专栏首页信安之路线下赛ASP靶机漏洞利用分析

线下赛ASP靶机漏洞利用分析

继上次发表 记一次线下赛靶机攻击过程 后,看到反响不错,特此再写一篇,关于一台 ASP 靶机漏洞利用过程。

记一次线下赛靶机攻击过程(https://mp.weixin.qq.com/s/11pj2vIDISYJHvXdGMS_VQ

整个漏洞利用过程难度不大,但是个人觉得有些思路大家以后参加线下赛的时候参考,因为很多线下赛,难度整体不大,个人参加了几次,发现很多选手1台靶机都拿不下,其实他们还是具备一定能力,只不过缺少了思路,发现漏洞的“入口”,加之比赛短暂往往就几个小时,导致紧张最终一无所获。

往往有些靶机“入口”并不唯一。这样利用的方式有很多种,对于另外的攻击手法,大家可以再参加线下赛的时候,如果成功拿下靶机,尝试把 web 源代码 + 数据库数据下载下来,赛后自行搭建环境分析,发现另外的攻击手段,这样效果更好。

注:下面的文章内容将比较照顾新“入坑”的未来大佬。 环境靶机 IP :172.16.1.112

1、Web首页 ASP 站点

对于 asp 站点,我们可以推断出 web 站点整体环境,如下:

ASP + ACCESS + IIS 或者 ASP + MSSQL + IIS

至于是 IIS 版本多少,告诉大家一个规律。

IIS 6.0 = 2003 IIS 7.0 = 2008 IIS 7.5 = 2008 r2 IIS 8.0 = 2012

对于如果最快速分析出是 Linux 或者 windows 平台的站点,就是尝试大小写。

Linux 区分大小写,windows 不区分,利用这个规律,例如访问:

http://172.16.1.112/index.html

尝试把 index.html 中 d , 换成大写 D 访问,如果不报错证明是 windows 平台。

2、网站底部有后台管理入口,访问进入(某些靶机虽然有后台入口,但多半是假的,存在误导性质)

从上图看来是真的入口

既然有了后台入口,现在缺的就是账号密码了。

获取账号密码最常用 web 漏洞就是 sql 注入,接下来可以尝试进行 web 扫描或者手工发现注入点。

3、随便打开一新闻

在打开的新闻页面的 URL 最后添加 ',测试是否存在 SQL 注入,报错证明有 SQL 注入,如下图:

使用 pangolin 注入获得结果,得到结果如下图:

破解获得管理员密码为 987432

进入后台获取到第一个 flag

从图中可以看到采用 access 数据库,从而排除了之前我们分析的使用 mssql 数据库的可能性。

4.寻找后台有哪些功能

在增加新闻中我的 chrome 浏览器无法打开这个编辑器,chrome 不支持,改用 ietest IE6.0 浏览器打开。

想尝试通过上传图片功能上传 webshell,但无奈可能兼容性问题,IETEST 软件崩溃了,故放弃了,寻找别的方法。

看到有首页 JS 生成模块,其中有生成 asp 文件类型选项,个人觉得有可利用价值,但个人没使用过,怕乱点破坏环境,导致网站无法访问,故没有深入操作。

由于网站使用的是 eweb 编辑器,故可能有 eweb 编辑器后台

发现eweb编辑器后台入口

接下来寻找 eweb 数据库的账号密码

账号密码存放在数据库中,熟悉 eweb 都知道 eweb 默认数据库的位置为:

http://127.0.0.1/ewebeditor/db/ewebeditor.mdb

修改 url,却出现 404

既然使用了 eweb 编辑器,肯定存在数据库,只是我输入的路径不对而已。

在首页有篇文章引起了我的注意

这 3 点防数据库下载的措施:

1.修改默认数据库名,修改存放目录

2.把 access 数据库的 .MDB 扩展名修改为 asp、asa ,不影响下载

3.数据库名加 # 防止被下载,但是可以通过 %23 = # 形式下载

既然有这篇文章,我估计肯定采用了其中一种方法进行了加固,那我也顺势接着这些方法去发现。

先尝试修改为 asp 扩展名,果不然出现了内容,那我只要把该 asp 文件下载下来再改名为 mdb 文件,进行读取

成功得到 eweb 后台账号密码

用户名:Admin 密码:29767143

后来发现首页底部其实也存在密码,所以优秀的信息收集能力,其实也能很好的辅助我们

接下来就利用 eweb 漏洞来上传 webshell,至于怎么上传,这边就不提及了,虽然本文比较照顾小白,但照顾的是思路,对于这种“烂大街”的漏洞就不细说了。

真有不清楚,可访问文章:

http://blog.sina.com.cn/s/blog_7fe448c70101e70y.html

5.看到此处可能大家就觉得是不是有点太 low 了。

这边重点要讲的不是上面通过 eweb 的方式。

之前我们发现靶机把 .mdb 加固成了 .asp,理论上防止了被下载,但是忽略掉了如果把 asp 一句话写入进了数据库,保存在数据库文件内,那也就是 asp 文件,那么这个数据库 asp 文件就变成了一句话的木马文件了。

