菜鸟挖漏洞，黑站就是这么轻松

Bylizaib[X.S.T]

经常看《黑手》大牛们挖0day，菜鸟们一定手痒痒吧，呵呵，其实挖漏洞的原理都很简单的。接下的挖洞分工具篇与手工篇，相信一会儿N多程序都逃不了菜鸟的黑手了！

Acunetix网站漏洞扫描器r

Acunetix需要Microsoft.NETFrameworkv2支持，如果没有安装，可以在狗狗搜索www.gougou.com下载安装。Acunetix安装后是有功能限制的，只要把压缩包中的crackacunetix.exe破解程序放到Acunetix的安装目录运行就可以破解了。

菜鸟们一定好奇了，Acunetix有啥好玩呢？和安焦x-scan类似，它针对WEB扫描PHP、ASP、ASPX等脚本语言的SQL注入漏洞、XSS跨站漏洞、Cookie漏洞，并能探测服务器组件环境，给出漏洞提示。加入了Googlehacking数据库，更棒的是集成了扫描整个站点的文件结构功能，方便菜菜们快速收集整站的敏感信息。不废话啦，尝鲜Acunetix的功能吧，Lets’go！

运行桌面上的”Acunetix WebVulnerability Scanner 3”进入程序主界面后，点击工具栏第一个”Newscan”添加一个扫描站点，在弹出的对话框中中，ScanType我们先第一个”Scansinglewebsite”，即扫描一个站点，URL一栏有Acunetix公司提供了一个测试站点，既然有测试站点，偶就不另找了。Acunetix向导有很多选项的，因为是给菜菜演示Acunetix强大功能，所以我们啥都不管一路”next”即可，如图1。

图1

　Acunetix向导运行完了后，便开始自动扫描了。偶一杯咖啡的工夫后，Acunetix扫描完了，如果菜菜们发觉Acunetix还没停止，直接点击程序右边的”stop”按钮即可，其实漏洞两分钟扫描完了，这会儿Acunetix正在扫描站点结构，嘿嘿，现在看看Acunetix的战果吧，我们需要注意的是Alerts一栏，我加了方框的那部分，如图2。

图2

　在Alerts树目录下，菜鸟们看到了熟悉的SQLInjection了吧，嘿嘿，就是SQL注入漏洞喽。接着我们展开这个目录，如图3。

图3

　菜菜可以看到我选中的是artists.php文件，在右边的信息栏处可以看到Severity(严重度)为high(高)，其中我以方框表明的是测试方式，完整的提交就是：http://testphp.acunetix.com/artists.php?artist=%27，打开后出现了典型的SQL注入出错页，如图4。

图4

其中http://testphp.acunetix.com/artists.php?artist=%27这里最后的%27是单引号的URL格式编码，以用来测试是否存在漏洞。如果菜菜还没从黑手学会PHP注入，图3右边的References(参考)有详细的SQL注入材料噢。在扫描结果的Alerts树目录下，标有黄色的感叹号表示影响严重，其它的分别代表中(medium)低(low)，蓝色的表示是特殊的信息，比如敏感字符串、邮箱等，如图5。

图5

Acuntix扫描到的站点结构我们在图2中可以看到，位于根目录下的SiteStructure，这个功能很不错哦，之前入侵一个BT站点，版权信息全改了，还好用Acuntix扫出来的站点结构文件的title信息判断是什么程序了。Acuntix还有很多其它功能，比如自定义提交数据包、暴力破解、嗅探等，但本文主题是检测漏洞，详细的使用就是菜菜的任务啦。

Php漏洞分析器

　顾名思义就是分析PHP脚本漏洞啦，它可以寻找PHP远程文件包含（RemoteFile Include）、SQL注入漏洞（SQLInjection）、远程命令执行（RemoteCommand Execution）等。这个程序由PaulBakoyiannis编写，我们来看看主界面吧，如图6。

图6

　界面简单明了，我们来测试远程文件包含漏洞的查找吧，这个功能主要就是针对require()、include()、include_once()、require_once()等文件包含函数的查找，如果变量没有过滤就表明存在文件远含漏洞了。现在我们从国外安全站点找一份关于RFI(RemoteFile Include)的漏洞报告，看看PHP漏洞分析器是否能挖到洞。

　就拿syndeoCMS2.5.01程序测试吧，根据安全公告说明main.inc.php文件中$cmsdir变量没有过滤。我下载这套源码后，在主界面点击”ChooseFile”按钮选择main.in.php漏洞文件，然后点击”AnalyzeCode”按钮分析代码，再转到RemoteFile Include标签，嘿嘿！漏洞找到啦，就这么简单，如图7。

