网站入侵常用模式之上传漏洞

菜鸟学堂第一节
网站入侵常用模式之上传漏洞
作者：职业欠钱
文章属性：原创注：本文已经发表在《黑客X档案》2005年第5期上，版权归其所有。转载请著明版权

话说悟空陪唐僧西天取经回来，逍遥自在。转眼已是二十一世纪—2005年，网络极速发展，可怜的猴头，七十二变变不了信息，腾云驾雾追不上网速，当年叱诧风云的齐天大圣如今只能给人做一只看门猴。渐渐逼近的生活危机迫使悟空发粪涂墙，闭关一年后，终于在网络安全方面，小有所成，并且在黑客x档案　开办了菜鸟学堂，亲任主讲。这日，悟空教兽下课放走了众猴儿，发现Q上八戒急呼，说要带上沙僧，和师父一起来旁听！悟空赶忙筋头云将三位请到花果后山的“菜鸟学堂”。
“呆子！怎么竟放着高老庄舒心的日子不过，跑来这里和俺老孙学安全？” “哎呀，猴哥你有所不知啊！俺和高小姐一直甜甜蜜蜜的过着不羡鸳鸯不羡仙的小日子，没事上上QQ，看看电影，打打游戏，谁知道，有一次不知怎地竟让一黄色网站窜改了我的首页！高小姐便认准了我对她不忠，任我怎么说也不相信！结果我和她一冲，现在闹到要过11月11日的光棍节了……正好听说你正在开菜鸟学堂，就要过来好好跟你学学！”
沙僧听罢，苦笑着摆摆手：“二师兄，别提了！你比我可好多了！我回到老家通天河，做了养鱼专业户！后来扩大生产就请人做了个网站，网上销售。可是近来发现连连亏损，一查才知道原来网站被骇客入侵，将我们数据都改掉了……这不，连家底都赔进去了”
悟空眼看俩人都有苦衷，需要补补网络安全的课，可是师父他老人家又怎么也跟着来了呢：“师父，您老人家怎么也来了？” 唐僧双手合什：“啊弥陀你的佛！为师不过不想落在徒儿后面而已……” “哈哈，看来，俺今天得当一回你们的师父了！说说看，你们都想学什么东西呢？” 八戒：“我来说，我来说，我要学怎么可以上网不被人改首页……” 沙僧：“俺就想知道俺的网站为啥子就被黑咯！” 唐僧：“为师想学的，你又教不了我。为师教的，你也不学。哪怕我很有诚意的看着你，你也不知道我想学什么，你不教怎么知道我想学什么呢？不可能你不会的我偏要你教，你教的我偏说不想学，大家讲道理嘛……”（众人皆被唐僧的罗嗦气倒……）
在举手表决后，大家一致认为沙僧的建议最为合理。于是悟空单独教会八戒如何打IE补丁并且使用3721修复IE后，决定教会大家现在流行的网站入侵手法，让沙僧知道他的网站为何会被黑。 “沙师弟，把你的网址给俺发过来瞧瞧！” 沙僧诚惶诚恐的在地址栏里输入：www.沙僧牌通天鱼专卖.com 悟空大致浏览了一下：“不得了，不得了，你的网站简直是千疮百孔，不堪一击。随便一看，就发现了上传漏洞，SQL注射漏洞，甚至数据库还可以被暴出来被恶意下载。再看看，后台管理连默认密码都没改，OH，My GOD！这要不被入侵那才怪了呢！”
“啊？那不就是个马蜂窝了么？”
八戒一听，赶忙跑了过来：“哈哈，大师兄，快讲快讲，待会我就去桶沙师弟的马蜂窝！” 悟空敲了一下八戒的猪头：“呆子，就会欺负师弟。不过要是俺要黑师弟的网站，俺首先要看看那个站是什么样的！要是纯HTML静态页面的话，俺是不会在上面浪费时间的。”
