對暴庫的一點認識

去年的時候曾經有一段時間研究過ie雙解碼，所以對暴庫有一定的認識，前些天終於收到黑客的雜誌，

裡面看了一篇臨的文章，下面我也談談個人對那篇文章的認識，這裡要說的是，大家如果再深入點研

究下去，就會發現，暴庫的利用不只是這麼簡單，還會有更多可以用的東東。

暴庫的方式有多種多樣，我知道的就有3種以上，常見的暴的方法有：%5c類暴,conn.asp暴,ddos暴等等.

這篇文章我主要講%5c和conn.asp暴.

可以說，這篇是對臨國越南首相寫的文章的補充.

1.%5c暴法

下面我們先用肉雞來試一下

暴：http://.yianxin.***/e-market/bbs%5cselect.asp

返回資訊如下：

microsoft jet database engine 錯誤 '80004005'

'd://yianxin.***gr7shg3l26/e-market/data/yianxinlzn.asp'不是乙個有效的路徑。確定路徑名稱拼寫是否正確，以及是否連線到檔案存放的伺服器。

/e-market/bbs/conn.asp，行3

我們來看一下真實路徑和暴出的路徑

d://yianxin.***gr7shg3l26/e-market/data/yianxinlzn.asp 暴出的路徑

d://yianxin.***gr7shg3l26/e-market/bbs/data/yianxinlzn.asp 真實的路徑

對比後我們發現暴出來的少了乙個bbs

這裡我們還發現%5c就相當於乙個休止符返回的路徑就變成

絕對路徑+%5c後面的內容

我們再來看一下對暴不出來的分析

肉雞： http://.guilin.***.**/renrenbbs/body.asp?id=516

暴url: http://.guilin.***.**/renrenbbs%5cbody.asp?id=516

返回內容如圖三所示

肉雞: http://.jijiahao.***/guest/default.asp

暴url: http://.jijiahao.***/guest%5cdefault.asp

返回內容如圖四所示

我們再來分析一下成功與失敗的原因：

會暴成功庫，我們開啟select.asp我們會發現裡面

也就是說有呼叫到其它檔案

所以當你用%5c時，返回路徑也就變成了

絕對路徑+%5c後面的select.asp，select.asp又呼叫到路徑庫data/renren.asp

所以返回的路徑就變成了

絕對路徑+路據庫路徑，而在絕對路徑和路據庫路徑，我們知道有guest這個目錄，

這個時候因為絕對路徑+路據庫路徑不存在(絕對路徑+guest+路據庫路徑才存在)

所以也就返回了，我們所看到的出錯資訊。

現在再來分析一下失敗的原因：

我個人認為是因為iis雙解碼的原因，

例如，對於'/'這個字元，正常編碼後是%5c。這三個字元對應的編碼為：

'%' = %25

'5' = %35

'c' = %63

如果要對這三個字元再做一次編碼，就可以有多種形式，例如：

%255c

%%35c

%%35%63

%25%35%63

...因此，"../"就可以表示成"..%255c"或"..%%35c"等等形式。

在經過第一次解碼之後，變成"..%5c"。iis會認為這是乙個正常的字串，不會違反安全規則檢查。而在第二次被解碼之後，就會變成"../"。因此攻擊者就可以使用"../"來進行目錄遍歷，執行web目錄之外的任意程式。

我們再來分析圖三和圖四失敗的原因就會發現，他可能解析成../，通過圖的比較可以分析出來，

難道這時就暴不出來了嗎，當然不是，這要我們精心構造。

下面還會分析到。

2.conn.asp暴

conn.asp暴可以說，與系統無關，是因為目錄的關係。

我用***box架設同樣可以暴，而%5c是iis解碼錯誤，有那個漏洞的一定是windows系統.

同樣，我們還是通過比較來說明問題

肉雞：http://192.168.0.55/ren/

暴1 : http://192.168.0.55/ren/images/conn.asp

暴2 : http://192.168.0.55/ren/conn.asp

其中暴1裡面的conn.asp是從暴2裡面複製過去的

返回內容：

暴1:microsoft jet database engine '80004005'

'c:/documents and settings/xiaoqiu/桌面/root/ren/images/data/renren.asp'不是乙個有效的路徑。確定路徑名稱拼寫是否正確，以及是否連線到檔案存放的伺服器。

/root/ren/images/conn.asp, line 3

microsoft jet database engine '80004005'

'c:/documents and settings/xiaoqiu/桌面/root/ren/data123/renren.asp'不是乙個有效的路徑。確定路徑名稱拼寫是否正確，以及是否連線到檔案存放的伺服器。

/root/ren/2.asp, line 3

我們還可以發現，並沒有少目錄，只不過目錄出錯，經過一大堆的測試，我個人總結出conn.asp暴成功的

原因以及對網上一些錯誤觀點的個人看法：

1.要暴不一定要呼叫到資料庫，但是要暴庫，一定要調到到資料庫或與資料庫有關的檔案。

2.不一定conn.asp才可以暴，只要有呼叫其它檔案，造成目錄錯誤的都可以報，如動力的除了inc/conn.asp

外，放在inc裡面的其它檔案同樣也可以暴。

3.總結conn.asp的暴原因是你返回的目錄和真實的目錄不一定，或者也可以說是不存在。

5.%5c暴與conn.asp總結：

可以說%5c暴是因為呼叫檔案出錯，而conn.asp暴是因為返回的路徑出錯或不存在。

6.conn.asp與%5c的結合：

可以說如何構造是入侵時能不能暴出的關鍵。

現在我們假設，guest目錄放在c://下，而conn.asp放在c://guest/conn.asp，直接呼叫

http://192.168.0.13/guest/conn.asp不會報錯，因為返回路徑是正確的，通過上面的，我們可以知道

conn.asp暴是因為返回路不存在。現在我們對比一下%5c和conn.asp的不同返回路徑

1.%5c : 絕對路徑+%5c後面的內容

2.conn.asp : 絕對路徑+conn.asp前面的相對路徑+conn.asp呼叫的資料庫路徑

兩者結合起來，假設http://192.168.1.13/guest%5ccoonn.asp

那麼返回路徑也就變成了

絕對路徑+conn.asp，但實際在入侵之時，我們會發現有的時候並不是，這個時候大家別忘了雙解碼

好了，我只提出思路，實際的入侵方法，我想你可能已經想到。

大家如果有疑問可以到混盟或者發e-mail給我

對暴庫的一點認識

對RunTime的一點認識

對介面的一點認識

對深淺拷貝的一點認識

對暴庫的一點認識

對RunTime的一點認識

對介面的一點認識

對深淺拷貝的一點認識

相關推薦