友情检测豆丁网

先说明本文乃转载... 转载自: [http://www.enjoyhack.com/] 

一晃又是半个月没有更新blog了，这段时间天气热了，这人也浮躁了起来，前没几天爱车被盗，这两天又和女友怄气。还好今天稍微好了点，估计是昨天一场大雨的缘故吧。

今晚闲着没事，随意的看着QQ群的聊天记录，偶然发现在我自己群中有人连续发了好几个网页出来，本来群我没怎么管理，但也最烦这些在群乱贴网站的。记得之前有铁观音的客户老爱在群里发，我一气之下干了不少铁观音的网站，不过都是拿下shell就完事儿了，没有搞破坏。今儿看到这网页后都没仔细看就萌生了想法，反正现在也闲得蛋疼，看看是个啥网站在说，打开后才发现杯具了......

豆丁网，确实是够杯具的，虽然对这个网站不是很了解，但是记忆当中在百度搜索资料的时候有遇到过这个网站，而且资料还是要收税的，再看看PR和排名，分别是6和892。看来确实是个大站呀，这下看来要真蛋疼了，还以为刚群发出来的站是个一般的站呢，谁会想到会是这样的大站呢。早要是知道是豆丁网，我也就根本不用打开看了。

现在既然都看了不去尝试下有点说不过去了！不过想这样的大站是根本不可能有机会从主站入手的，至少我还没到那个技术层次，唯一的希望就是C段了。

经过思量后还是抄上IIS写权限扫描工具对0-255一整狂扫，以前搞C段习惯使用supperscan扫描，不过现在感觉IIS写权限扫描工具比较快。扫完之后发现有三个IP前面图标是蓝色的，不过针对这些不抱太大希望，虽然蓝色的有成功拿过shell，但是几率是很小的，在尝试过后选择了个蓝色的，而且和豆丁服务器IP比较临近下手，因为这样的站比较容易拿shell，一般IIS都没正确配置的情况说明管理员技术还不是很到位，提权和拿shell的几率是比较高的。

选择好目标IP后就去反查了下域名绑定情况，发现服务器上只有一个域名，看来服务器是专为这个站儿搞的，有的朋友可能在旁注的时候查到服务器绑定的域名只有几个或者一个的时候就认为不好搞，几率很小，其实不然，像这样的情况拿shell的几率稍微小点，但提权的几率比较大，往往单独网站会使用SA做数据库连接用户，这些都是经常遇到的，我就偏偏喜欢搞这类的站，特别是在C段的时候。

简单看了下现在目标服务器上的这个站，是个中型网站，脚本是ASPX与asp共存，可以判定数据库是MSSQL的，随便看了个动态连接也尝试注入不行，接着便丢到啊D中扫后台（其实不止是扫后台）。

人品貌似还不错，扫出来了个FckEditor编辑器，看到了这个心中顿时窃喜，找出FckEditor编辑器的各种利用方法去逐个尝试，结果却一无所获。默认的上传页面都被删除了，而且尝试完所有的test文件的上传地址都没有了，原本希望能还有个个test的上传页，现在却一个没有。

搞到这类感觉有点无奈了，默认的上传都不行，看来想要利用FckEditor编辑器拿shell是不可能的了，但目前这个站也就只有编辑器这条路了。当时还是不死心，在显示器面前呆了几分钟，心想既然test页面被管理删了，而test也是全静态的，我可不可以自己构造个test页来本地调教呢？（这个想法在之前一次使用fck拿shell的时候就有了，正好现在让我尝试下）想到这类立刻找了个前几天利用test页二次上传拿到shell的那个站，找出编辑器下的test页将其保存到本地。然后查看了下源代码。