唐僧为了显示身为人师的地位，打断悟空的话：“呃恩~~（清喉）所谓静态页面，就是不会动的页面，然 那些有动画flash一类的网页乃为动态页面。悟空，为师所言及是？”
“不对啦~所谓静态页面和动态页面的区别是，能否有与客户交互的动作！比如，网上很多免费的个人主页空间都是只支持纯静态的页面。那些做好的个人主页放在网上以后，客户访问时都是将它们下载到自己的机器的临时文件夹里，用IE解释而已。这样的网页是可以用VB script或者JAVA script这些脚本程序实现一些特效，或者加入flash，gif图片增强页面的动感。但它并不是动态页面，所谓动态页面是指，像ASP（Active Server Page—动态服务页面）或者PHP，JSP，等等，由客户请求后，服务器解释才生成最终的HTML页面。这样的程序往往功能强大，使用方便，当然，由于功能的增多，安全方面的隐患自然也就增加了！”
早就看师父不顺眼的悟空瞅准机会赶紧让唐僧出了个大糗。唐僧尴尬的说道：“这 ……，为师还是不大明白” “这个没关系，因为具体涉及到ASP什么的不符合你们现在的基础，所以俺也不打算再深入的讲下去，如果有机会你们回去以后去找本讲ASP的书来看看，了解了HTML和ASP就会对上面的话理解更深刻了。我在这里只给出总结性的一个方法：如果你看到一个网站的所有链接都是http://www.xxx.com/abc/cde.htm这种以htm或者html结尾的，极有可能它用的就是纯静态的页面了。这样子是没有办法入侵的，撤！而如果你看到其中有.asp?user=悟空这种带有参数的，那么就很有可能有办法入侵了。” “哈~俺老猪找到三师弟网站上有个论坛，是asp的！！”
“没错！沙师弟用的这个论坛是DVBBS 6.0的，也就是我们俗称‘洞网’的论坛。” “他们给我做的时候明明说是动网论坛，早知道原来是‘洞网’我就不用它了……”沙僧嘟啷着。 “哈哈，其实这不能怪动网，他们现在都出到7.1版了，而你还在用6.0，这个是存在严重的上传漏洞的啊！” “上传？为师到X档案论坛灌过水，上传过在女儿国渡假的照片，上传过大话西游的flash，上传东西还会有漏洞？” “哈哈~没错！你们不知道上传漏洞有什么危害，首先是因为你们还不知道什么是ASP木马！” “木马？是冰河么？灰鸽子？” 唐僧昂头挺胸，自信满满地想：这次我总说对了吧！
“师父，您又错了！ASP木马和普通的木马不是一回事！可以说，ASP木马只是利用了ASP的特性，可以具有对网站上的文件进行操作和在服务器上执行命令等功能，有些ASP木马同时也是网站管理员非常喜欢的管理网站的好帮手！这样用浏览器就可以看到网站里所有的文件，查看服务器的信息，操作数据库，甚至可以执行我们需要的命令而完全控制整个服务器，只要提升了权限！” 八戒听着都流口水了，“原来ASP木马这么好玩啊？那它们长什么样子？放在我电脑上要是不小心点了会不会也中了木马啊？” “不会的啦！ASP木马其实只是一段ASP程序，而且你可以以文本格式保存下来，用记事本打开它！这样可以看到它的源代码！而且，它对系统也是一点危害都没有的！这里给你们看一下我电脑里保存的几个ASP木马（图1、图2）”

