从飞龙文章系统上传漏洞到系统管理员的飞跃
来源:互联网 发布:js页面提示信息 编辑:程序博客网 时间:2024/06/10 05:48
文章来源:Perl
2004年,带给我们太多的美好的东西,先屏弃黑客暂时不谈,我们的国家在这一年的诸多方面都有长足的进步:加入WTO、外交活跃、国际地位上升、奥运夺奎、广州申亚等等这些,都无不体现了一个中华民族正日益繁荣强大这一客观事实。
国家在进步,世界在进步,我们学习者更要进步,这不,今天我给大家带来的是老兵才刚发现的飞龙文章系统漏洞,单纯提级一个漏洞的使用并没什么多大的意义,这篇文章里我想说的其实是一个学习思路:
在老兵的文章中最后一段写到:
admin_upfile.asp
user_upfile.asp
这两个文件简直是动网以前那个上传漏洞的再现,而且这两个文件不要登录也可以操作。不过在用本站的上传工具上传时注意在cookies一栏中填上ArtID=1111;
文件名是以artid为依据的。
好,到这里,老兵把漏洞指出来了,下面我们找一份飞龙文章系统来,对应着这个漏洞来先了解漏洞。
找到admin_upfile.asp文件,然后找到如下一段代码:
dim FilePath,Object,upload,iCount,FormPath,FileExt,ArtID,FileName
if request.Cookies("ArtID")=0 then
conn.execute("insert into article(subject,content) values('news','news')")
set rs=conn.execute("select Top 1 ArtID from Article Order by Addtime desc")
ArtID=int(rs(0))
rs.close()
set rs=nothing
response.Cookies("ArtID")=ArtID
else
ArtID=request.Cookies("ArtID")
懂看一点ASP代码的朋友应该很快就明白了吧,在上传之前,这个文件会先读取cookie,里看是否有ArtID这个文件名的依据,如果有,系统符合要求,系统就会将新上传的文件读入数据库然后执行上传操作,否则的话就不执行。
再往下看代码,就是和之前的动网上传是差不多的了,我们一直来到这一行:
FileName=FormPath&ArtID&"-"&iCount+1&"."&FileExt
这句代码了说明的文件名保存方式:是用路径+ArtID的形式,到这里,老兵说的:"上传时注意在cookies一栏中填上ArtID=1111;文件名是以artid为依据的。"就可以很好理解了。
怎么样?是不是觉得其实学习就是这么简单,只要肯读,呵呵……
好了,说了这么多的原理,下面我们来看看具体的操作:
(1)准备工具:
老兵上传工具一个,ASP木马一个,Fpipe.exe,Serv-u,后门一份(我用Radmin),还有浏览器一个(什么话,兄弟们给我打他,这个东西谁没有啊,简直是在浪费时间嘛。。。。。^_^!)
(2)用搜索引擎搜索关键字"飞龙文章管理系统版权及免责声明",这个关键字比老兵说的关键字"Article.asp?ArtID="这个要准许多^_^。
(3)搜索出来的文件是copyritht.asp ,将它改成admin_upfile.asp,如果出现图一所师,说明这个网站有这个文件并存在漏洞。
至于那些出错信息就不用管了,谁叫咱是没权限的入侵者呢~呵呵……
(4)打开老兵的上传工具,写入网站的上传地址,Cookie一项后面加多一句:
; ArtID=1111; 如图2:
(5)点完上传就是等啦,一会就好了,看看我们准备的小马上去了没?图3:
好了,WebShell就拿到了,接着我们就要拿Administrtor权限咯,这是每个Hacker入侵时的最高目标嘛。
用这个小马写了个海阳进去,看起来直观多了哈……,我们先看看能不能执行命令。
哎呀,cmd.exe用不了啊,咋办?有人说过:"此路不通我们走别的路。"他不给用那我用我自己的可以了吧,哈哈……为了隐蔽,我把自己的cmd.exe给放到了Documents and Settings/All Users/Documents这个目录里,当然你也可以放进别的可写目录里,例如c:/winnt/system32/inetsrv/data这里,又深默认又可写,不用不是浪费了微软的好意?^_^
