编者:很老文章了作者直也没有发布我把它偷出来　给大家借鉴下思路．

．     起因
学校阿辉说他发对校园DV评论老被删于是就想测试下论坛安全性不会就利用旁注拿到了shell,传了个HTML文件上去我这些天在学踩点本想学差不多后对学校站点做次全方位安全检测和评估看了好兄弟阿辉遭难我也不能坐的不理于是也去看看论坛安全性本想whoise旁注不过阿辉已经实现了我就换个思维看看
2．     扫描
既然是学校站比较了解就不踩点了先用xscan3.1对*.*.65.196扫描多次扫描后得出结果如下:
警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_private 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin/_vti_aut/author.dll 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin/fpcount.exe 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin/fpcount.exe?Page=default.htm|Image=2|Digits=1 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin/shtml.exe 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_inf.html 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin/_vti_aut 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin/_vti_adm 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_pvt/doctodep.btr 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_log 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/abczxv.htw 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/null.ida 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/null.idq 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/_vti_bin/shtml.dll 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/scripts 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/scripts/samples/search/qsumrhit.htw 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/scripts/samples/search/qfullhit.htw 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/filemanager/filemanager_forms.php 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/phorum/admin/actions/del.php 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/phorum/plugin/replace/admin.php 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/phorum/plugin/replace/plugin.php 警告     www (80/tcp)     CGI漏洞: http://*.*.65.196/b2/b2-/b2edit.showposts.php 3.分析和尝试
很多人对这样扫描信息不会分析利用其实不防以关键字去焦点和绿盟查查资料再细心分析定会有收获以下是我归类分析和尝试
1.     http://*.*.65.196/_private
分析:_private 是FrontPage自动在站点所在位置下新建文件夹(个是“images”另个是“_private”编辑站点时可以在“image”文件夹里放置站点用到图片)
危害:“private”文件夹比较特殊其中文件对浏览者来说是隐含可把些不想让浏览者看到网页文件放在这个文件夹里比如:我们可以在这个文件夹里存放注册用户个人信息
尝试:403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件没什么好利用了

2.     http://*.*.65.196/_vti_bin/_vti_aut/author.dll
分析:author.dll是安装FrontPage Server Extensions的后产生 2进制文件是用于创作功能 FrontPage 服务器扩展可执行文件
危害:WIN2K+IIS5对于些特殊isapi又要以system身份加载比如ISAPI筛选器fpexedll.dll可以用来提升权限
尝试:暂不先拿SHELL :)
3.     http://*.*.65.196/_vti_bin/shtml.dll
分析:shtml.dll同样是是安装FrontPage Server Extensions的后产生 2进制文件设计用来浏览smart HTML文件并实时运行即是实现管理 FrontPage 服务器扩展可执行文件
在服务器上安装FrontPage Server Extensions的后可以看到它包括 3个 2进制文件--admin.dllauthor.dll和shtml.exe分别实现管理、创作、运行支持FrontPage Server Extensions版本区别这 3个文件扩展名可能区别例如.dll可能变成.exe.exe可能变成.dll另方面IIS允许指定任意种扩展名IIS有个名为fpexedll.dllISAPI筛选器它会把请求指向正确位置这 3个 2进制文件驻留在_vti_bin虚拟目录中_vti_bin虚拟目录映射到物理目录\program files\common files\microsoft shared\web serverextensions\40\isapi或者对于FrontPage Server Extensions 2002物理目录是\program files\common files\microsoft shared\web server extensions\50\isapi所有FrontPage Web网站WebSite即指安装和启用了FrontPage Server Extensions网站WebSite都有个虚拟目录映射到该路经FrontPage通过向这些 2进制文件发送HTTP POST请求实现和Web服务器通信POST请求正文中包含些特殊命令(称为vti_rpc命令)指示服务器执行些特定操作
危害:其上面有个漏洞可以暴露web目录本地路径和DOS(http://www.cnns.net/article/db/276.htm)
尝试:暴露web目录本地路径不成功DOS不尝试
4.     http://*.*.65.196/_vti_bin http://*.*.65.196/scripts
分析:IIS安装时默认虚拟目录(把IIS安装时默认"scripts","IISHelp","IISAdmin","IISSamples","MSADC","_vti_bin"等虚拟目录)
尝试:
a.403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件没什么好利用了
b.访问http://*.*.65.196/IISAdmin
提示HTTP 403 - 对 Internet 服务管理器 (HTML) 访问仅限于 LocalhostInternet 信息服务
c.访问http://*.*.65.196/ IISHelp http://*.*.65.196/ IISSamples http://*.*.65.196/MSADC
HTTP 403.6 - 禁止访问:IP 地址被拒绝
猜测:估计是默认IIS安装到C盘.
5.     http://*.*.65.196/_vti_bin/fpcount.exe
分析:fpcount.exe是运行时FrontPage HitCounter组件组成部分IIS 个网站WebSite访问计数器
危害:nt4.0时有个缓冲区溢出漏洞,不过现在是2000机子估计是误报了
尝试:暂不
6.     http://*.*.65.196/_vti_inf.html
分析:_vti_inf.html其位于web根目录下,该文件是Frontpage extention server特征, 包含客户端应用和运行SharePo Team Services服务器间进行通信所需信息,如版本号和脚本路径通常是FrontPage客户端和服务器交流时使用
危害:攻击者可以得到个URL访问这个文件从而泄漏版本号和脚本路径,些密码文件
尝试:打开显示“FrontPage 配置信息 此网页 HTML 注释中包含了配置信息这些配置信息是 FrontPage Explorer 和 FrontPage Editor 和此站点服务器上安装 FrontPage 服务器扩展通讯时所需要请勿删除此网页”查看源文件得到如下信息:
<!-- FrontPage Configuration Information
  FPVersion="4.0.2.3406"
  FPShtmlScriptUrl="_vti_bin/shtml.dll/_vti_rpc"
  FPAuthorScriptUrl="_vti_bin/_vti_aut/author.dll"
  FPAdminScriptUrl="_vti_bin/_vti_adm/admin.dll"
-->
得到FP extensions版本号4.0.2.3406
试试有没有MS0351 Microsoft FrontPage扩展服务缓冲区溢出漏洞－攻击不成功
7.http://*.*.65.196/_vti_bin/_vti_aut http://*.*.65.196/_vti_bin/_vti_adm 分析:_vti_aut 和_vti_adm是 FrontPage Web中建立虚拟目录以标记包括FrontPage服务器扩展可执行动态链接库和不可读隐含目录(FrontPage为每个子Web建立如下虚拟目录:
•     _vti_bin   _vti_bin\_vti_aut
•     _vti_bin\_vti_adm
•     _vti_pvt   _vti_cnf
_vti_txt)
危害:信息泄露
尝试:403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件没什么好利用了

