且只有爆绝对路径漏洞一个:d:webrootwebsite1,旁站只有
asp鸡肋注入漏洞一个,可联合查询但无后台。
一般来说这样近乎无解,但是通过这个漏洞可以扫出一些敏感目录。
假设扫到:/adm123451/,之后猜解得/adm1234567890/。
继续扫描得到数据库:/adm1234567890/db/admdata.
asp,由于添加防下载表,数据库无法下载。
这时我们可以利用上面的那个鸡肋注入,尝试构造语句: union select 1234 from d:webrootwebsite1adm1234567890dbadmdata.
asp.adm 来猜解表名,构造语句: union select 1adm_pwd34 from d:webrootwebsite1adm1234567890dbadmdata.
asp.adm 来猜解表名,构造语句: union select 1adm_pwdadm_name4 from d:webrootwebsite1adm1234567890dbadmdata.
asp.adm where adm_id1 来得到最终用户名和密码。
当然,以上都是我YY出来的过程,但并不是完全没有可能的,用一个简单的漏洞测试系统就可以完整的呈现上面的过程,漏洞测试系统见附件,其中的test.mdb就是模拟上面的admdata.
asp。
总之就是,无论信息多少、完整不完整,有总比没有强。
另:这程序有 BUG,扫描有可能不全,而且有时候会扫出一些根本不存在的目录/文件。
由于不会写多线程,同时不熟悉 JAVA,写出的程序效率不能忍受不得不继续使用此程序。
求大牛修改此程序,如果能加上在目录中递归扫描功能就太好了。
0x30 网站源代码 查看网站源代码十分重要,从中可以获得许多重要信息。
前台可以获取上传文件目录、某些生成文件 ;目录等,甚至有的时候会直接获取后台目录(曾经查看源代码获得目录名长度在 20 位以上的后台目录)而后台表单的ID/NAME值往往就是数据库中字段的值(很多程序猿有这种编程习惯);某些上传页面也会存在一些隐藏表单从而可以修改上传路径等(参见未验证的上传页面一节) ;在有些站点的注册页面会提交一个值用来指示用户的权限,而服务端没有进行验证,这样通过修改表单的值便可以直接注册管理员账户。
同时,不要局限于 HTML 代码,某些 JS 也有可能泄露非常重要的信息。
养成打开浏览器的调试窗口来查看源文件是一个很好的习惯,相信我绝对不会错的。
查看源代码还有一个好处就是可以“顺手”访问到绝大多数的页面,这对于查找 sql 注入、爆绝对路径路径都是很有帮助的。
顺便提一句:访问 conn.
asp 等数据库连接页面有时会有惊喜,虽然几率很小但万一呢? 查看源代码不会花费多长的时间,但带来的惊喜则可能是无限的。
0x40 网站备份文件、说明文件、数据库备份文件与robots.txt 0x41 网站备份文件 大多时候仅限于非虚拟主机,基本都是类似于 web.rar 的名字,这人人都知道,但不是这一节的重点。
这一节的重点是如网站有二级目录 http:://www.xxx.com/abc/的话,可尝试下载 abc.rar 等(这个可 ;如果是二级域名 http://fuck.xxx.com/的话,可以尝试下载 fuck.rar 等。
能在本级目录或上级目录) 倒在这一点上的网站不知凡几。
不要以为这个方式过于取巧, 当你历尽千辛万苦旁注跨目录得到 SHELL,然后看到目标站根目录躺着个 web.zip 的时候,这会让人抓狂的。
0x42 说明文件 说明文件则是例如 readme.txt、说明.txt 等文件,在绝大多数时候这些文件中记录着一些敏感信息----最离谱的一次直接找到了后台的默认密码 admin123qwe 然后成功登陆(可能是管理员觉得这不是弱口 。
令就没有更改) 0x43 数据库备份文件 数据库备份文件大多在/admin/databackup/、/admin/backup/等类似的目录中,或许以前找出这些文件/目录很麻烦,但是别忘了,我们有短路径漏洞扫描工具,而数据库备份文件名称大多都是按日期规则命名的,构造字典扫描,之后下载-gt破解-gt进后台,一套连招直接搞定非常有快感。
0x44 Robots.txt 这个自不用多说,如果这里面没有任何信息,那么使用 googlehack 发现敏感信息的几率要提升不少。
0x50 未验证的上传页面 0x51 经典的upload.
asp/upfile.
