记一次拿下某收费模板

　　此文刊登于《黑客X档案》2011年5月，版权归杂志所有，以下是整个文章的原稿，我就不多整理了。

　　最近一直想着捣鼓一个论坛，正好过年收了点压岁钱，所以就去淘宝买了个vps。高高兴兴的把论坛架设起来了，却为找不到好的主题烦恼。就叫周围的朋友帮忙找找，最后一个哥们找到了一款让我觉得近乎完美的主题，他把作者博客地址发给我一看，我才知道是收费的主题，一看价格，我的吗呀!要1千大洋，图1：

　　这哪是我等穷人买的起的，就连一个演示都木有。于是有了进入他站点盗取主题文件的想法，虽然他的博客里面不一定放着这套主题文件，但是挂个txt泻泻愤也是很爽的嘿嘿，说干就干，于是这次蛋疼的拿主题之旅就开始了。

　　一.踩点

　　打开作者的主页www.xxx.com(隐藏免麻烦)，简单的收集了下信息，一个主站，主站

　　点是纯flash的，做的很漂亮，看来是个做主题的高手啊，跟目录下的blog文件夹是作者的blog，看了下页脚，发现是pjblog，如图2：

　　试了下09年的注入漏洞发现已经修复了，手上也没有pjblog的0day，所以从blog就不好下手了，首页就更不用说了。全flash的，最后拿出破壳扫目录挣扎下，结果也是不如人意。看来从主站是不行了，那么就来旁注吧。

　　二.进攻

　　打开http://rootkit.net.cn/index.aspx查了下，同服务器有20多个站点,如图3:

　　随便打开了几个站,发现是aspx的,找到带参数的连接后面加单引号测试,发现提示模版不存在,看来没有注入漏洞,而且几个站都是同一个系统,如图4:

　　继续搜索目标,找到一个asp站点,简单测试了下,发现注入也被过滤了，正当我准备换下一个站的时候在这个站的首页发现他的sz目录下还有一个站点。进去一看和主站是不同的风格，随便找一个带参数的链接在后面加上单引号测试，发现爆错了。如图5：

　　看提示就知道是很典型的注入漏洞了，祭出我们的啊D大神，几分钟后把账号和密码跑了出来，如图6：

　　账号是“biaogan”，密码是md5加密的到cmd5查了下，结果为admin888。接着顺便用啊D来跑下后台吧，结果扫描到后台为admin/login.asp，高高兴兴的把账号和密码输进去后猛击回车，却给我来个密码错误!如图7：

　　这下可把我给搞郁闷了，难道啊D出问题了不成?为了这明这个猜想，我用穿山甲又跑了一遍，也是这个结果，难道是后台做了手脚?或者说这个是假的后台?我马上拿出破壳扫描器对网站一顿狂扫 ，结果证实了我这个猜想，如图8：

　　打开/houtai/admin.asp后发现和前面那个页面一模一样，用前面跑出来的账号和密码尝试登录，这次登录成功了，看来管理员安全意识还是有点的，留了个后手。进入后台看了下，没有数据库备份，有上传的地方，但是类型已经过滤了，尝试上传.asp;.jpg格式的小马，发现要重命名，又把我郁闷了。突然看到网站基本信息一栏，和南方数据很相似，是否可以插马呢?这里说下南方数据后台插入一句话木马，由于该系统把网站配置信息写入到inc/config.asp 文件，所以可以直接写入闭合型一句话木马，我直接访问inc/config.asp文件，出现一片空白，说明这个文件存在，但是后台又不像是南方数据，可能是改过的吧。我直接在网站信息里面的联络电话处插入闭合型一句话木马 “%><%eval request(“x”)%>