1. 游戏私服宣传站的发现与初步探测那天晚上闲着没事干我决定找点乐子。作为一名安全爱好者我习惯性地打开了fofa这个网络空间测绘引擎想找几个网站练练手。输入几个关键词后一个游戏私服的宣传网站引起了我的注意。这个页面看起来特别眼熟跟我之前搞过的一个站简直是一个模子刻出来的。这种私服宣传站通常都很简单就是一些游戏截图、下载链接和充值入口。我随手在地址栏后面加了个/admin没想到直接跳转到了后台登录页面。这种运气简直像是中彩票一样毕竟大多数网站至少会做个访问控制。仔细一看这个后台界面明显是ASPcms的而且版本还挺老。这里有个小技巧要分享很多CMS系统都有默认的后台路径比如/admin、/manage、/backend这些。虽然现在很多网站会修改默认路径但对于一些私服这种不太注重安全的站点往往还是使用默认配置。我后来查了一下这个版本的ASPcms在网上的漏洞分析文章还真不少。2. ASPcms后台漏洞的深入利用2.1 未授权访问与SQL注入漏洞登录页面是有了但没账号密码怎么办这就是这个ASPcms版本的有趣之处了。它有个文件没有做权限验证任何人都可以直接访问。更妙的是这个文件对获取的参数没有进行严格过滤导致存在SQL注入漏洞。具体来说这个漏洞存在于后台的某个功能文件中。攻击者可以通过构造特殊的SQL语句直接获取管理员账号和密码。不过这里有个前提条件你得知道后台的具体目录结构。这也是为什么很多攻击者会先进行目录扫描收集尽可能多的路径信息。我用了最经典的万能密码方式尝试注入在用户名处输入 or 11 --密码随便填。没想到一次就成功了直接进入了后台管理界面。这种漏洞在现在的网站中已经很少见了但在一些老旧的CMS系统中还是时有发现。2.2 后台功能分析与限制突破进入后台后我仔细查看了各个功能模块。常见的上传点都试了一遍发现都被严格限制了。ASPcms在新版本中已经修复了通过添加模板直接上传ASP文件的问题现在只能上传html、js、css这些静态文件。这里有个知识点如果是IIS6的环境还可以利用其解析漏洞把文件名改成类似1.asp;.html这样的格式来绕过限制。但很不巧这个服务器用的是IIS7.5这个方法就行不通了。不过天无绝人之路我记得之前看过一篇技术文章提到可以通过修改配置文件来注入代码。具体操作是进入后台的扩展功能-幻灯片设置-幻灯样式然后使用浏览器的开发者工具修改slidestyle的value值为特定的恶意代码。3. 文件上传与Getshell实战3.1 配置文件注入技巧按照记忆中的方法我把slidestyle的值修改为1%%Eval(Request(chr(65)))%%这段代码的作用是创建一个webshell可以通过请求参数来执行任意命令。理论上修改保存后就可以用中国菜刀这类工具连接/config/AspCms_Config.asp这个配置文件密码设为a就能getshell了。但实际操作时我犯了个低级错误手抖输错了代码导致服务器配置文件出错返回了500错误。这下尴尬了网站直接挂了。我赶紧加了他们的游戏群想看看管理员什么时候会修复。3.2 二次尝试与成功getshell第二天起床一看群里已经炸锅了很多玩家都在抱怨网站打不开。我也假装普通玩家跟着吐槽了几句心里默念着对不起。下午回家后发现网站已经恢复了看来管理员效率还挺高。这次我格外小心一个字母一个字母地核对代码终于成功用菜刀连接上了。执行whoami命令查看当前权限发现只是个普通用户权限看来还需要进一步提权。4. 权限提升与持久化控制4.1 系统环境分析与提权准备先用tasklist命令查看了服务器上运行的进程幸运的是没有杀毒软件只有一些游戏管理工具和常规服务。这种环境简直就是提权的天堂。朋友建议可以直接用土豆提权工具。这个工具利用了Windows系统中的某些漏洞可以把普通用户权限提升到system。上传工具后执行再次用whoami查看果然已经是system权限了。4.2 建立持久化访问通道为了维持访问权限我决定在服务器上部署Cobalt Strike的beacon。先在本地开启CS服务配置好监听器然后生成一个payload上传到服务器用刚才获取的system权限执行。成功上线后使用Mimikatz工具读取了服务器的登录密码。这样即使之后漏洞被修复我仍然可以通过RDP等方式登录服务器。当然作为一个有道德的安全研究者我只是截了个图作为证明然后清理了所有操作痕迹就退出了。5. 漏洞链分析与安全建议这次渗透测试展示了一个完整的攻击链条从发现目标、利用未授权访问漏洞进入后台、通过SQL注入获取凭证、利用配置文件修改getshell到最后提权建立持久化控制。每个环节都利用了系统不同的弱点形成了完整的攻击路径。对于使用这类老旧CMS的网站管理员我有几个实用建议及时更新CMS系统到最新版本修改默认的后台路径和管理员账号对上传功能进行严格限制最好使用白名单机制定期检查服务器上的可疑进程和账户考虑部署专业的安全防护设备这种案例也提醒我们网络安全是一个整体任何一个环节的疏忽都可能导致整个系统沦陷。特别是在游戏私服这种不太注重安全的场景下使用老旧CMS系统简直就是给攻击者送大礼。