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 397px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416374154988.jpg" onload="return imgzoom(this,550)" border=0>

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 398px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416431151003.jpg" onload="return imgzoom(this,550)" border=0> “原来ASP木马是这样子的啊！那怎么用呢？”八戒迫不及待想玩一玩这个新鲜的木马了！ “ASP木马，顾名思义是需要支持ASP空间的网站才可以用。我们现在拿我自己的电脑来示范一下，我的电脑是2000server，装了IIS是可以支持ASP的。这个环境就和沙师弟的网站是一样的了。（图3）”

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 476px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416431143546.jpg" onload="return imgzoom(this,550)" border=0>
“如果没有IIS的支持，ASP木马在不支持ASP的空间里就是这个样子的：”悟空继续解释道。（图4）

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 399px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416431196896.jpg" onload="return imgzoom(this,550)" border=0> “而有了IIS支持以后，能够解释asp文件里的内容，才会生成我们刚才看到的东西。我们使用海洋顶端2006示范一下ASP木马的使用。首先，我们要用记事本打开它，找到里面设密码的部分，改为我们自己的密码，这样避免别人看到我们的木马以后也能使用。” 大家纷纷改好了属于自己的密码以后，叫悟空用IIS打开来一看。看到了登陆的界面了。 “这个海洋木马在经过Marcos的帮助后，现在功能非常的强大，当然，个头也是稍微大了一点，这里按钮不少，大家可以随便点。” （图5）

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416431142465.jpg" onload="return imgzoom(this,550)" border=0>
“OH，My GOD! 这不相当于什么都可以做了么？而且只需要浏览器就可以控制网站上的一切了！”沙僧也开始“OH，MY GOD”了。
悟空得意的看了一下三人，开始说道：“好了，具体的操作你们只要自己打开看看，就会觉得很容易上手了！我着重解释一下入侵的时候最常用的几个选项。系统服务信息和服务器相关数据是查看服务器信息的，这样我们可以知道对方的服务器上面有多少用户，FSO文件浏览操作器和Shell.Application文件浏览操作器顾名思义是用来操作文件的了！而WScript.Shell程序运行器则是运行程序的！比如这是我执行net user得到的结果！可以说，在实际的入侵过程中，经常会遇到权限设置的比较好的服务器是不允许你执行命令的！这时候，它们往往只是设置了cmd.exe的权限不允许普通用户运行而已，我们只需要传一个自己的cmd.exe上去，在把路径这个地方的cmd.exe改成我们上传后cmd.exe的物理路径填入就可以了。实在不行还可以试试WScriptShell，这也是我觉得海洋比老兵的站长助手最使用最好的地方了！有时候一个网页木马的执行命令功能对提升权限是至关重要的！”
悟空还在滔滔不绝的时候，三人已经兴冲冲的玩起ASP木马来了！唐僧一边狂点鼠标一边流着口水说：“嘿嘿，真好玩！”还是沙僧记得正题：“猴哥，你不是说要讲上传漏洞么？怎么提到这茬了？” 悟空敲了一下沙僧的头：“沙师弟，你什么时候也变得和八戒一样呆了？asp木马要传到别人的网站上，才能使用嘛！平时灌水的时候你没发现，论坛允许上传的格式都是jpg之类的，而asp类型是禁止的！如果程序有漏洞使得我们可以把asp木马传上去，我们就可以直接控制整个网站，这就是我们所说的上传漏洞！” 唐僧一听到这话，马上呆住了，喃喃道：“阿弥驮俺的佛，那我把asp木马改为.jpg格式上传，然后再访问不就行了？哈哈，还是为师厉害！这一定就是传说中的上传漏洞了！没错！一定是的！” 众人绝倒！半晌后，悟空从地下爬起来对唐僧说道：“ASP文件要以asp格式保存在服务器上，里面的内容才会得到正确的解释！如果有你说的那么简单的话~俺们还混个P~” [小提示：这里不一定非得是.asp格式，事实上，如果是asp、cer、cdx、asa、htr中的任何一种都是以asp.dll来解释的！] 唐僧脸红得像悟空的屁股一样，再也不敢随便不懂装懂了：“那，是怎么回事？” “嘿嘿，师傅，我们一起到沙师弟的论坛上发个帖子就知道了！发帖的时候，照你说的，把我们的木马改名为.jpg，然后上传上去！得到的路径是UploadFile/20054911182757003.jpg，这是相对路径，合并为完整的路径就是http://localhost/UploadFile/20054911182757003.jpg，大家点开来看看是什么样子！（图6）”