好,我们再用海阳调用这个cmd来看看
嘿嘿……这不,都老老实实的交代了吧^_^。
继续,net start看到有Serv-U了,版本是多少一般我很少去注意,因为我用的是端口转向提升权限,所以开始就不需要看版本是不是能溢出?目录在哪里?是不是可写这些,。如果转向之后端口连接不上那么也许就是防火墙的缘故了,因为在现在所有版本的Serv-u中这个办法通杀。我们用海阳执行命令fpipe -v -l 12345 -r 43958 127.0.0.1,这句命令的意思是将本地的43958端口的数据转发到12345端口。让我郁闷的是,这个cmd执行这个命令竟然不能执行成功。。。大汗!!不怕!我们还有一个武器—WSH,海阳2005已经为我们准备好这些了,直接使用即可。
然后打开Serv-U进行远程连接(这个我就不多说了,要不小编要说我骗稿费了^_^!)添加Serv-U超级用户,提升权限,上传后门,再给它来个Rootkit,开个终端把服务替换掉,做个隐藏帐号,装个超小ASP后门再改改文件时间这些(我晕……你够狠的。。。。。),这样就够我用上个半年的了^_^。
这篇文章的东西都是很老的技术串联起来的,但是老东西不一定就过时。飞龙文章上传漏洞的一"盗",Serv-U提升权限的二"盗",加之学习方法的三"盗",都不得不说——咱不光学Hack,咱"盗"也要"盗"得精彩!
2004年,带给我们太多的美好的东西,先屏弃黑客暂时不谈,我们的国家在这一年的诸多方面都有长足的进步:加入WTO、外交活跃、国际地位上升、奥运夺奎、广州申亚等等这些,都无不体现了一个中华民族正日益繁荣强大这一客观事实。
国家在进步,世界在进步,我们学习者更要进步,这不,今天我给大家带来的是老兵才刚发现的飞龙文章系统漏洞,单纯提级一个漏洞的使用并没什么多大的意义,这篇文章里我想说的其实是一个学习思路:
在老兵的文章中最后一段写到:
admin_upfile.asp
user_upfile.asp
这两个文件简直是动网以前那个上传漏洞的再现,而且这两个文件不要登录也可以操作。不过在用本站的上传工具上传时注意在cookies一栏中填上ArtID=1111;
文件名是以artid为依据的。
好,到这里,老兵把漏洞指出来了,下面我们找一份飞龙文章系统来,对应着这个漏洞来先了解漏洞。
找到admin_upfile.asp文件,然后找到如下一段代码:
dim FilePath,Object,upload,iCount,FormPath,FileExt,ArtID,FileName
if request.Cookies("ArtID")=0 then
conn.execute("insert into article(subject,content) values('news','news')")
set rs=conn.execute("select Top 1 ArtID from Article Order by Addtime desc")
ArtID=int(rs(0))
rs.close()
set rs=nothing
response.Cookies("ArtID")=ArtID
else
ArtID=request.Cookies("ArtID")
懂看一点ASP代码的朋友应该很快就明白了吧,在上传之前,这个文件会先读取cookie,里看是否有ArtID这个文件名的依据,如果有,系统符合要求,系统就会将新上传的文件读入数据库然后执行上传操作,否则的话就不执行。
再往下看代码,就是和之前的动网上传是差不多的了,我们一直来到这一行:
FileName=FormPath&ArtID&"-"&iCount+1&"."&FileExt
这句代码了说明的文件名保存方式:是用路径+ArtID的形式,到这里,老兵说的:"上传时注意在cookies一栏中填上ArtID=1111;文件名是以artid为依据的。"就可以很好理解了。
怎么样?是不是觉得其实学习就是这么简单,只要肯读,呵呵……
好了,说了这么多的原理,下面我们来看看具体的操作:
(1)准备工具:
老兵上传工具一个,ASP木马一个,Fpipe.exe,Serv-u,后门一份(我用Radmin),还有浏览器一个(什么话,兄弟们给我打他,这个东西谁没有啊,简直是在浪费时间嘛。。。。。^_^!)
