编者:很老的文章了,作者一直也没有发布,我把它偷出来, 给大家借鉴下思路.
一. 起因。
学校的阿辉说他发的对校园DV的评论老被删,于是就想测试一下论坛的安全性,不一会就利用旁注拿到了shell,传了个HTML文件上去。我这些天在学踩点,本想学的差不多后对学校的站点做次全方位的安全检测和评估,看了好兄弟阿辉遭难我也不能坐之不理,于是也去看看论坛的安全性。本想whoise旁注的,不过阿辉已经实现了。我就换个思维看看。
二. 扫描。
既然是学校的站,比较了解就不踩点了。先用xscan3.1对*.*.65.196扫描,多次扫描后得出的结果如下:
警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_private 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin/_vti_aut/author.dll 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin/fpcount.exe 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin/fpcount.exe?Page=default.htm|Image=2|Digits=1 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin/shtml.exe 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_inf.html 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin/_vti_aut 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin/_vti_adm 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_pvt/doctodep.btr 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_log 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/abczxv.htw 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/null.ida 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/null.idq 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/_vti_bin/shtml.dll 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/scripts 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/scripts/samples/search/qsumrhit.htw 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/scripts/samples/search/qfullhit.htw 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/filemanager/filemanager_forms.php 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/phorum/admin/actions/del.php 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/phorum/plugin/replace/admin.php 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/phorum/plugin/replace/plugin.php 警告 www (80/tcp) CGI漏洞: http://*.*.65.196/b2/b2-include/b2edit.showposts.php 三.分析与尝试
很多人对这样的扫描信息不会分析利用,其实不防以关键字去焦点和绿盟查查资料,再细心的分析一定会有收获。以下是我的归类分析和尝试。
1. http://*.*.65.196/_private
分析:_private 是FrontPage自动在站点所在位置下新建的文件夹(一个是“images”另一个是“_private”,编辑站点时可以在“image”文件夹里放置站点用到的图片。)
危害:“private”文件夹比较特殊,其中的文件对浏览者来说是隐含的,可把一些不想让浏览者看到的网页文件放在这个文件夹里,比如:我们可以在这个文件夹里存放注册用户的个人信息。
尝试:403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。
2. http://*.*.65.196/_vti_bin/_vti_aut/author.dll
分析:author.dll是安装FrontPage Server Extensions之后产生的二进制文件,是用于创作功能的 FrontPage 服务器扩展可执行文件。
危害:WIN2K+IIS5对于一些特殊isapi又要以system身份加载,比如ISAPI筛选器fpexedll.dll,可以用来提升权限。
尝试:暂不,先拿SHELL :)
3. http://*.*.65.196/_vti_bin/shtml.dll
分析:shtml.dll同样是是安装FrontPage Server Extensions之后产生的二进制文件,设计用来浏览smart HTML文件并实时运行即是实现管理的 FrontPage 服务器扩展可执行文件。
在服务器上安装FrontPage Server Extensions之后,可以看到它包括三个二进制文件--admin.dll,author.dll,和shtml.exe,分别实现管理、创作、运行支持。FrontPage Server Extensions的版本不同,这三个文件的扩展名可能不同,例如.dll可能变成.exe,.exe可能变成.dll。另一方面,IIS允许指定任意一种扩展名,因为IIS有一个名为fpexedll.dll的ISAPI筛选器,它会把请求指向正确的位置。这三个二进制文件驻留在_vti_bin虚拟目录中,_vti_bin虚拟目录映射到物理目录\program files\common files\microsoft shared\web serverextensions\40\isapi或者,对于FrontPage Server Extensions 2002,物理目录是\program files\common files\microsoft shared\web server extensions\50\isapi。所有FrontPage Web网站即指安装和启用了FrontPage Server Extensions的网站都有一个虚拟目录映射到该路经。FrontPage通过向这些二进制文件发送HTTP POST请求,实现与Web服务器的通信,POST请求的正文中包含一些特殊的命令(称为vti_rpc命令),指示服务器执行一些特定的操作。
危害:其上面有个漏洞可以暴露web目录本地路径和DOS(http://www.cnns.net/article/db/276.htm)
尝试:暴露web目录本地路径不成功,DOS不尝试。
4. http://*.*.65.196/_vti_bin http://*.*.65.196/scripts
分析:IIS安装时的默认虚拟目录(把IIS安装时默认的"scripts","IISHelp","IISAdmin","IISSamples","MSADC","_vti_bin"等虚拟目录)
尝试:
a.403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。
b.访问http://*.*.65.196/IISAdmin
提示HTTP 403 - 对 Internet 服务管理器 (HTML) 的访问仅限于 LocalhostInternet 信息服务
c.访问http://*.*.65.196/ IISHelp http://*.*.65.196/ IISSamples http://*.*.65.196/MSADC
HTTP 403.6 - 禁止访问:IP 地址被拒绝
猜测:估计是默认的IIS安装到C盘.
