本文作者:玄貓[B.C.T] 
本文原發(fā)表于《黑客X檔案》2005年第7期，網(wǎng)上首發(fā)地址為B.C.T(http://www.cnbct.org/showarticle.asp?id=495)和黑色森林(http://www.blackwoosd.cn) 
本文版權(quán)歸《黑客X檔案》和作者雜志社所有  
-------------------------------------------------------------------------------- 

玄貓?jiān)?004年12期的黑X上發(fā)表了對于九酷網(wǎng)絡(luò)個(gè)人主頁空間管理系統(tǒng)(下面稱作”九酷”)的一篇漏洞研究（請參看2004年12期雜志《輕松突破免費(fèi)空間限制》），當(dāng)時(shí)針對的版本是3.0，最近拿到了九酷程序的4.1免費(fèi)版，其官方說明上寫到修正了許多漏洞，但貓貓始終認(rèn)為簡單的asp程序很難做到高效安全地管理免費(fèi)空間，于是簡單的對這套程序作了安全監(jiān)測，結(jié)果發(fā)現(xiàn)了多個(gè)高危漏洞，大部分能直接威脅到管理員或其他用戶的安全，甚至危及服務(wù)器。我們來看看這些漏洞： 

1、上傳漏洞。  


程序的編寫者犯了一個(gè)較易被忽略的錯(cuò)誤-僅在后臺(tái)管理中配置”禁止”上傳的文件的類型，而并非”允許”上傳的類型，這樣極容易忽略一些危險(xiǎn)的擴(kuò)展名。 

我們來看界面，選擇一個(gè)asp文件上傳，程序提示擴(kuò)展名非法，好的，我們把擴(kuò)展名改為asa,上傳，成功，得到了一個(gè)Shell。

但是我們運(yùn)氣不會(huì)總是這么好吧，如果有經(jīng)驗(yàn)的網(wǎng)管把a(bǔ)sa,cer等文件的asp.dll映射刪除了怎么辦呢。我們可以利用SSI來獲得敏感信息。 

什么是SSI呢，SSI是Server Side Include的縮寫，即服務(wù)器端包含，這個(gè)功能可以在服務(wù)器端包含一個(gè)文件，由ssinc.dll這個(gè)文件負(fù)責(zé)包含文件。譬如我們在asp中常用的<!--#include file="conn.asp"-->即是SSI的一種應(yīng)用。 

在本地寫一個(gè)文件，內(nèi)容是<!--#include file="inc/conn.asp"-->，保存為look.stm上傳到服務(wù)器上，然后訪問此文件，查看源文件，你就可以看到程序的數(shù)據(jù)連接文件的內(nèi)容了。這個(gè)系統(tǒng)的數(shù)據(jù)庫沒有作防下載處理，我們可以放心下載。但是注意：如果文件名是有特殊符號的，我們應(yīng)該用ASCII碼轉(zhuǎn)換器來轉(zhuǎn)換正確的地址。 

關(guān)于上傳，還有一個(gè)漏洞就是，這個(gè)系統(tǒng)用的是5xsoft的通用上傳類，有沒有上傳漏洞呢，這個(gè)漏洞很老了，希望大家自己動(dòng)手試試看。 

2、保存漏洞。  

新的4.1的九酷，對讀目錄、文件和刪除都作了不錯(cuò)的權(quán)限判定，如果直接改參數(shù)會(huì)報(bào)錯(cuò)說沒有權(quán)限，并且改文件名的時(shí)候程序也會(huì)一樣判斷是不是危險(xiǎn)類型。 

經(jīng)過測試，玄貓發(fā)現(xiàn)在文件編輯保存模塊出現(xiàn)了小洞洞，我們可以把文件順利地保存為asp的擴(kuò)展名，但是程序會(huì)對文件內(nèi)容進(jìn)行檢查，一些危險(xiǎn)字符是不能用的，不過我們可以用一句話木馬，在文件中寫入:<%execute request("value")%>，然后用玄貓改進(jìn)的一句話木馬客戶端寫入新的文件即可。 

最新評論