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 399px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416431131367.jpg" onload="return imgzoom(this,550)" border=0> “和用记事本打开的效果一样！虽然传到服务器上了，可是并没有执行啊……”沙僧憋得满脸通红，终于忍不住第一个喊了出来。 “没错！我们注意一下，这里论坛保存的时候是这么保存的，把当时的发帖时间加上几位随机数再加上后缀名保存了下来！” [2005-4-9 11：18：27 +2757003+.+jpg]= 20054911182757003.jpg 八戒忽然小眼一睁，指着屏幕问到：“我说猴哥 uploadfile这个目录是怎么来的？” 悟空兴奋地拍着八戒道：“嘿嘿，呆子不错啊！比师父强多了！这个目录其实也是由我们提交的！只不过论坛把它隐藏了起来，不让我们看到！如果我们用WSockExpert这个抓包工具来观察我们提交的数据包，就会看到这个地方！（图7）而上传漏洞的序幕也由此拉开了！”

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 519px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416474291154.jpg" onload="return imgzoom(this,550)" border=0>
眼见众人迷惑的表情，悟空继续解释：“由于路径可以由我们提交，如果我们人为精心构造特殊的目录，比如，filepath这个路径变量名的值被我们改成了UploadFile/海洋木马.asp⊙提交（这里的⊙代表ASCII码为00的特殊字符！）” 唐僧机械的把完整的路径写了出来： [ UploadFile/海洋木马.asp⊙20054911182757003.jpg] “我知道了！我学C语言的时候佛祖告诉过我，当电脑读到ASCII码为00的字符时，认为字符串已经结束了！于是后面的东西被忽略掉了！就变成了UploadFile/海洋木马.asp也就是我们要的ASP木马了！”沙僧恍然大悟！ “BINGO！就是这样！这个漏洞最初公布的时候需要人们手工抓包，修改里面的字符，然后用nc提交，我很多孩儿都不明白为什么！今天我撇开ASP程序里的具体语句用这个方法来说明，但是，事实上，从这以后，上传漏洞就开始了多种多样的利用方式！” “路径可以改，那是不是文件名也可以改？”八戒好象吃错药了一样的聪明。 “呵呵，正是如此，如果我们上传的文件是photo.jpg，上传到服务器还是photo.jpg或者是photo2005491118.jpg这种的话……” “我们就提交photo.asp⊙.jpg，这样保存下来就又是asp文件了！”沙僧也不甘示弱！ “是这样的！不过这还要求ASP程序是从左到右读文件名才行。所以并不是所有的文件都可以这么利用的！”悟空看到二位师弟领悟能力如此之高倍觉欣慰，唯有唐僧还在用笔拼命画着，咬破了三个笔套子。 “大师兄，那你教我们如何抓包和修改数据包来利用这个漏洞么？”沙僧诚恳的说。 “沙师弟，别见外了！俺老孙今天教你们更简单的利用方式！用现成的工具！抓包那些烦琐的事我到时候给你们一些动画教程照着学就好了。我现在介绍的是桂林老兵的上传漏洞通用工具。（图8）”

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416474272479.jpg" onload="return imgzoom(this,550)" border=0>
“大师兄，你还没说怎么知道沙师弟的论坛有上传漏洞呢！我们怎么判断啊？”八戒拱了拱鼻子。 “看俺老孙的记性！这个很简单，首先，俺从它底部的版权知道它是DVBBS 6.0的。如果没有打补丁的话，直接访问upfile.asp就会出现这个提示：（图9）”

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 512px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416474393234.jpg" onload="return imgzoom(this,550)" border=0>
给大家看完upfile.asp后，悟空继续说到：“当然，具体是否存在漏洞我们还要实验才知道！我们在老兵的工具提交地址栏里填入http://localhost/upfile.asp，因为动网论坛是路径自定义的，所以我们选中该选项，以后遇到其它类型的上传漏洞的时候，我们就要先了解它是属于哪一种，当然，你两种都试一下也没问题。上传路径是指，传到网站上的哪个地方。默认是shell.asp，那么传上去了以后，访问http://localhost/shell.asp就可以了。把加文件头的小钩取消，点提交！（图10）从myface.value=''shell.asp图片上传成功!我们可以看到我们的马儿传到了哪里。（因为有些上传漏洞并没有把路径返回给我们，需要自己找），同时仔细看的话，回发现这个返回信息是缺了一个单引号的，这是为什么你们可以自己想想。”