5. http://*.*.65.196/_vti_bin/fpcount.exe
分析:fpcount.exe是运行时FrontPage HitCounter组件的组成部分,IIS 的一个网站访问计数器。
危害:nt4.0时有个缓冲区溢出漏洞,不过现在是2000的机子,估计是误报了
尝试:暂不。
6. http://*.*.65.196/_vti_inf.html
分析:_vti_inf.html其位于web根目录下,该文件是Frontpage extention server的特征, 包含客户端应用程序与运行SharePoint Team Services的服务器间进行通信所需的信息,如版本号和脚本路径,通常是FrontPage客户端与服务器交流时使用。
危害:攻击者可以得到一个URL访问这个文件从而泄漏版本号和脚本路径,一些密码文件。
尝试:打开显示“FrontPage 配置信息 此网页的 HTML 注释中包含了配置信息,这些配置信息是 FrontPage Explorer 和 FrontPage Editor 与此站点服务器上安装的 FrontPage 服务器扩展通讯时所需要的。请勿删除此网页”查看源文件得到如下信息:
<!-- FrontPage Configuration Information
FPVersion="4.0.2.3406"
FPShtmlScriptUrl="_vti_bin/shtml.dll/_vti_rpc"
FPAuthorScriptUrl="_vti_bin/_vti_aut/author.dll"
FPAdminScriptUrl="_vti_bin/_vti_adm/admin.dll"
-->
得到FP extensions的版本号4.0.2.3406
试试有没有MS0351 Microsoft FrontPage扩展服务缓冲区溢出漏洞-攻击不成功。
7.http://*.*.65.196/_vti_bin/_vti_aut http://*.*.65.196/_vti_bin/_vti_adm 分析:_vti_aut 和_vti_adm是 FrontPage Web中建立的虚拟目录,以标记包括FrontPage服务器扩展可执行的动态链接库和不可读的隐含目录。(FrontPage为每个子Web建立如下虚拟目录:
• _vti_bin _vti_bin\_vti_aut
• _vti_bin\_vti_adm
• _vti_pvt _vti_cnf
_vti_txt)
危害:信息泄露
尝试:403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。
8.http://*.*.65.196/_vti_pvt/doctodep.btr
分析:Web的保护数据库FrontPage关系树索引文件
危害:信息泄露。
尝试:以记事本打开可以得到一些敏感路径。
9.http://*.*.65.196/_vti_log
分析:用于存放包含FrontPage扩展Web站点相关信息的日志文件。
危害:信息泄露
尝试:403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。
10. http://*.*.65.196/scripts/samples/search/qsumrhit.htw http://*.*.65.196/scripts/samples/search/qfullhit.htw
分析与尝试:试着提交http://*.*.65.196/scripts/samples/search/nosuchfile.htw http://*.*.65.196/null.htw从服务器端获得如下信息:format of the QUERY_STRING is invalidQUERY_STRING 的格式无效。表示存在漏洞----Microsoft Windows Index Server远程目录遍历漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=270&keyword=qsumrhit.htw) 。Webhits.dll是一个ISAPI应用程序用来处理请求,打开文件并返回结果。当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致查看ASP源码和其他脚本文件内容。据说IIS默认安装在任何一款打了补丁以后的windows系统后也有这个漏洞。也就是说 即使你打了sp4 还是会有利用这个漏洞看到服务器上的其他文件源码的可能。提交: http://*.*.65.196/scripts/samples/search/nosuchfile.htw?ciwebhitsfile=/../../winnt/iis5.log&cirestriction=none&cihilitetype=full失败,由于不知道对方的目录,构造了几次都不行
11. http://*.*.65.196/null.ida&nb