<select id="cmbConnector" name="cmbConnector">
<option value="asp/connector.asp" selected="selected">ASP</option>
<option value="aspx/connector.aspx">ASP.Net</option>
<option value="cfm/connector.cfm">ColdFusion</option>
<option value="lasso/connector.lasso">Lasso</option>
<option value="perl/connector.cgi">Perl</option>
<option value="php/connector.php">PHP</option>
<option value="py/connector.py">Python</option>

本地提交一般都要修改执行页面的地址，经过试验发现提交后执行上传的文件路径便在以上代码中，不过现在目标站的asp也不存在，唯一的希望就是aspx，而且要利用的地方也只有aspx，但是要确保文件存在。于是我先查看了下另外一个网站的fck编辑的aspx上传页，然后再构造出目标站的fck编辑器地址查看了下：http://www.xxxxx.com/FckEditor/editor/filemanager/connectors/aspx/connector.aspx

 发现页面没有被删除，心中窃喜中，接着便修改本地文件中代码，将<option value="aspx/connector.aspx">ASP.Net</option>修改成<option value="http://www.xxxxx.com/FckEditor/editor/filemanager/connectors/aspx/connector.aspx">ASP.Net</option>，然后保存，接着打开选择ASP.NET 上传一个正常的图片，结果点上传后没任何反应，当时还以为没有上传成功，不过习惯性的查看了下网页源码后发现了惊喜。

这个正是图片上传成功后的代码内容，oned.gif 既是上传后的文件，为了确定正确上传我还是访问了下userfiles/file/oned.gif 发现确实是上传上去了，看到这里心中又是一阵狂喜，接下来就是看能否二次上传解析漏洞文件了。感觉人品还不错，成功上传了一个一句话图片马上去。

不过后来在使用一句话客户端进行连接上传webshell的时候却出现了问题。

 文件写入失败，后来改用XML和数据流组件也出现同样的问题，当时判定是ADODB.Stream被管理员删除了，拿webshell顿时又陷入了僵局。本想使用二次上传直接上webshell，不过在此之前我无意的使用lanker一句话客户端执行cmd命令的时候发现居然后可以net user，看到这个习惯性的执行了下whoami命令，回显的结果让我吃惊了。

直接就给我来个system权限了，哈哈，看来今天人品确实是很到位啊，这下webshell都可以不用拿了，直接上服务器，然后查看了下终端服务器有开启，不过端口3389没有，当时心想还以为是3389没开呢，不过在使用netstat -an命令查看下端口情况后很容易就猜到了修改后的端口号，就这样轻松的拿下豆丁网C段一个服务器的权限了，接下来的事情就是嗅探了。

不过在嗅探之前心里也没多少底的，本想是这样的站服务器在ARP攻击方面应该是有所防范的，不过在开上cain嗅探的时候发现事情并非我想象的那样，结果是很顺利的就嗅探到了豆丁网。

 网站流量可不是一般的高啊，我才开嗅探不到一分钟的时间，HTTP内容都上一万条了，如此庞大的流量，就算我嗅探到管理员后台的时候，去翻信息拿可是相当大的体力活啊，介于事态严重性和其他方面的因素我就没有再继续的搞下去了。随便拿个会员账号密码到豆丁网上登陆了下，发现原来豆丁网海可以买点资料赚点小钱。。感觉着站的模式还是挺不错的。

看了文章的朋友千万别有什么邪念，各方面的漏洞我会修补，至于豆丁网我还是要通知下站长，让他防范下ARP。

Tags: 豆丁  检测  黑客  
相关日志:

推荐几本书  (2010-6-12 21:44:47)

12位令人肃然起敬的“白帽”黑客  (2010-4-18 22:58:33)

如何成为一名黑客  (2010-4-12 22:24:16)

最好别做工具流  (2010-3-9 19:31:18)

社工是门艺术  (2010-3-3 23:49:25)

远离入侵做好人  (2010-3-2 22:58:22)

黑鹰安全网被封  (2010-2-10 10:39:26)

关于搞完人家网站挂黑页的  (2010-2-5 8:24:44)