发现首页存在我要留言板块,该板块调用的是 web 跟目录底下的 ebook/index.asp 文件

故知道存在 ebook 目录,关于留言板相关内容也都应该存放在该目录底下,包括写入进去的留言的数据库文件

尝试把一句话木马写入数据库

内容进入,接下来需要做的就是找到该数据库文件

对 ebook 目录进行扫描,发现db目录,猜数据库文件名字,发现为

http://172.16.1.112/ebook/db/ebook.asp

6、提权

权限不够,提权来凑

之前那篇文章提权采用 ms15-077,同样在该靶机上也可以提权成功

但咱也不能老用那 1 个 exp,所以这次咱换一个 1 个 ms15-051 试试。

执行了但是没内容输出

后来找了下 ms15-051 的 exp 相关信息,发现得配合菜刀的自写脚本功能使用

提权成功

但这边再给大家介绍一款工具:wce.exe

1 个不错的 HASH 注入工具可读明文密码我们在不修改密码进入系统的情况下,获取密码进入系统。

获取明文密码方法如下,更多详细的内容可自行百度

桌面 flag.exe 内 flag 一枚

Base64 解码得之

至此 ASP 靶机攻击结束

该靶机整体难度比较小,在线下赛中基本会被打花,但切记务乱操作导致靶机无法正常使用。

本文分享自微信公众号 - 信安之路(xazlsec),作者:Umask

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-12-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 由小小姐炫耀引起的一次钓鱼网站入侵并溯源

    本文所写的内容基本真实,但有些渗透溯源的过程为了描述的精简被修改删除。一些无关紧要的事情也被略去,但对渗透至关重要的大思路和小细节我都没放过。同时在渗透的时候我...

    信安之路
  • 如何做一个好的安全运营工程师

    年底了给自己放个假,跑到了北极圈来吹冷空气,同时希望自己运气能够好一点看到高端版“光污染”,虽然人放假了,但是对于安全的思考不能停下。

    信安之路
  • 聊一聊应用安全那点事

    从我最开始学习安全接触的就是 web 安全相关,当时的自己完全不明白学习的意义是什么,只知道学习了 web 安全可以去网络上寻找存在漏洞的应用,拿到 websh...

    信安之路
  • 流式数据Pipeline质量控制浅谈

    以我们公司的实时带宽计算为例,就是一个长长的Pipeline,中间经过的组件其实是很多的,比如解析模块,指标拼接模块,累加器模块等,这些模块可能是独立部署,也可...

    用户2936994
  • IIS7.5上的REST服务的Put操作发生HTTP Error 405.0 - Method Not Allowed 解决方法

    WebDAV 是超文本传输协议 (HTTP) 的一组扩展,为 Internet 上计算机之间的编辑和文件管理提供了标准.利用这个协议用户可以通过Web进行远程的...

    张善友
  • Unity3d EasyAR开发案例系列教程

    http://forum.easyar.cn/portal.php?mod=view&aid=2

    恬静的小魔龙
  • Qt编写自定义控件44-天气仪表盘

    天气仪表盘控件是所有控件中唯一一个使用了svg矢量图的控件,各种天气图标采用的矢量图,颜色变换采用动态载入svg的内容更改生成的,其实也可以采用图形字体来做,本...

    feiyangqingyun
  • 新产品Wyn Enterprise 详解,立即预约公开课

    近日,葡萄城正式发布了Wyn Enterprise 商业智能分析软件,这是一款前所未有的商业智能软件,将 BI 和报表融为一体。

    葡萄城控件
  • 【设计模式】—— 模板方法Template

      模式意图   定义一个类的框架,当它有不同的类时,再具体实现。   比如,我们设计一个跨系统的客户端软件,Windows需要一套展现类,Linux需要一套...

    用户1154259
  • 卡内基梅隆为高中生开发编程课程,全免费,提供教师学生双界面

    近日,世界著名学府卡耐基梅隆大学发表了一则声明:由于冠状病毒的影响,许多学校正迅速转向远程/在线教学,在这个充满挑战的时期,卡耐基梅隆大学计算机学院将提供一个免...

    大数据文摘

扫码关注云+社区

领取腾讯云代金券