上期我寫的基本都是在入侵內(nèi)網(wǎng)過程中要注意到的細(xì)節(jié)，不過現(xiàn)在流行的畢竟是注入了。現(xiàn)在常規(guī)注入針對的也就是asp、php、jsp、cfm、 cgi等的動態(tài)腳本。針對各種腳本的話，如果注意一些細(xì)節(jié)，像構(gòu)造特殊字符，也會起到很奇妙的作用。像最早的\暴庫、\0截?cái)喽际寝Z動一時(shí)的漏洞。這些漏洞被發(fā)現(xiàn)，無非是發(fā)現(xiàn)都對腳本語言的一些細(xì)節(jié)的重視。那么這一期我就來講一下我會在注入過程中注意到的一些細(xì)節(jié)，主要是講一些特殊符號了。

先來說一下perl吧。我對這門語言也不熟，畢竟市面上現(xiàn)在用它做server scripting少了。針對perl入侵大家最最常用的普遍手法估計(jì)也就是兩個(gè)，一個(gè)是想方設(shè)法向cgi文件里寫入webshell，另一個(gè)就是利用原來的perl程序來執(zhí)行命令。第一個(gè)方法，一般會寫入“;system @ARGV;#”這樣符號，如果寫在1.pl的話，可以執(zhí)行1.pl?dir=c:\這樣去執(zhí)行命令。另一個(gè)如果原來網(wǎng)頁url是http://www.xxx.com/1.pl?id=abc的話，我們會嘗試執(zhí)行http://www.xxx.com/1.pl?id=abc|uname這樣的參數(shù)看一下能否來執(zhí)行uname命令。其實(shí)|算是linux命令里的分隔符了，不算是perl的。不過perl里還有一個(gè)分隔符是，這個(gè)較少有人注意到。以前有一個(gè)很有名的雷傲論壇，好像在最新版里還有一個(gè)可以上傳webshell的漏洞，如果沒有在后臺限制特殊符號注冊用戶帳號的話。好久好久前我入侵過一個(gè)雷傲論壇，當(dāng)時(shí)入侵的截圖還在，如圖1所示



我們注冊一個(gè)q lcx的帳戶，然后再發(fā)一個(gè)內(nèi)容為“ and rename(qq(你上傳的附件的物理路徑),qq(改名為你要的webshell的物理路徑))”，示例就如圖1那樣的方法。然后再瀏覽貼子，你就可以得到一個(gè)webshell了。在這里 為分隔符，q在這里是單引號的意思，qq當(dāng)然是雙引號了，這樣一來q lcx…… 之間亂七八糟的內(nèi)容就算是perl里有意義的東東了，這樣不會影響到后邊的rename函數(shù)的執(zhí)行。

那么再來說一下php吧。php我最常用的就是暴路徑了。如果一個(gè)url是http://www.sohu.com/x.php?id=1,那我們改成http://www.sohu.com/x.php?id[]=1這樣的話來提交，如果錯(cuò)誤沒有屏蔽的話，成功率應(yīng)當(dāng)高達(dá)60%吧，和早期的\差不多。這里是因?yàn)閕d后邊跟的一般是一個(gè)數(shù)值，如果我們改成[]的話，會讓程序本身誤以為跟了一個(gè)數(shù)組，所以程序就支出錯(cuò)，這和把id=1改成id=a或id=1'類似的意思，但是往往有的程序過慮的不嚴(yán)格，像只判斷了是否是字符和有單引號而遺漏了數(shù)組，從而讓我們得逞。php另一個(gè)雞肋式的符號是 `，這個(gè)東東也是執(zhí)行符，像我們寫成，也會執(zhí)行。不過只要服務(wù)器安全模式打開，或服務(wù)器權(quán)限設(shè)置的嚴(yán)格的話，不會讓我們得逞，不過我們能夠入侵成功的憑借的運(yùn)氣不也就是依靠的網(wǎng)管的懶惰嗎？

最后再來講一下大家能耳熟能詳?shù)腶sp了。asp大家最了解的是\暴庫和'or''='這個(gè)萬能密碼了。其實(shí)我以前用過 ，這個(gè)其實(shí)不算是asp里的東東，可以算是http服務(wù)器里的，多數(shù)http服務(wù)器在收到包含 的請求時(shí)會解析為回車并在日志中換行。asp mssql 我們可以用到它來做分隔符，使其多條sql語句執(zhí)行。至于具體應(yīng)用，網(wǎng)上有篇>文章，大家可以百度一下看看。至于在http服務(wù)器中應(yīng)用可以通過發(fā)送 或%u0d0a在日志中產(chǎn)生換行，從而可以偽造日志，使

入侵行為淹沒在大量虛假日志中，難于找到真正的入侵者，給入侵分析帶來困難。 asp再有一個(gè)就是%號了，很多人以前都碰到過上傳或?qū)懭雡ebshell的時(shí)候碰到過濾了%號的情況，于是紛紛采用了冰狐浪子的cs木馬，因?yàn)槔镞厸]有百分號。其實(shí)asp還有一個(gè)寫法，是● ……代碼……●這樣的，于是我們可以把我們平常的一句話代碼eval(request("#"))加在里邊，這樣就不用百分號了。

我對asp熟悉一點(diǎn)，再多說一點(diǎn)，eval(request("#"))再怎樣變形呢？我們可以寫成●eval(request(chr(35)))●失之消去單引號。如果不加密的話，我們還可以怎樣改？我改一個(gè)給大家看一下，可以改成●eval(((((request(chr(35)))))))●，我多加了四個(gè)匹配的括號，照樣可以運(yùn)行的。還可以加更多嗎？當(dāng)然……這里的多加括號方法可以運(yùn)用在php一句話木馬里嗎？親愛的讀者，剩下的工作就交給你去做了。

注：暈，這篇文章里的perl里的特殊符號被百度過濾了，大家看圖片就明白那個(gè)符號是什么了。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。