asp组合 不加 session 验证的 uploader 无疑是个悲剧。
这里不得不说经典的 upload.
asp/upfile.
asp 组合,之所以说它经典是因为只要一句 javascript,就可以上传 jpg 后缀的马获得 shell,改包截断都嫌麻烦。
代码如下: Javascript:document.getElementsByNamequotfilepathquot0.value”/1.
asp”void 0 绿色部分自行换成表单中类似的地址,例如uppath,path之类,记得有三四种的样子。
此上传测试站点可以在附件中得到。
0x52 与之类似的上传漏洞 而另外的一种上传漏洞便是存在隐藏的表单项如 fileext、rename、filetype 等。
fileext 定义允许的文件后缀,添加
asp 即可跳过验证;rename 可以重命名上传文件,设成 1.
asp来进行 IIS 畸形解析是很有效的方法;而将 filetype 设成空或无效的值有可能导致验证模块完全失效。
以上种种都是曾经遇到的情况,虽然在现在各种建站系统的普及下已经不常见,但记住总是没错的。
0x53 黑名单验证 虽然已经不常见但还是要提一句,在上传无果的情况下不妨先传个.fuck 文件与.aspjpg 来尝试,第一个是为了查看是否是白名单,第二个则是查看验证后缀是否严格。
最后,有些时候大小写变换会有不同 ,可以自行修改尝试。
的效果(虽然很罕见) 0x54 shtml/shtm/stm文件爆
源码 如果可以上传 shtml/shtm/stm 文件,则可以上传一个下面 SSI 指令的文档并访问来读取网站的任何文件。
代码如下: lt--include filequotFILE_TO_READquot--gt 其中 FILE_TO_READ 的值需替换为需要读取的文件路径,另:记得查看源代码,lt gt会被浏览器解释为一对完整的 HTML 标签从而不会显示所有内容。
0x55 其他方式 ;修改表单创建目录;双文件上传等, 大致还有 0x00 截断;文件名最后加 0x2e(.)或 0x20(空格)由于普及度很高就不做赘述。
eweb、fck 等编辑器突破方式基本都知道,不提。
这里提供了eweb与fck的利用方式总结。
其中eweb只提供两个上传poc用以对应两个版本,fck总结来自百度,详见附件。
另外要提及一点:如果是黑名单验证但是过滤了所有可执行后缀,同时服务器开启了 php 拓展,那么尝试上传 php 来得到 SHELL 不失为一个可行的方案。
0x56 MIME 类型检查 由于
asp 很少见,故略过不谈,详情请查看附件中 Upload_Attack_Framework.pdf 这绝对是本好书,很不错的总结。
0x57 一个偷懒用的JS提交代码 最后给出一个 JS 代码,用来提交类似于 eweb 那种没有上传按钮的表单,免去构造本地页面的麻烦(如 。
果有 referer 验证就那就更麻烦了) javascript:document.forms0.submit 蓝色的 0 请自行修改为对应的表单索引,0 是第一个,1 是第二个。
0x60 留言板攻击与非法注册 0x61 留言板攻击 许多的建站系统都会附带一个留言板,为站点的来访者提供反馈的途径---虽然在我看来这大多情况下是无用的。
而在某些时候,一个留言板恰恰可以造成整个安全系统的崩溃----留言板会向数据库写入数据,同时用户提交的代码会在后台完全显示。
第一种可能造成数据库插马,第二种则可能造成严重的 XSS(或 。
许说是 CSRF 更恰当些?) 数据库插马是一个很古老的话题,原理就是在 access 文本字段直接插入经过 access unicode 压缩后 ,储存于 access 中的字符会自动转换为对应的字符,在字段 unicode 压缩选项开启的情况下(默认开启)的 ascii 字符。
具体原理就是这个,看不懂的话其实可以无视,知道怎么用即可。
其中涉及到一个 unicode 压缩算法,这个算法到现在我也没有找到,虽然有工具但是逆向不过关,求大牛分析算法,万分感谢。
这个其实很考验人品,因为首先需要知道数据库路径,其次数据库需要为
asp 或 asa 等可执行的格式,最后需要数据库没有防下载表或lt等字符。
最后如果人品差的话,插入的一句话最后的闭合符号gt会变成,这样一次失败,断无再次成功可能。
工具见附件.
上一篇:
ASP NETWeb应用程序设计教程 第4章 构建基本Web页面
下一篇:
她要是喜欢我