事情的起因是这样的,有一天一同学发给我一个百度链接,说是DNF外挂的下裁站的百度搜索,于是我便顺手打开看了看,网站做的很纯粹,前几个位居百度首位的基本都是论坛程序,做的也很简单,但翻到最后几个的时候,我看到了一个gov的网址,这时我就纳闷了,gov不是典型的政府类阿站后缀吗?怎么会出现在NDF搜索的页面中呢?点击进去一看,网站制作的很潦草,只有一个主页,页面上简单的罗列出了一些外挂的下载地址,仅此而已,我真的晕了,难道这么简单的网页也可以百度搜索排在第一页吗?所以我就把这个网址拿到了站长助手那里,顺手查了一下他的PR值。结果这居然是一个PR6的站点,好吧,再让我们共同晕一次吧。
重新打开网站的主页进行查看,发现居然又变成了另外一个网页,我一时间真的有些摸不着头脑了,于是又再次打开了百度收录的那个网页,发现都是主页文件,但是主页的后缀却不一样。查看一下搜索引擎对该网站asp网页的收录数量,在对比相同搜索引擎中搜索到的Html网页,发现该网站主要是以Asp网页为主的。那么此刻,网站的来意我们也就大致清楚了,原本这个站点是一个以ASP语言搭建的政府站点,但是击口被非法利用了HTML的主页变成了DNF外挂站点,在这里我们不禁要佩服这个制作DNF网站的朋友真的很聪明,拿下了别人的网站,新建了个index.Html做链接来增加自己外挂网站的人气。
好了,既然有同行来过,那么该网站就意殊着一定会有漏洞,再次打开网站,我随便点开了一个新闻,习惯性的顺手加了个“,”,发现返回的页面是相同的,再分别添加“and l=l”和“andl=2”,返回的结果也相同。再仔细观察网站,我发现这个网站的后缀结构是“id=6783&cid=203”形式的,同时也看到了“&”符号,于是把“&”符号和后边的参数全部去掉,这次再加个“’”。
网站有可能存在注入漏洞,这时我们再顺手添加“and l=1”和“and l=2”进行检测,结果返回了不同的页面,由此可以证明网站确实存在注入
漏洞。使用啊D进行检测,但在检测字段时却只跑出了个id,剩下的什么都没有了。
网站注入暂时无果,根据我的习惯,我又在网址后面顺手加了个“admin”,没想到网站的默认后台并没有更改。可是我们并没有后台的登录帐号和密码,我简单的看了下后台页面,后台也一样,非常简陋,没什么特色。这样的后台比较容易出现弱口令或者万能密码漏洞,尤其是对于政府机构站点或者是企业阿站,安全性一向不怎么好的,不出我所料,使用万能密码“or”=“or”【图文推送最后一篇有详解,建议看看】,成功的登录了进去。
后台的功能很简单,只有图片上传的地方,其它的什么都没有了,抓包也抓不到什么东西,所以我把目标又定位到了图片上传的地方,单击“图片上传”按钮,网站弹出了图片上传的页面,点击右键查看一下它的源代码,我终于高兴了起来,这是本地验证上传的页面,我们可以在本地构造一个页面,把asp文件提交上去,因为上传程序对于上传文件只进行了本地验证,但在服务器上却没有丁点的验证,所以我们在本地构造一个表单,就可以成功绕过上传验证了,就这样我成功的上传了自己的a sp/J.,马,是列目录漏洞,接下来依次顺着目录往下翻,发现小马已经乖乖的躺在那里了。
点开我们的小马,填写上大马的路径与代码,就这样Webshell到手了,等到了这个站点的Webshell也就相当于拿到了那个网页的修改权限,我把同学要的外挂程序,打包并传给了同学,任务完成,至此一个PR6的站点就这样简单沦陷了,整个过程很简单,没什么困难的地方,主要是因为网站管理员的懒惰,才导致小编的入侵成功。根据本文的入侵经历,我们应当得到的启示是,要勤于更换默认密码,完善后台的变量过滤,防止经典的万能密码漏洞重生,得当的划分服务器的权限,避免服务器列目录,从而给入侵者一个收集信息的条件。