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 511px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416474333194.jpg" onload="return imgzoom(this,550)" border=0>
八戒撇开还在迷惘的师父，很干脆的往地址栏里输入沙僧的网站，轻松的将ASP站长助手传了上去，却发现访问不了。（这里注意，ASP站长助手6.0登陆的时候需要手工加入?action=login，也就是访问的时候需要访问http://localhost/shell.asp?action=login，否则会被转向站点根目录）而传海洋2006根本就找不到页面！悟空看在眼里，慢慢伸出猴爪抚摩着八戒：“八戒，什么时候变得比俺还猴急呢？海洋2006这种大名鼎鼎的马儿，众杀毒软件早就见它不爽，如梗在喉了，你传上去不被杀算是奇迹啊！而且，这东东那么大，70多K，有些朋友用小猫上网，说不定传都传不上去呢。” 八戒满脸堆笑，轻轻拱拱悟空问：“这个，大师兄，那应该怎么做呢？” 悟空拔下根猴毛：“如果马儿像你这么大，传上去不方便，还容易把人家的网站服务器搞挂了，而如果有像俺这根猴毛这么小的马儿就好办了！” 沙僧：“嘿，这个我知道，以前有个臭要饭的跟我要鱼的时候，送过一个叫newmm.asp的东西给我做为报答，还说这是免杀的！”接着赶忙拿出了newmm.asp，传了上去。（图11）

<IMG src="http://www.xdxf.net/skins/default/filetype/jpg.gif" onload="return imgzoom(this,550)" border=0>此主题相关图片如下：
<IMG style="WIDTH: 475px" alt=按此在新窗口浏览图片 src="http://www.xdxf.net/UploadFile/2005-5/200552416474310879.jpg" onload="return imgzoom(this,550)" border=0>
“悟空，你再教教大伙如何使用这个newmm.asp吧！”唐僧似乎缓过神来了。 “这个马儿再简单不过了啊！上面的解释也很容易！根据马儿的绝对路径，可以写出你要保存的马儿的绝对路径，马的内容里就是把你想要传的马儿的源码填进里面。然后点保存！这里要注意的是，如果你填的文件名原先不存在，则会新建一个，而如果你填的文件名与原先服务器存在的文件重名，就会覆盖掉别人的文件。这里一定要小心！然后再用相对路径访问就好了！” “绝对路径？相对路径？绝对？相对？”唐僧又开始犯傻了…… “唉，我说师父啊。怎么连这你都还没搞明白呢？刚才玩ASP木马的时候咱们不是发现了吗？现在网站大多数使用的是虚拟主机。那样一台服务器上会有上百个网站。他们是这样子分布的：比如在D盘里建一个web文件夹，里面再分若干个目录，每一个网站对应自己的目录。比如：www.web1.com的所有文件都在D:\WEB\WEB1下，www.web2.net的所有文件都在D:\WEB\WEB2下。如果web1这个网站在自己的目录下新建一个文件夹放论坛，名字为BBS，那么，我们访问该论坛的时候，用的是www.web1.com/bbs来访问的，这里/bbs是相对路径，而在服务器上面，它的绝对路径就是D:\WEB\WEB1\BBS，如果我们要放一个ASP木马，写D:\WEB\WEB1\BBS\SHELL.ASP之后，要访问木马就是www.web1.com/bbs/shell.asp”做过自己网站的沙僧果然基础扎实。唐僧头埋得更低了，还一边狡辩：“呃~其实这个我早就知道了，我考考你们大师兄罢了” 八戒也明白了，于是蹑手蹑脚的跑到一边，打开沙僧的网站，再点上传！看看返回的消息：“八戒，想干什么呢？”upfile.asp里的内容居然已经是这个东西了！回头看到沙僧等人满脸得意的笑，