记对母校的一次非旁注攻击

一．起因。

学校的阿辉说他发的对校园DV的评论老被删，于是就想测试一下论坛的安全性，不一会就利用旁注拿到了shell,传了个HTML文件上去。我这些天在学踩点，本想学的差不多后对学校的站点做次全方位的安全检测和评估，看了好兄弟阿辉遭难我也不能坐之不理，于是也去看看论坛的安全性。本想whoise旁注的，不过阿辉已经实现了。我就换个思维看看。

二．扫描。

既然是学校的站，比较了解就不踩点了。先用xscan3.1对*.*.65.196扫描，多次扫描后得出的结果如下：
警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_private 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_bin/_vti_aut/author.dll 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_bin 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_bin/fpcount.exe 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_bin/fpcount.exe?Page=default.htm|Image=2|Digits=1 警告 

CGI漏洞: http://*.*.65.196/_vti_bin/shtml.exe 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_inf.html 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_bin/_vti_aut 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_bin/_vti_adm 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/_vti_pvt/doctodep.btr 警告     www (80/tcp)   

CGI漏洞: http://*.*.65.196/_vti_log 警告     www (80/tcp)   

CGI漏洞: http://*.*.65.196/abczxv.htw 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/null.ida 警告     www (80/tcp)   

CGI漏洞: http://*.*.65.196/null.idq 警告     www (80/tcp)   

CGI漏洞: http://*.*.65.196/_vti_bin/shtml.dll 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/scripts 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/scripts/samples/search/qsumrhit.htw 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/scripts/samples/search/qfullhit.htw 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/filemanager/filemanager_forms.php 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/phorum/admin/actions/del.php 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/phorum/plugin/replace/admin.php 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/phorum/plugin/replace/plugin.php 警告     www (80/tcp)    

CGI漏洞: http://*.*.65.196/b2/b2-include/b2edit.showposts.php

三.分析与尝试

很多人对这样的扫描信息不会分析利用，其实不防以关键字去焦点和绿盟查查资料，再细心的分析一定会有收获。以下是我的归类分析和尝试。
1.     http://*.*.65.196/_private 
分析：_private 是FrontPage自动在站点所在位置下新建的文件夹（一个是“images”另一个是“_private”，编辑站点时可以在“image”文件夹里放置站点用到的图片。） 
危害：“private”文件夹比较特殊，其中的文件对浏览者来说是隐含的，可把一些不想让浏览者看到的网页文件放在这个文件夹里，比如：我们可以在这个文件夹里存放注册用户的个人信息。
尝试：403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。

2.     http://*.*.65.196/_vti_bin/_vti_aut/author.dll 
分析：author.dll是安装FrontPage Server Extensions之后产生的二进制文件，是用于创作功能的 FrontPage 服务器扩展可执行文件。
危害：WIN2K+IIS5对于一些特殊isapi又要以system身份加载，比如ISAPI筛选器fpexedll.dll，可以用来提升权限。
尝试：暂不，先拿SHELL ：）

3.     http://*.*.65.196/_vti_bin/shtml.dll 
分析：shtml.dll同样是是安装FrontPage Server Extensions之后产生的二进制文件，设计用来浏览smart HTML文件并实时运行即是实现管理的 FrontPage 服务器扩展可执行文件。
在服务器上安装FrontPage Server Extensions之后，可以看到它包括三个二进制文件--admin.dll，author.dll，和shtml.exe，分别实现管理、创作、运行支持。FrontPage Server Extensions的版本不同，这三个文件的扩展名可能不同，例如.dll可能变成.exe，.exe可能变成.dll。另一方面，IIS允许指定任意一种扩展名，因为IIS有一个名为fpexedll.dll的ISAPI筛选器，它会把请求指向正确的位置。这三个二进制文件驻留在_vti_bin虚拟目录中，_vti_bin虚拟目录映射到物理目录\program files\common files\microsoft shared\web serverextensions\40\isapi或者，对于FrontPage Server Extensions 2002，物理目录是\program files\common files\microsoft shared\web server extensions\50\isapi。所有FrontPage Web网站即指安装和启用了FrontPage Server Extensions的网站都有一个虚拟目录映射到该路经。FrontPage通过向这些二进制文件发送HTTP POST请求，实现与Web服务器的通信，POST请求的正文中包含一些特殊的命令（称为vti_rpc命令），指示服务器执行一些特定的操作。
危害:其上面有个漏洞可以暴露web目录本地路径和DOS（http://www.cnns.net/article/db/276.htm）
尝试：暴露web目录本地路径不成功，DOS不尝试。

