一次用ASP頁面漏洞引發的滲透攻擊

攻擊|頁面 最近幾天，網路上好像總是不太平，自從WebDAV漏洞的溢出工具發布之後，網上潛在的“肉雞”好像慢慢多了起來。雖然補丁也已經發布多日，但是還是有人沒有放在心上……

但是我今天要講的並不是WebDAV漏洞的溢出攻擊，而是一次用asp葉面漏洞引發的滲透攻擊。

前天晚上，一個多日不見的朋友，忽然在網上Q我（因為他是廣東人，所以我以為他住院了，呵呵），聊了一會突然給了我一個地只要我看看，問我能不能得到發布新聞的許可權……

老套路，ping一下網域名稱得到IP地址，使用SuperScan進行連接埠掃描，呵呵，還是開了不少啊。

21、25、53、80、110、139、445、3389等等。

一個一個分析：

1、開ftp是為了便於更新web資料吧！沒有弱口令……

2、53DomainNameSystem看來有可能是控制器（逼急了就用RPC溢出，呵呵暴力傾向）。

3、TelnetTargetip80看看，

HTTP/1.1400BadRequest

Server:Microsoft-IIS/5.0

Date:Mon,05May200314:22:00GMT

Content-Type:text/html

Content-Length:87

Theparameterisincorrect.

失去了跟主機的串連。

呵呵IIS5.0……可惜啊，沒有WedDAV溢出漏洞。不錯！網管很負責，已經貼好補丁了！值得表揚……

4、139、445

不錯還有NetBIOS和IPC$共用不錯，刺探了一下，得到了使用者名稱和共用列表。

5、3389

沒有紫光IME又是windows2000+sp3+W2K_sp4_x86_CN別想了等拿到administrator的許可權再說吧！

看來從這些方面考慮，暫時是行不通的了。於是我開啟了網站的首頁，看看是某日報的網站，呵呵！新聞很多啊！看看，是ASP的介面，很好的東東與法簡單、可讀性強，但是漏洞也不少，多是由於編程者的疏忽造成的，好辦讓我來瀏覽一下整個網站……

管理頁面在哪裡？試一下吧（社交工程學初級應用）！

http://www.target.net/admin/沒有啊無法顯示

http://www.target.net/admin.asp不行

http://www.target.net/manger.asp嗯？出來了……

http://www.target.net/pass.asp回頭一看……哦？不是朋友提供的地址嗎？

看看吧！要我輸入使用者名稱和密碼，嗯——是個難題，呵呵，原來他就是想要這個啊！好！試試這個：在密碼欄裡面我輸入了asp’or’1呵呵，進去了！為什嗎？來看這個！

在ASP程式中，使用者名稱和密碼的校正是通過這樣的MSSQL語句實現的：

mydsn=”select*fromuserwhereuser=’”&user&”’andpwd=‘”&pwd&”’”如果”&pwd&”變成了asp’or’1意味著什嗎？帶入看看

mydsn=”select*fromuserwhereuser=’”&user&”’andpwd=‘asp’or’1’”這些羅計算都是同級的從左至右看”&user&”andpwd=‘asp’運算的結果為0，0or1的結果是1呵呵所以就通過了！

進去之後幹什嗎？由於看到發布文章的同時可是粘貼圖片附件，嘿嘿！我來看看，開啟發表文章的頁面果然有上傳附件的地方，看來運氣不錯（不要高興得太早，還不知道能上傳什麼哪）！點擊粘貼附件，嘿嘿看到了什麼現實的時候沒有副檔名的過濾，是所有檔案，意味著什嗎？哈哈！上傳的檔案當然也是所有類型啦！

我上傳了ASP木馬，系統自動編號了。01090208.asp呵呵，問題在哪裡呢？來找一找……頭大！又是動腦思考的時候了。看看他的資料庫吧！於是……

http://www.target.net/data/不錯！您沒有許可權……哈哈原來真在這裡啊！再試！

http://www.target.net/data/database.mdb沒有找到檔案

http://www.target.net/data/target.mdb嗯！行了！下載下來看！

呵呵！裡面由使用者列表、文章列表、還有系統統計——要的就是它！哈！果然找到了，01090208.asp的絕對路徑就在裡面，好，輸入到瀏覽器裡面看看……出來了！

好！copySAM檔案到網頁根目錄下載，在命令列裡面輸入：

copyd:winntrepairsame:www.target.netsam._

已成功複製1個檔案，好了，在瀏覽器裡面輸入：

http://www.target.net/sam._

下載完畢……

下一步？LC4破解？不不！用新方法SMBProxy登入！嘻嘻！新東西！

簡介:

如果拿到一個遠程主機NTLMHash密碼資訊,一般都會使用暴力破解來擷取密碼,這個程式可以使用proxy方式與遠程主機驗證登陸,來達到快速進入的目的.

SMBProxy程式只認可pwdump格式的密碼資訊,LC格式不行，所以要將我得到的SAM檔案轉換為pwdump格式。