从广告邮件到肉鸡成群(图)

更新时间：2007年01月16日 00:00:00 作者：

我的私人信箱多次接到化妆品广告邮件，感觉不像是种毒的，于是点开连接去看看，原来是一个卖化妆品的商务网站。看上去较漂亮，就是不知安全性如何？以前注意过天意商务网，但这个较陌生，不知是什么系统（如图１所示）。

图1

习惯性地看看有无上传之处，居然没有发现有上传图片或其它东东的地方。不死心，注册一个用户，仍然没有发现可以上传或发表文章之处。再看看有无注入漏洞，在网址后面加上“'”，提示“请勿输入非法字符”，说明已做了防注入处理。不甘心啊！再加上“and 1=1”仍出现这个提示。如图2所示。

图2

看到上面有一个论坛，是动网7.0-SP2的，试试上传页面，不存在上传漏洞。看上去这个网站还算安全。不过，这个论坛只开了个几栏目，边图标都是动网的没有改。感觉管理者不会太专业，也没有怎么打理，会不会都是按默认安装的？于是试试默认的数据库名，果然一炮命中！数据库是默认的Dvbbs7.mdb。下载后用查看软件打开，在DV-Log中查找，如果管理员修改密码，这个记录中可以找到明文密码。果然找到了密码，如图3所示。

图3

进入后台，由于SP2的后台也不能上传，于是先在论坛发张帖子，上传一个图片文件，然后在后台通过备份数据库的方式获得了一个WebShell，再删除这个帖子，做到不留痕迹。这种方法大家很熟悉了，就不多说了，这里是网站当时留下的操作记录，如图4所示。

图4

有了WebShell就好办多了，用站长助长6.0在线查看数据库，居然是明文密码！顺利进入后台，仍然没有找到是什么系统……郁闷。

利用WebShell试试能否浏览和遍历硬盘，没想到却提示找不到路径，执行命令也没有反应，看来主机商的安全设置还不差。本来入侵到这里就基本结束了，但我在看网站文件时，发现了这个系统的上传漏洞。它其实是有上传文件的，只是不是以前通常的Upfile,.asp，而是叫Upload_flash.asp和Upfile_flash.asp。如图5所示。

图5

看了一下它的代码，发现路径是从提交中接收的，并且没有过滤，也就是说同样存在上传漏洞。于是拿出老兵的万能上传工具上传ASP后门，提示成功，但找不到文件名，试了几个可能的地方都没有！再直接访问该页也提示成功，原来这个提示是假的。如图6所示。

图6

老兵的万能工具都搞不定？怪事！于是决定抓包看看。具体抓包就不说了，这是抓包结果（前面部分）如下：

POST /xshop/upfile_flash.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.hzlook.com/xshop/upload_flash.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d4b89201ec
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; WHCC/0.6; .NET CLR 1.1.4322)
Host: www.hzlook.com
Content-Length: 2002
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSASDRTSD=DACEIKEALOCGCEPDAPNLFLJI; BoardList=BoardID=Show
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="filepath"/
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="filelx"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="EditName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="FormName"
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="act"
uploadfile
-----------------------------7d4b89201ec
Content-Disposition: form-data; name="file1"; filename="G:\hk\2004\upshow.asp"
Content-Type: text/plain
……

……

接下来当然是修改数据包，修改路径参数，改ASP为JPG，并进行相应的处理，然后用NC提交，居然提示“该文件类型不能上传！”，难道它会判断文件是否真为图片？上传一个真正的图片文件，这样也便于得知文件到底传到哪了。意外的是，真图片它也提示“该文件类型不能上传！”，这就怪了，以前还从未遇见连真图片都不能传的，只好再读代码。找到了关键代码如下：

if (filelx<>"swf") and (filelx<>"jpg") then
  response.write "该文件类型不能上传！　[ 重新上传 ]"
response.end
end if　
…………
if filelx="jpg" then
if fileext<>"gif" and fileext<>"jpg" then
  response.write "

只能上传jpg或gif格式的图片！　
原来，在判断文件类型前，还有一个判断！先看文件类型Filelx，再看扩展名类型Fileext，这比动网多了一个判断，而我的抓包中，Filelx是空白，当然不能上传了，也怪不得老兵的工具无效呢。

    找到了原因就好办了，当然是再来修改数据包，在“Content-Disposition：form-data; name="filelx"”下增加了“jpg”，并进行相应处理后，终于用NC上传成功！

    看来，这是一个新的漏洞，但我实在不知它是什么系统，用关键字搜索，找到一大堆网上商城网站，看了几个，仍没有提示是什么系统，但有的看上去同动网后台相似，试试这些网站，同样有这两个上传文件，也同样能用NC上传ASP文件。这样太麻烦了，于是自己写了一个上传工具，找一个上传一个，一会儿就有一大堆WEB肉鸡了，如图7所示。

图7

特别要说的是，有一台是虚拟服务器，居然可以遍历盘符和执行命令，几十个网站一下都在手中，而且还开了3389，我当然不会放过，如图8所示。

图8