4.     http://*.*.65.196/_vti_bin http://*.*.65.196/scripts 
分析：IIS安装时的默认虚拟目录（把IIS安装时默认的"scripts","IISHelp","IISAdmin","IISSamples","MSADC","_vti_bin"等虚拟目录）
尝试：
a.403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。
b.访问http://*.*.65.196/IISAdmin
提示HTTP 403 - 对 Internet 服务管理器 (HTML) 的访问仅限于 LocalhostInternet 信息服务
c.访问http://*.*.65.196/ IISHelp http://*.*.65.196/ IISSamples http://*.*.65.196/MSADC
HTTP 403.6 - 禁止访问：IP 地址被拒绝
猜测：估计是默认的IIS安装到C盘.

5.     http://*.*.65.196/_vti_bin/fpcount.exe
分析：fpcount.exe是运行时FrontPage HitCounter组件的组成部分，IIS 的一个网站访问计数器。
危害:nt4.0时有个缓冲区溢出漏洞,不过现在是2000的机子，估计是误报了
尝试：暂不。

6.     http://*.*.65.196/_vti_inf.html 
分析：_vti_inf.html其位于web根目录下,该文件是Frontpage extention server的特征, 包含客户端应用程序与运行SharePoint Team Services的服务器间进行通信所需的信息,如版本号和脚本路径，通常是FrontPage客户端与服务器交流时使用。
危害:攻击者可以得到一个URL访问这个文件从而泄漏版本号和脚本路径,一些密码文件。
尝试：打开显示“FrontPage 配置信息 此网页的 HTML 注释中包含了配置信息，这些配置信息是 FrontPage Explorer 和 FrontPage Editor 与此站点服务器上安装的 FrontPage 服务器扩展通讯时所需要的。请勿删除此网页”查看源文件得到如下信息：
<!-- FrontPage Configuration Information
  FPVersion="4.0.2.3406"
  FPShtmlScriptUrl="_vti_bin/shtml.dll/_vti_rpc"
  FPAuthorScriptUrl="_vti_bin/_vti_aut/author.dll"
  FPAdminScriptUrl="_vti_bin/_vti_adm/admin.dll"
-->
得到FP extensions的版本号4.0.2.3406
试试有没有MS0351 Microsoft FrontPage扩展服务缓冲区溢出漏洞－攻击不成功。

7.http://*.*.65.196/_vti_bin/_vti_aut http://*.*.65.196/_vti_bin/_vti_adm 分析：_vti_aut 和_vti_adm是 FrontPage Web中建立的虚拟目录，以标记包括FrontPage服务器扩展可执行的动态链接库和不可读的隐含目录。（FrontPage为每个子Web建立如下虚拟目录： 
?     _vti_bin   _vti_bin\_vti_aut
?     _vti_bin\_vti_adm
?     _vti_pvt   _vti_cnf
_vti_txt）
危害:信息泄露
尝试：403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。

8.http://*.*.65.196/_vti_pvt/doctodep.btr 
分析：Web的保护数据库FrontPage关系树索引文件
危害：信息泄露。
尝试：以记事本打开可以得到一些敏感路径。

9.http://*.*.65.196/_vti_log
分析：用于存放包含FrontPage扩展Web站点相关信息的日志文件。
危害:信息泄露
尝试：403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。

