專家:利用Flash上傳漏洞滲透國內某服務器
現在很多網站為了追求形象,在網站首頁使用了Flash輪換展示,有的使用了圖片展示;網站最核心的東西內容,為了保持網站的效果,因此會經常更新圖片或者flash文件,在網站后臺設計過程中就保留有Flash上傳接口,本文就是利用上傳模塊中未對上傳文件格式進行限制而獲取Webshell。
1.利用弱口令進入系統
憑借經驗直接獲取后臺地址“http://www.*******.com.cn/admin/login.asp”,如圖1所示。在用戶名中輸入“admin”,密碼輸入“admin”,同時輸入頁面的驗證碼,單擊進入進行登錄測試,如圖2所示,成功進入系統。
圖1 獲取后臺登錄地址
圖2成功進入后臺管理
#p#
2.尋找可利用漏洞
在綜合管理模塊中找到了Flash滾動展示系統,該系統主要用在首頁滾動圖片,如圖3所示,一共提供了5個圖片進行輪換。可以對每一個圖片進行管理,可以設置圖片鏈接地址、圖片文件的具體位置以及圖片的簡單描述。上傳是測試的關鍵點,單擊上傳按鈕,出現一個新的上傳界面,如圖4所示。
圖3 找到上傳漏洞利用頁面
圖4 獲取文件上傳頁面
單擊“瀏覽”按鈕,在本地選擇一個asp的WebShell上傳,如圖5所示,系統未對上傳的文件進行限制和過濾,Webshell直接上傳成功,開始時我使用的是IE,后面使用Firefox,便于獲取Webshell的實際地址。也可以通過查看頁面源代碼來獲取Webshell的實際地址——flash_images/2009102611432135519.asp,如圖6所示,在網頁源代碼中包含了Webshell的實際地址和文件名稱,在有些情況下如果不能獲取Webshell的實際地址,則可以通過抓包來獲取。
圖5 上傳Webshell成功
圖6 通過查看源代碼獲取Webshell地址
#p#
3.獲取Webshell
在IE中輸入Webshell的地址http://www.xxxxxxx.com.cn/flash_images/2009111021591092019.asp,輸入密碼驗證通過后,成功獲取該網站的Webshell,如圖7所示。
圖7 獲取Webshell
#p#
4.提權
通過Webshell對系統的硬盤和文件進行詳細查看,如圖8所示找到系統使用了Serv-U,可以嘗試通過Serv-U來提升權限,以前常用asp的馬提權,通過分析發現該系統支持asp.net,因此可以嘗試用asp.net的馬來提權,如圖9所示,單擊“SUEXP”,使用默認的命令增加一個密碼為“1”的管理員用戶“1”。
圖8 獲取Serv-U具體地址
圖9 使用asp.net提權
#p#
5.獲取管理員密碼
使用用戶“1”,登錄系統后,通過IE直接下載saminside軟件,下載到本地后獲取系統的hash值,通過破解系統賬號獲取了管理員的密碼,如圖10所示,再次換用管理員用戶登錄系統。使用管理員密碼登錄系統是為了獲取管理員的一些信息,通過這些信息有可能對該網絡進行滲透。
圖10 使用管理員的密碼登錄系統
#p#
6.相鄰服務器的滲透
在該服務器上安裝好cain后,進行sniffer,如圖11所示,可以嗅探到附近服務的POP3登錄密碼,如果時間允許還可以嗅探其它類型的口令。
圖11 獲取同一網絡的POP3登錄密碼
#p#
7.回顧與總結
本次成功滲透完畢后再回過來查看對系統的漏洞掃描,如圖12所示,在該系統中掃描出2個注入漏洞,這兩個漏洞是統計系統的。從滲透方法來說,用的都是比較簡單的方法,對該系統還有幾個方法可以利用:
(1)目錄掃描,通過掃描系統目錄,可以發現該系統使用了文件編輯器。
(2)對統計系統的注入。現在越來越多的系統主系統并不存在什么漏洞,但在插件和一些統計系統上存在漏洞,如果這些插件和輔助系統使用了同一個數據庫,在存在SQL注入漏洞的情況下,可以順利獲取Webshell。
(3)旁注。該服務器上面存在多個網站,可以針對這些網站一一進行SQL注入測試,在實際測試中,發現存在多個漏洞,這些漏洞都可以利用。
技巧與經驗:滲透在于對細節的把握,一個小漏洞也能滲透一個大型系統!
圖12 漏洞掃描結果
【編輯推薦】