图7

　从图7可以看到$cmsdir变量没啥过滤噢！还有一个工具RFI扫描器能针对整个目录分析，放在光盘里。接下来我们测试SQL注入漏洞分析吧，再找一个安全公告看，miniBB2.1论坛程序存在SQL注入漏洞，主要在bb_func_search.php文件中$sqlstr变量过滤不严，如图8。

图8

　安全公告给出了miniBB2.1程序的下载地址http://www.minibb.net/download.php?file=minibb21，偶速度下载，然后用PHP漏洞分析器打开bb_func_search.php文件分析，嘿嘿，一阵奸笑中，又一个漏洞难逃黑手，如图9。

图9

　菜菜们可以看到，PHP漏洞分析器给出了$sqlstr在哪一行，与图8安全公告代码很吻合，这方便了我们快速定位漏洞位置。对于图9中右方的GET与POST提交，菜鸟们深入体会再去看看吧，其它的漏洞分析就不需要我再多说了，现在接着菜菜们的快速ASP漏洞挖掘吧！followme !

文本编辑工具：Notepad++、EditPlus

　之前本菜鸟用记事本挖ASP洞时，那时总在百万行的代码里晕头转向，后来遇上Notepad++、EditPlus后头脑就明显清醒多了，经常在黑手发WEB漏洞的牛人们，他们就经常使用增强性的文本编辑工具哦，还有EditPlus、ImEditor、UE文本编辑工具等。

辑工具比较好的，现在介绍一些技巧，如何速度找到关键代码。这里就用《黑手》11期Sniperhg作者写的《让你死得体无完肤－探访漏洞之王》关于房地产开发公司网站管理系统源码正式版程序来说明吧。首先菜菜从http://www.wrtx.cn/dow/fdc2.rar下载源码，然后用Notepad++打开漏洞文件CompHonorBig.asp文件，如图10。

图 10

　　现在菜鸟们看看主界面，在ASP代码左边表明了行数，很方便寻找代码的位置，菜菜们注意醒目的<%%>显示为黄色，说明是ASP的代码块，淡蓝色的表明是ASP的代码，所以看代码时，我们直接看醒目的黄色代码块，至于蓝色的HTML代码直接略过即可，这里主要说明Notepad++易于阅读分析代码。

现在菜菜们仍然得补下基本的ASP知识，不然后面找注入漏洞啥都不懂噢！对于菜菜来说，只要特别注意Request对象，它是获取浏览器的信息，把浏览器输入的信息传递给服务器，如果传入的信息没有充分过滤非法字符呢？嘿嘿，我们可以构造一个查询管理员的SQL语句啦。Request对象还有5个集合，即Querystring、Cookies、form、ClientCertificate、serverVariables，Querystring就是常见的GET数据方式，我们从图10中看到:

<% dim id

id=request.QueryString(“id”)%>

id变量是啥也没处理就让QueryString对象处理，常见的过滤方式有Replace()，自定义函数过滤。我推荐大家一个比较傻瓜方法，直接从程序的目录文件中搜索request.QueryString字符串，如果发现有变量没有被Relpace()、IsNumper()与自定义函数过滤，嘿嘿，说明一个漏洞就出来了。Notepad++有针对目录搜索，但是方便性不太好，我用EditPlus。

这里我们仍以房地产开发公司程序测试，安装后EditPlus后，打开进入主界面，在“搜索”菜单选择“多文件查找”，即可弹出查找对话框，如图11。

图 11

　　在查找选项中，查找栏填”request.QueryString”,类型填“*.asp”，目录就选择房地产开发公司程序文件夹即可，然后点击“查找”，哈，结果出来了，如图12。

图 12

　　很明显比Sinperhg找到更多了，除了最后一个是程序粗心加了个等于号，所以不可用。在图12右下框中的搜索结果，如果想定位漏洞文件代码，直接双击即可，然后看看代码周边是否有过滤函数、自定义过滤函数，是否包含了防注入文件，如果啥都没，哈哈，菜菜挖到SQL注入漏洞啦！

　　Sinperhg在后面又发现了搜索型注入漏洞，当然，我们同样也可以找到，直接查找“=request”然后验证即可，如图13。

图 13

　OK，基本的就说完了，菜菜可以看到，找漏洞其实很简单，好的工具能增加漏洞寻找效率，工具也不尽信，只起辅助作用，最好多看《黑手》明白漏洞形成原理，然后见招拆招，更多的好东西就看看菜菜大显身手啦。