現(xiàn)在很多網(wǎng)站為了追求形象，在網(wǎng)站首頁(yè)使用了Flash輪換展示，有的使用了圖片展示;網(wǎng)站最核心的東西內(nèi)容，為了保持網(wǎng)站的效果，因此會(huì)經(jīng)常更新圖片或者flash文件，在網(wǎng)站后臺(tái)設(shè)計(jì)過(guò)程中就保留有Flash上傳接口，本文就是利用上傳模塊中未對(duì)上傳文件格式進(jìn)行限制而獲取Webshell。

1.利用弱口令進(jìn)入系統(tǒng)

憑借經(jīng)驗(yàn)直接獲取后臺(tái)地址“http://www.*******.com.cn/admin/login.asp”，如圖1所示。在用戶名中輸入“admin”，密碼輸入“admin”，同時(shí)輸入頁(yè)面的驗(yàn)證碼，單擊進(jìn)入進(jìn)行登錄測(cè)試，如圖2所示，成功進(jìn)入系統(tǒng)。
 

圖1 獲取后臺(tái)登錄地址

圖2成功進(jìn)入后臺(tái)管理

#p#

2.尋找可利用漏洞

在綜合管理模塊中找到了Flash滾動(dòng)展示系統(tǒng)，該系統(tǒng)主要用在首頁(yè)滾動(dòng)圖片，如圖3所示，一共提供了5個(gè)圖片進(jìn)行輪換?？梢詫?duì)每一個(gè)圖片進(jìn)行管理，可以設(shè)置圖片鏈接地址、圖片文件的具體位置以及圖片的簡(jiǎn)單描述。上傳是測(cè)試的關(guān)鍵點(diǎn)，單擊上傳按鈕，出現(xiàn)一個(gè)新的上傳界面，如圖4所示。
 

圖3 找到上傳漏洞利用頁(yè)面

圖4 獲取文件上傳頁(yè)面

單擊“瀏覽”按鈕，在本地選擇一個(gè)asp的WebShell上傳，如圖5所示，系統(tǒng)未對(duì)上傳的文件進(jìn)行限制和過(guò)濾，Webshell直接上傳成功，開始時(shí)我使用的是IE，后面使用Firefox，便于獲取Webshell的實(shí)際地址。也可以通過(guò)查看頁(yè)面源代碼來(lái)獲取Webshell的實(shí)際地址——flash_images/2009102611432135519.asp，如圖6所示，在網(wǎng)頁(yè)源代碼中包含了Webshell的實(shí)際地址和文件名稱，在有些情況下如果不能獲取Webshell的實(shí)際地址，則可以通過(guò)抓包來(lái)獲取。

圖5 上傳Webshell成功

圖6 通過(guò)查看源代碼獲取Webshell地址

#p#

3.獲取Webshell

在IE中輸入Webshell的地址http://www.xxxxxxx.com.cn/flash_images/2009111021591092019.asp，輸入密碼驗(yàn)證通過(guò)后，成功獲取該網(wǎng)站的Webshell，如圖7所示。
 

圖7 獲取Webshell

#p#

4.提權(quán)

通過(guò)Webshell對(duì)系統(tǒng)的硬盤和文件進(jìn)行詳細(xì)查看，如圖8所示找到系統(tǒng)使用了Serv-U，可以嘗試通過(guò)Serv-U來(lái)提升權(quán)限，以前常用asp的馬提權(quán)，通過(guò)分析發(fā)現(xiàn)該系統(tǒng)支持asp.net，因此可以嘗試用asp.net的馬來(lái)提權(quán)，如圖9所示，單擊“SUEXP”，使用默認(rèn)的命令增加一個(gè)密碼為“1”的管理員用戶“1”。
 

圖8 獲取Serv-U具體地址

圖9 使用asp.net提權(quán)

#p#

5.獲取管理員密碼

使用用戶“1”，登錄系統(tǒng)后，通過(guò)IE直接下載saminside軟件，下載到本地后獲取系統(tǒng)的hash值，通過(guò)破解系統(tǒng)賬號(hào)獲取了管理員的密碼，如圖10所示，再次換用管理員用戶登錄系統(tǒng)。使用管理員密碼登錄系統(tǒng)是為了獲取管理員的一些信息，通過(guò)這些信息有可能對(duì)該網(wǎng)絡(luò)進(jìn)行滲透。
 

圖10 使用管理員的密碼登錄系統(tǒng)

#p#

6.相鄰服務(wù)器的滲透

在該服務(wù)器上安裝好cain后，進(jìn)行sniffer，如圖11所示，可以嗅探到附近服務(wù)的POP3登錄密碼，如果時(shí)間允許還可以嗅探其它類型的口令。
 

圖11 獲取同一網(wǎng)絡(luò)的POP3登錄密碼

#p#

7.回顧與總結(jié)

本次成功滲透完畢后再回過(guò)來(lái)查看對(duì)系統(tǒng)的漏洞掃描，如圖12所示，在該系統(tǒng)中掃描出2個(gè)注入漏洞，這兩個(gè)漏洞是統(tǒng)計(jì)系統(tǒng)的。從滲透方法來(lái)說(shuō)，用的都是比較簡(jiǎn)單的方法，對(duì)該系統(tǒng)還有幾個(gè)方法可以利用：

(1)目錄掃描，通過(guò)掃描系統(tǒng)目錄，可以發(fā)現(xiàn)該系統(tǒng)使用了文件編輯器。

(2)對(duì)統(tǒng)計(jì)系統(tǒng)的注入?，F(xiàn)在越來(lái)越多的系統(tǒng)主系統(tǒng)并不存在什么漏洞，但在插件和一些統(tǒng)計(jì)系統(tǒng)上存在漏洞，如果這些插件和輔助系統(tǒng)使用了同一個(gè)數(shù)據(jù)庫(kù)，在存在SQL注入漏洞的情況下，可以順利獲取Webshell。

(3)旁注。該服務(wù)器上面存在多個(gè)網(wǎng)站，可以針對(duì)這些網(wǎng)站一一進(jìn)行SQL注入測(cè)試，在實(shí)際測(cè)試中，發(fā)現(xiàn)存在多個(gè)漏洞，這些漏洞都可以利用。

技巧與經(jīng)驗(yàn)：滲透在于對(duì)細(xì)節(jié)的把握，一個(gè)小漏洞也能滲透一個(gè)大型系統(tǒng)!
 

圖12 漏洞掃描結(jié)果

【編輯推薦】

1. 有關(guān)金山CDN服務(wù)器遭遇黑客攻擊問(wèn)題的說(shuō)明
2. 使用監(jiān)控寶監(jiān)控你的Linux服務(wù)器(附圖)
3. 十個(gè)步驟打造安全的個(gè)人Web服務(wù)器