导航

心动吧黑客BLOG

自发研究:须要多维思想而且要想不可能为可能的人才能做到

« 美斯卡网站下载资源管理系统的注射漏洞MS Windows Media Player * (.WAV) Remote Integrer Overflow »

对某户外旅游网站的一次安全检测

By rabbitsafe  

大家好,有好长时间没有写检测方面的文章了。今天,受朋友之托检测一个网站,下面和大家一起分享其中的检测过程,希望大家能在文章中学到一些东西。开始我们的检测之旅吧!

一、剑行直下

今天要检测的网站叫中国户外旅游网,网站网址是  图1

这个站原来有一段时间不能用,是因为国内查询的人太多了,屏蔽了国内IP,如果以后大家碰到不能查询的情况,可以用国外IP代理查询。

根据我的经验,这台服务器上只放了5个站,应该是网站建设者自己在经营和维护,这种服务器的权限设置比那种放了上百个域名的虚拟主机权限差的多,提权成功率也比虚拟主机的高,当大家碰到一查询就是上百个域名的虚拟主机时,能从主站入手就想办法从主站入手,旁注即使能成功,也很难拿到主站的权限。旁注是无奈之举,能直接拿主站就从主站入手,旁注是最后的办法,大家一定要记住。

我们来认真看看51maihuo.com和uutxx.com这两个站,打开一看才发现这两个域名都是同一个站,这个网站是个介绍美食的网站,大致看了下,也没发现什么问题,而且还没弄明白用的什么程序,此时非常郁闷。冷静的想了一会,这个服务器上不应该只有两个网站啊,换了个ip域名查询网站  图2

网址是  图3

果然是织梦内容系统,这段时间织梦爆出了漏洞,我在本地测试过几次,我说布局怎么这么熟呢!最近织梦内容系统刚爆出过一个写入网马的漏洞,前提是服务器开放会员系统,而且有图书连载里有类别。漏洞文件出现在include\inc_bookfunctions.php文件中,代码如下:

function WriteBookText($cid,$body) 
{
global $cfg_cmspath,$cfg_basedir;
$ipath = $cfg_cmspath."/data/textdata";
$tpath = ceil($cid/5000);
if(!is_dir($cfg_basedir.$ipath)) MkdirAll($cfg_basedir.$ipath,$GLOBALS
['cfg_dir_purview']);
if(!is_dir($cfg_basedir.$ipath.'/'.$tpath)) MkdirAll($cfg_basedir.$ipath.
'/'.$tpath,$GLOBALS['cfg_dir_purview']);
$bookfile = $cfg_basedir.$ipath."/{$tpath}/bk{$cid}.php";
$body = "<"."?php\r\n".$body."\r\n?".">";
@$fp = fopen($bookfile,'w');
@flock($fp);
@fwrite($fp,$body);
@fclose($fp);
}
member\story_add_content_action.php
WriteBookText($arcID,addslashes($body));

中代码中我们可以看到,只是用addslashes进行了转义。但是$body = "<"."?
php\r\n".$body."\r\n?".">";很明显可以写入一个小马的。

我们先来访问http://www.travelren.net/member/index_do.php?fmdo=user&dopost=regnew注册一个新用户,然后,利用注册的新用户登录,会员系统图书连载里有类别,马上提交,

http://www.hikers.cn/member/story_add_content_action.php?chapterid=1&arcID=2&body=?>]);?>漏洞,每提交一次文件名就会加一,经过我测试我上传的小马地址为http://www.hikers.cn/data/textdata/1/bk9.php,网马为lanker一句马,密码为:cmd,我们来用lanker客户端进行连接。

就会在data\textdata\目录下生成小马,默认为data\textdata\1\bk1.php,如果有人利用过这个

 
图4

接下来,我们上传一个php大马上去,大马比一句话马的功能强大。

 
图5

从Webshell中,我们可以看出这台服务器中Linux操作系统,内核是2.6.9,但是盘符权限好像设置的有问题,我们来看看程序路径/data/htdocs/travelren/data/textdata/1,其中travelren应该是指当前拿到Webshell的网站,那我们直接来访问/data/htdocs/看看效果。

 
图6

网站盘符都没有设置权限,我们可以轻易浏览整个服务器上的文件,其中图中用红线标出来的应该是我们要拿到的目标网站,我们进入目标网站看看。

 
图7

可以完全控制目标网站,在目标网站根目录下写入文件test.txt发给朋友,任务完成。

 
图8

最后,我查看了一下服务器文件权限设置,发现服务器的Apache是以Root用户安装的,管理员太差了,Apache以Root权限安装,一个Webshell就可以控制整个服务器了。

 
图9

三、收剑闭关

这次的检测任务成功完成了,方法还是大家都比较熟悉的旁注,不过,从文章中大家应该能学到几点:

1、检测是个日积月累的过程,平时大家要多了解最新的漏洞,理解漏洞的意思,自己本地搭环境测试;

2、在遇到困难的时间要多动动脑,文章中第一个ip域名查询大家可能都经常用到,但是它也是机器,查询的信息不一定齐全,可以换几个ip域名查询网站试试,说不定有意想不到的收获;

3、国内的Linux系统管理员水平比较一般,我经常碰到没有设置权限,或是权限设置很差的服务器,大家可以多查看些目录,说不定有意想不到的收获;

4、最后一点,希望大家多多总结,多多学习,学校是一生当中最好的学习场所,大家要珍惜时间,工作以后想再学习就比较困难了,一定要珍惜学校里美好的时光。

原创文章如转载,请注明:转载自心动吧黑客BLOG [ http://www.abcxd.com/abcxd/ ]

本文链接地址:http://www.abcxd.com/abcxd/abcxdArticle/setou/20/

  • 相关文章:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

黑客榜之本月排行

搜索内容

日历

Copyright ⊙ 2004-2009 心动吧 UrL:ABCXD.CoM All RiGhts Reserved