10. http://*.*.65.196/scripts/samples/search/qsumrhit.htw   
 http://*.*.65.196/scripts/samples/search/qfullhit.htw 
分析与尝试：试着提交http://*.*.65.196/scripts/samples/search/nosuchfile.htw http://*.*.65.196/null.htw从服务器端获得如下信息：format of the QUERY_STRING is invalidQUERY_STRING 的格式无效。表示存在漏洞----Microsoft Windows Index Server远程目录遍历漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=270&keyword=qsumrhit.htw) 。Webhits.dll是一个ISAPI应用程序用来处理请求，打开文件并返回结果。当用户控制了CiWebhitsfile参数传递给.htw时，他们就可以请求任意文件，结果就是导致查看ASP源码和其他脚本文件内容。据说IIS默认安装在任何一款打了补丁以后的windows系统后也有这个漏洞。也就是说 即使你打了sp4 还是会有利用这个漏洞看到服务器上的其他文件源码的可能。提交: http://*.*.65.196/scripts/samples/search/nosuchfile.htw?ciwebhitsfile=/../../winnt/iis5.log&cirestriction=none&cihilitetype=full失败，由于不知道对方的目录，构造了几次都不行

11. http://*.*.65.196/null.ida http://*.*.65.196/null.idq
分析：IISIndexServerISAPI扩展远程溢出漏洞(/NULL.ida)
IISIndexServerISAPI扩展远程溢出漏洞(/NULL.idq)
不多说了老早的洞了
尝试：不成功。在扫描结果中只开了80端口，PING不通——显然是有防火墙。直接以URL访问提示找不到文件（如果返回一个物理路径很可能存在该漏洞）-----没有利用可能性，放弃。

12.http://*.*.65.196/filemanager/filemanager_forms.php
分析： PHPprojekt远程文件包含执行任意命令漏洞(http://www.xfocus.net/vuls/200203/2065.html)

13.http://*.*.65.196/phorum/admin/actions/del.php
http://*.*.65.196/phorum/plugin/replace/plugin.php
http://*.*.65.196/phorum/plugin/replace/admin.php
分析：Phorm任意命令可执行漏洞(http://www.xfocus.net/vuls/200205/2479.html)
装有基于PHP的WEB论坛程序Phorum?

14.
http://*.*.65.196/b2/b2-include/b2edit.showposts.php
分析：b2 php存在远程命令可执行漏洞(http://www.xfocus.net/vuls/200205/2410.html)

难道装有低版本的允许管理员快速在FRONTPAGE刊登新闻的PHP脚本B2?
注：关于12.13.14的CGI漏洞有些难度，因为这些源代码并不好找，自己对脚本懂的不多，并且漏洞资料较少，利用比较难。（事后也证明了这是扫描器误报）

四．突破：

此时，我将重点放在了Web的保护数据库，FrontPage关系树索引文件泄露上。
尝试：下载http://*.*.65.196/_vti_pvt/doctodep.btr后用记事本打开，得到了一些敏感路径。耐心的找，有upfile的路径泄露。看看有没有上传漏洞，找到/kuaijifuwu/admin/bbs/upfile.asp （图1）
提交http://*.*.65.196/kuaijifuwu/admin/bbs/无法访问，提示目录列表被拒绝 Directory Listing Denied   This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。提交http://*.*.65.196/kuaijifuwu/admin/bbs/index.asp正常访问，汗是“dvbbs6.0”，看看有没有上传漏洞。拿出老兵的“通用WEB上传路径变量利用程序”按给出的动网论坛系列利用示例，成功的得到一个shell.（图2.图3就不传了,想也能想见的）再将海洋传上去，提升权限，不再多言。回过头来一看默认管理员密码都没有改。。。。。呵呵，在阿辉的页子上添句话。。。。通知管理员（毕竟是自己的学校啊。）
遗憾的是在该服务器绑定着很多的存在注入的页面.要完全修复它是件很困难的事，辛苦管理员了。。。

五．总结

其实这个站上的洞很多，旁注也很容易。我猜的不错，管理员在c盘默认安装了IIS和FP extensions。正是从默认安装FP extensions的FrontPage关系树索引文件中泄露的信息中找到利用了深藏的没有绑定域名的站点上的DV上传漏洞。