41天:ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄漏
ASP应用
ASP几乎不存在了,老的应用还有一小部分。
大部分都是JAVA(18-今)和PHP(15-18)。
数据库泄露
ASP+ACCESS(ACCESS无需连接,无账号密码,文件里有固定好的数据库路径,拿到路径就可以下载数据库文件解密)。
ACCESS后缀名.mdb
文件路径里的 # 替换成 %23 ,可从浏览器输入路径和文件名直接访问下载。
HTTP.SYS(CVE-2015-1635)
漏洞描述
蓝屏漏洞。HTTP.sys远程执行代码漏洞。
在HTTP协议栈(HTTP.SYS)中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
对于此漏洞,一般都是对目标进行攻击,从而让目标主机死机。当然也可以执行任意代码。
影响版本
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Windows 8.1
Windows Server 2012 R2
漏洞利用条件
安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本。
检测漏洞是否存在
在kali linux中输入:
1 | |
(Range字段值的含义。18446744073709551615转为十六进制是 0xFFFFFFFFFFFFFFFF(16个F),是64位无符号整型所能表达的最大整数,整数溢出和这个超大整数有关。)
返回的TITLE中为Requested Range Not Satisfiable 则表示目标存在HTTP.SYS漏洞;
如果返回的是Bad Request则表示该漏洞不存在;
192.xxx.137.xxx:为目标主机IP地址
漏洞复现
使用msf > 后续会经常用到的工具
1 | |
不能乱用:破环计算机罪
IIS短文件漏洞
漏洞描述
此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
漏洞成因
为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令dir /x
应用场景
后台路径获取,数据库文件获取,其他敏感文件获取(探针只显示前六位)
利用工具
https://github.com/irsdl/IIS-ShortName-Scanner(Java)
https://github.com/lijiejie/IIS_shortname_Scanner(python)
java工具稍微好用一些
IIS文件解析
IIS 6 解析漏洞比较多 > 没有官方补丁
1、该版本默认会将*.asp;.jpg 此种格式的文件名,当成Asp解析
2、该版本默认会将*.asp/目录下的所有文件当成Asp解析。
如:logo.asp;.jpg xx.asp/logo.jpg
IIS 7.x 解析漏洞比较少 > 有官方补丁
在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
应用场景:配合文件上传获取Webshell
生成后门+上传文件:哥斯拉
常见情况:6版本+win2003 7/7.5版本+win2008 现在8版本
IIS写权限
几乎碰不到,非常老的漏洞。新上线的项目不可能有此漏洞。长长见识。
利用参考:https://cloud.tencent.com/developer/article/2050105
原因:搭建配置时,两处权限配置不当导致。
IIS<=6.0,目录权限开启写入,开启WebDAV,设置为允许
使用postman发送PUT请求可以写入,直接上传文件:
SQLMAP使用&ACCESS注入
ACCESS数据库无管理帐号密码,顶级架构为表名,列名(字段),数据,所以在注入猜解中一般采用字典猜解表和列再获取数据,猜解简单但又可能出现猜解不到的情况,由于Access数据库在当前安全发展中已很少存在,故直接使用SQLMAP注入。
1 | |
使用上述命令,找到可用数据(admin,密码)以后
找后台:
1、短文件扫描:利用漏洞探针
2、目录扫描:字典
3、网站爬虫:获取架构中的目录和文件,分析
拿权限:上传文件
若不能轻松上传文件,可配合配置解析漏洞抓包改参数