的保护数据库FrontPage关系树索引文件
危害:信息泄露。
尝试:以记事本打开可以得到一些敏感路径。
9.http://*.*.65.196/_vti_log
分析:用于存放包含FrontPage扩展Web站点相关信息的日志文件。
危害:信息泄露
尝试:403.14目录列表被拒绝 Directory Listing Denied
This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。没什么好利用的了。
http://*.*.65.196/scripts/samples/search/qfullhit.htw
分析与尝试:试着提交http://*.*.65.196/scripts/samples/search/nosuchfile.htw http://*.*.65.196/null.htw从服务器端获得如下信息:format of the QUERY_STRING is invalidQUERY_STRING 的格式无效。表示存在漏洞----Microsoft Windows Index Server远程目录遍历漏洞(http://www.nsfocus.net/index.php ... eyword=qsumrhit.htw) 。Webhits.dll是一个ISAPI应用程序用来处理请求,打开文件并返回结果。当用户控制了CiWebhitsfile参数传递给.htw时,他们就可以请求任意文件,结果就是导致查看ASP源码和其他脚本文件内容。据说IIS默认安装在任何一款打了补丁以后的windows系统后也有这个漏洞。也就是说 即使你打了sp4 还是会有利用这个漏洞看到服务器上的其他文件源码的可能。提交: http://*.*.65.196/scripts/samples/search/nosuchfile.htw?ciwebhitsfile=/../../winnt/iis5.log&cirestriction=none&cihilitetype=full失败,由于不知道对方的目录,构造了几次都不行
四.突破:
此时,我将重点放在了Web的保护数据库,FrontPage关系树索引文件泄露上。
尝试:下载http://*.*.65.196/_vti_pvt/doctodep.btr后用记事本打开,得到了一些敏感路径。耐心的找,有upfile的路径泄露。看看有没有上传漏洞,找到/kuaijifuwu/admin/bbs/upfile.asp (图1)
提交http://*.*.65.196/kuaijifuwu/admin/bbs/无法访问,提示目录列表被拒绝 Directory Listing Denied This Virtual Directory does not allow contents to be listed. 目录上没有找到首页文件。提交http://*.*.65.196/kuaijifuwu/admin/bbs/index.asp正常访问,汗是“dvbbs6.0”,看看有没有上传漏洞。拿出老兵的“通用WEB上传路径变量利用程序”按给出的动网论坛系列利用示例,成功的得到一个shell.(图2.图3就不传了,想也能想见的)再将海洋传上去,提升权限,不再多言。回过头来一看默认管理员密码都没有改。。。。。呵呵,在阿辉的页子上添句话。。。。通知管理员(毕竟是自己的学校啊。)
遗憾的是在该服务器绑定着很多的存在注入的页面.要完全修复它是件很困难的事,辛苦管理员了。。。
五.总结
其实这个站上的洞很多,旁注也很容易。我猜的不错,管理员在c盘默认安装了IIS和FP extensions。正是从默认安装FP extensions的FrontPage关系树索引文件中泄露的信息中找到利用了深藏的没有绑定域名的站点上的DV上传漏洞。