鬼仔's Blog

By:Lcx

可能很多人还不是很了解我所说的web脚本代理是个什么概念。WEB脚本代理就是在服务器上放一个asp或php等的动态的脚本，然后调用这个脚本去访问别的网站，那么被访问网站的显示你来访的IP就是服务器的IP。4ngel的PhpSpy后门和Marcos的aspadmin站长助手这两个webshell都集成了这个功能。无论是php或是asp的脚本代理其实都是调用了xmlhttp这一组件，将远程网站的数据用你所放webshell的服务器上来进行一次中转然后再将内容呈现给你而已。很多程序员都用这个原理来写一些小偷程序，像在网站上只放几个脚本文件就可以调用别的网站数据。如果我们把它用在了黑客攻击上，那能用它来做什么呢？我恰好用它来做了一点事，就是提升权限和内网入侵。

一、提升权限

这应当是一个特例，不过确确实实被我碰到了。我在一个被入侵的网站上放了一个海阳顶端网asp木马。这个网站是一个公司的独立服务器，所以目录权限并没有像虚拟主机设置的那样变态，几乎所有目录都有可写权限，wscript.shell等命令也能运行。不过也正是因为是公司的独立服务器，所以也没有装serv-u这样容易的提权软件，也没有额外的第三方服务软件，系统补丁打得也很快，提权还是比较困难。替换服务是一个可行的办法，不过需要时间等待。经过仔细查看，得到了一些有用信息。该服务器是IIS+ASP+ACCESS搭配的web服务器，装有防火墙，对外只开放了80端口。另外，还装有了一个apache+tomcat+jsp的内部web系统，开放的是8080端口，内部web系统的物理目录也查明是C:\ApacheGroup\Tomcat 5.0\server\webapps。这也是我以前装过apache+tomcat+jsp，凭经验判断出来的。通过在海阳顶端里运行netstat -an和用海阳顶端asp木马的查看服务选项及目录信息能够了解到这3点的，如图1、图2、图3所示。另外用ipconfig/all这个命令可以明确知道图1中显示的10.0.16.16这一内网ip的确就是该服务器的内网ip。



信息有了，提权思路也就来了。如果我能绕过防火墙，直接访问它内网的web系统http://10.0.16.16:8080 ，那么我就可以先用海阳顶端asp木马传一个jsp的webshell到它的物理目录C:\ApacheGroup\Tomcat 5.0\server\webapps，然后再来调用这个jsp的webshell了。它的tomcat是以服务的形式安装的，jsp一般是继承了其系统权限。开始我以为好办，直接用htran.exe这个工具将其8080端口转到外网，我不就可以成功了吗？结果令我很失望，端口是转出来了，不过还是访问不了它的jsp系统，不知是什么原因。冥思苦想中，突然想到了我传一个asp脚本代理到它的网站，再调用这个脚本代理去访问它的内网的jsp web系统不就可以了吗？它的内网web和外网web都在同一服务器上，用脚本代理去访问绕过防火墙是根本不成问题的，因为这个脚本代理会让内网web系统误认为是同一台机器在访问它。我手头上有一个Marcos写的WebProxy.asp脚本，就是起代理作用的。于是我改名为imgae.asp传到了外网asp系统的某个目录，先来看看它的效果：提交http://www.g****.com/uploadimages/image.asp?url=http://www.haiyang.net/safety/ip.asp ，效果如图4所示。可以看到我的访问ip的确变成了www.g****.com 该服务器的ip了。

www.haiyang.net/safety/ip.asp是我写的一个验证来访者ip、端口的小程序，代码很简单，如下：

★
ip->->port
->actfor->

★

好，脚本代理没有bug，那么再写一个jsp的webshell传到内网jsp web系统的物理目录下吧。jsp的webshell我写得很简单，就是一个直接运行命令加用户的的小脚本tlist.jsp，代码如下：

★
<%@page import="java.io.*,java.util.*,java.net.*" %>

★
也许会有人问，那为什么不采用现成一些jsp木马呢。开始我还真试过了，因为我用的这个WebProxy.asp后边只能直接跟一个url文件，url文件里的某些post参数并不起作用，现成的jsp的木马写得都有点复杂，功能也多，因此一些命令不可避免地要运用到一些参数。我把这个tlist.jsp传到了内网web的物理目录下，然后直接运行http://www.generalichina.com/uploadimages/image.asp?url=http://10.0.16.16:8080/manager/tlist.jsp 就在服务器上成功加了一个id为lcx的用户！如果要运行木马的话，你只要把tlist.jsp里的“●String cmd ="cmd.exe /c net user lcx lcx /add";●”这句改动一下就可以了。像我传了一个tlist.exe到服务器的系统目录底下，然后改为“●String cmd ="tlist.exe";●”，运行http://www.generalichina.com/uploadimages/image.asp?url=http://10.0.16.16:8080/manager/tlist.jsp 运行效果如图5所示。

在实际操作过程中要注意一点，如果你用tlist.asp运行了一次命令的话，想改下代码运行其它的程序就要把tlist.asp改一次名，要不然还是回显上一次执行的结果。另外，不知是此台服务器特殊还是其它的原因，我把木马放在非系统目录，像c:\muma.exe，然后修改●String cmd ="cmd.exe /c net user lcx lcx /add";●为●String cmd ="c:\muma.exe";●木马并没有运行，只有放到系统目录system32底下才成功运行了，这个原因我现在也不是很明确。

二、入侵内网及其它妙用

入侵内网，在提升权限的第一个例子里其实已经很明确了，如果那台机器的内网web放在别的机器上，做法与提升权限的方法都是一样的，不过没有内外网在同一台机器上方便而已，这也算是脚本入侵内网的一个思路吧，实际意义不是很大，聊胜于无。其它妙用是什么呢？如果你在学校内网里，只能上内网和访问学校的web服务器，学校的web服务器与外网又是相同的，那你在web服务器放一个WebProxy.asp或其它的脚本代理，是不是你在内网访问http://学校的web服务器/WebProxy.asp?url=http://www.163.net/index.html 就可以上外网了呢？一个asp脚本我估计就会解决以前很多学生的烦恼了吧？

WebProxy.asp.rar