8.http://*.*.65.196/_vti_pvt/doctodep.btr
分析:Web保护数据库FrontPage关系树索引文件
危害:信息泄露
尝试:以记事本打开可以得到些敏感路径
9.http://*.*.65.196/_vti_log
分析:用于存放包含FrontPage扩展Web站点相关信息日志文件
危害:信息泄露
尝试:403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件没什么好利用了


10. http://*.*.65.196/scripts/samples/search/qsumrhit.htw     http://*.*.65.196/scripts/samples/search/qfullhit.htw
分析和尝试:试着提交http://*.*.65.196/scripts/samples/search/nosuchfile.htw http://*.*.65.196/null.htw从服务器端获得如下信息:format of the QUERY_STRING is invalidQUERY_STRING 格式无效表示存在漏洞----Microsoft Windows Index Server远程目录遍历漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=270&keyword=qsumrhit.htw) Webhits.dll是个ISAPI应用用来处理请求打开文件并返回结果当用户控制了CiWebhitsfile参数传递给.htw时他们就可以请求任意文件结果就是导致查看ASP源码和其他脚本文件内容据说IIS默认安装在任何款打了补丁以后windows系统后也有这个漏洞也就是说 即使你打了sp4 还是会有利用这个漏洞看到服务器上其他文件源码可能提交: http://*.*.65.196/scripts/samples/search/nosuchfile.htw?ciwebhitsfile=/../../winnt/iis5.log&cirestriction=none&cihilitetype=full失败由于不知道对方目录构造了几次都不行

11. http://*.*.65.196/null.ida http://*.*.65.196/null.idq
分析:IISIndexServerISAPI扩展远程溢出漏洞(/NULL.ida)
IISIndexServerISAPI扩展远程溢出漏洞(/NULL.idq)
不多说了老早洞了
尝试:不成功在扫描结果中只开了80端口PING不通——显然是有防火墙直接以URL访问提示找不到文件(如果返回个物理路径很可能存在该漏洞)-----没有利用可能性放弃

12.http://*.*.65.196/filemanager/filemanager_forms.php
分析: PHPprojekt远程文件包含执行任意命令漏洞(http://www.xfocus.net/vuls/200203/2065.html)
13.http://*.*.65.196/phorum/admin/actions/del.php
http://*.*.65.196/phorum/plugin/replace/plugin.php
http://*.*.65.196/phorum/plugin/replace/admin.php
分析:Phorm任意命令可执行漏洞(http://www.xfocus.net/vuls/200205/2479.html) 装有基于PHPWEB论坛Phorum?
14.
http://*.*.65.196/b2/b2-/b2edit.showposts.php
分析:b2 php存在远程命令可执行漏洞(http://www.xfocus.net/vuls/200205/2410.html)难道装有低版本允许管理员快速在FRONTPAGE刊登新闻PHP脚本B2?
注:有关12.13.14CGI漏洞有些难度这些源代码并不好找自己对脚本懂不多并且漏洞资料较少利用比较难(事后也证明了这是扫描器误报)

4．突破:
此时我将重点放在了Web保护数据库FrontPage关系树索引文件泄露上
尝试:下载http://*.*.65.196/_vti_pvt/doctodep.btr后用记事本打开得到了些敏感路径耐心找有upfile路径泄露看看有没有上传漏洞找到/kuaijuwu/admin/bbs/upfile.asp (图1)
提交http://*.*.65.196/kuaijuwu/admin/bbs/无法访问提示目录列表被拒绝 Directory Listing Denied   This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件提交http://*.*.65.196/kuaijuwu/admin/bbs/index.asp正常访问汗是“dvbbs6.0”看看有没有上传漏洞拿出老兵“通用WEB上传路径变量利用”按给出动网论坛系列利用举例成功得到个shell.(图2.图3就不传了,想也能想见)再将海洋传上去提升权限不再多言回过头来看默认管理员密码都没有改呵呵在阿辉页子上添句话通知管理员(毕竟是自己学校啊)
遗憾是在该服务器绑定着很多存在注入页面.要完全修复它是件很困难事辛苦管理员了
5．整理总结
其实这个站上洞很多旁注也很容易我猜不错管理员在c盘默认安装了IIS和FP extensions正是从默认安装FP extensionsFrontPage关系树索引文件中泄露信息中找到利用了深藏没有绑定域名站点上DV上传漏洞

 

 

上篇文章: 图片管理系统给我们带来Webshell

下篇文章: 利用PHParticle跨站提权