利用檔案上傳漏洞滲透某傳銷伺服器

利用檔案上傳漏洞滲透某傳銷伺服器

Simeon

本文已投i春秋

https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=30085&page=1#pid389491

   對于傳銷網站的伺服器來說，目前都防護較強，使用安全狗等軟硬體防範，但由于最終使用該産品的必須由人來實作，當擷取webshell的情況下，通過一些技術手段可以繞過防火牆的防護，進而登入并擷取伺服器權限。下面分享一個通過檔案上傳漏洞擷取webshell以及圖檔安全狗的防範擷取伺服器權限。

1.1通過檔案上傳擷取webshell

1.尋找和登入背景

傳銷網站的背景位址一般都會進行修改，運氣好的預設為admin，可以通過猜測和xss跨站攻擊來擷取，本文比較幸運，通過其域名+admin位址成功擷取其背景，且通過弱密碼登入其背景，如圖1所示。在其背景位址中有多個子產品，通過對每個子產品的通路來檢視是否存在上傳的頁面。

圖1進入背景

2.上傳構造檔案

選擇“化妝品”-“添加子菜單”，如圖2所示，在子菜單名稱、菜單排序中随便輸入一些值，在菜單圖檔中選擇一個mu.asp;.jpg——典型的IIS名稱解析漏洞檔案，單擊“确定”将檔案上傳到伺服器。

圖2上傳特殊構造的檔案

3.檢視建立的子菜單記錄

   如圖3所示，回到菜單管理中，可以看到在化妝品菜單中成功建立一條記錄。

圖3檢視建立的菜單記錄

4.擷取上傳檔案的位址

    可以通過選擇圖檔，在建立視窗中打開圖檔連結位址，也可以通過檢視架構網頁源代碼來擷取上傳的圖檔的真實位址，如圖4所示，擷取上傳檔案的真實位址為“FileMenu/mu.asp;.jpg”，網站未對上傳檔案進行重命名等安全過濾和檢測。

圖4擷取圖檔的真實位址

5.擷取webshell

    使用中國菜單一句話後門管理軟體建立一條記錄，腳本類型選擇asp，位址填寫“http://www.somesite.com/FileMenu/mu.asp;.jpg”，密碼填寫網頁一句話後門的密碼，如圖5所示，成功擷取webshell。

圖5擷取webshell

1.2資訊檢視及提權

1.資訊檢視及提權思路

拿到shell後，通過webshell對伺服器網站代碼檔案進行檢視，對可讀寫目錄進行檢視，尋找一切可能用于提權的資訊。如圖6所示，通過檢視該網站的代碼，擷取該網站目前使用MSSQL，且資料庫使用者為sa權限。看到這裡，腦海中的提權思路：

（1）檢視SQL Server的版本，如果低于2005版本，則在擷取sa權限下，提權成功率在99%。

（2）通過恢複存儲過程xp_cmdshell：

EXEC sp_configure 'show advanced options', 1; 

RECONFIGURE; 

EXEC sp_configure 'xp_cmdshell', 1; 

RECONFIGURE;  

(3)直接執行指令

圖6擷取源代碼中的資料庫配置

2.配置MSSQL以及執行指令

    在中國菜刀後門管理工具中，對擷取的webshell配置資料庫連接配接資訊，然後進行資料庫管理，如圖7所示，可以執行“EXEC master..xp_cmdshell ‘set’”指令來檢視系統目前環境變量等配置情況。

圖7執行指令

   可以有三種方式來執行MSSQL指令：

（1）通過MSSQL的查詢連接配接器，SQL Server 2000的查詢分離器，通過SQL Server的連接配接伺服器，連接配接成功後，可以在查詢中執行指令。

（2）在中國菜刀後門管理工具的資料庫管理配置好資料庫連接配接參數，然後進行資料庫管理即可。

（3）SQL Server資料庫連接配接工具SQL TOOLS。該工具主要用來連接配接MSSQL和執行指令，是MSSQL提權輔助工具。

3.添加管理者使用者并登入伺服器

分别執行:

EXEC master..xp_cmdshell ‘net user hacker hacker12345!@# /add’

EXEC master..xp_cmdshell ‘net localgroup administrator hacker /add’

添加成功後，直接連接配接伺服器，如圖8所示，提示“由于會話在遠端計算機上被登出，遠端會話被中斷。您的管理者或者另一個使用者結束了您的連接配接”，該提示表明伺服器上有防護，通過執行tasklist /svc | find "TermService"和 netstat -ano | find “端口号”來擷取真實的3389連接配接端口51389，然後再次進行連接配接，如圖9所示，一連接配接就出現錯誤提示。

圖8連接配接3389錯誤提示

8

圖9換端口後連接配接失敗

4.擷取安全狗配置檔案

    對此問題，通過百度搜尋情況，表明該情況是由于安全狗的防護導緻的。通過shell，檢視C槽，在“C:\Program File\SafeDog\SafedogServer\SafeDogGuardcenter”下将其配置檔案proGuadData.ini下載下傳到本地，如圖10所示。在本地安裝安全狗軟體，然後将配置檔案覆寫。

圖10下載下傳安全狗防護配置檔案

5.修改計算機名稱

   如圖11所示，在安全狗安遠端桌面保護中僅僅允許三個計算機名為白名單，看到這裡就知道如何繞過防火牆了，将個人計算機名稱更改為白名單中的三個名稱中的任何一個即可。

圖11遠端桌面保護白名單

6.登入伺服器

    再次登入該伺服器的遠端桌面，如圖12所示，成功登入伺服器，在該伺服器上可以看到N多網站。

圖12登入遠端桌面

1.3總結與提高

1.資訊擴充

在伺服器上，發現一個txt檔案，如圖13所示，打開該檔案後包含了一個新IP位址，管理者名稱及其密碼，使用該資訊成功登入伺服器，該資訊估計是管理者為了友善管理留下的資訊。

圖13擷取其它使用者和密碼

2.繞過安全狗攔截遠端終端

   擷取安全狗的配置檔案，在本地還原後，将本地伺服器修改為白名單伺服器名稱即可繞過。

 本文轉自 simeon2005 51CTO部落格，原文連結:http://blog.51cto.com/simeon/2050056