(2)用搜索引擎搜索关键字"飞龙文章管理系统版权及免责声明",这个关键字比老兵说的关键字"Article.asp?ArtID="这个要准许多^_^。
(3)搜索出来的文件是copyritht.asp ,将它改成admin_upfile.asp,如果出现图一所师,说明这个网站有这个文件并存在漏洞。
至于那些出错信息就不用管了,谁叫咱是没权限的入侵者呢~呵呵……
(4)打开老兵的上传工具,写入网站的上传地址,Cookie一项后面加多一句:
; ArtID=1111; 如图2:
(5)点完上传就是等啦,一会就好了,看看我们准备的小马上去了没?图3:
好了,WebShell就拿到了,接着我们就要拿Administrtor权限咯,这是每个Hacker入侵时的最高目标嘛。
用这个小马写了个海阳进去,看起来直观多了哈……,我们先看看能不能执行命令。
哎呀,cmd.exe用不了啊,咋办?有人说过:"此路不通我们走别的路。"他不给用那我用我自己的可以了吧,哈哈……为了隐蔽,我把自己的cmd.exe给放到了Documents and Settings/All Users/Documents这个目录里,当然你也可以放进别的可写目录里,例如c:/winnt/system32/inetsrv/data这里,又深默认又可写,不用不是浪费了微软的好意?^_^
好,我们再用海阳调用这个cmd来看看
嘿嘿……这不,都老老实实的交代了吧^_^。
继续,net start看到有Serv-U了,版本是多少一般我很少去注意,因为我用的是端口转向提升权限,所以开始就不需要看版本是不是能溢出?目录在哪里?是不是可写这些,。如果转向之后端口连接不上那么也许就是防火墙的缘故了,因为在现在所有版本的Serv-u中这个办法通杀。我们用海阳执行命令fpipe -v -l 12345 -r 43958 127.0.0.1,这句命令的意思是将本地的43958端口的数据转发到12345端口。让我郁闷的是,这个cmd执行这个命令竟然不能执行成功。。。大汗!!不怕!我们还有一个武器—WSH,海阳2005已经为我们准备好这些了,直接使用即可。
然后打开Serv-U进行远程连接(这个我就不多说了,要不小编要说我骗稿费了^_^!)添加Serv-U超级用户,提升权限,上传后门,再给它来个Rootkit,开个终端把服务替换掉,做个隐藏帐号,装个超小ASP后门再改改文件时间这些(我晕……你够狠的。。。。。),这样就够我用上个半年的了^_^。
这篇文章的东西都是很老的技术串联起来的,但是老东西不一定就过时。飞龙文章上传漏洞的一"盗",Serv-U提升权限的二"盗",加之学习方法的三"盗",都不得不说——咱不光学Hack,咱"盗"也要"盗"得精彩!
- 从飞龙文章系统上传漏洞到系统管理员的飞跃
- 突破SAT写作 从4到10的飞跃
- 易快修App从1.x到2.0的飞跃
- [网站架构]如何提高网站的访问速度 - 从30秒到3秒的飞跃
- 我的2013-从GIS学生到GIS职业人的飞跃
- 用心写就的雅思攻略——从7到8的飞跃(转自OL)
- 我的2013-从GIS学生到GIS职业人的飞跃
- 【Git】从本地上传到github的文章显示图片的方法
- 搜到的解决上传漏洞的方法
- 飞龙的程序员书单
- 解决从本地文件系统上传到HDFS时的权限问题
- asp_net2_0学习指导 菜鸟到中级程序员的飞跃
- 从下载到上传
- [基本实验] Web漏洞演示系统中的上传漏洞
- 上传文件到Linux系统的方法
- cwc新闻系统jsp木马上传漏洞
- thinksns开源微博系统 V3上传漏洞
- 飞跃的心
- 创建可分页、可排序的 DataGrid
- SQL注入
- Ring的权限提升21大法!
- 来瞧瞧我做的.net版工作流定义工具,请高手指点
- ASP.Net生成静态HTML页
- 从飞龙文章系统上传漏洞到系统管理员的飞跃
- ASP.NET中实现Web打印的方案
- Struts国际化问题解决
- 有关中国股市的好文章
- C# 2.0对现有语法的改进
- How to freeze a dynamic aspx page into a static html page (on the server).
- asp中对多余参数的完美过滤
- 好困惑
- ASP.NET 2.0 的内部变化
