现在很多网站为了追求形象，在网站首页使用了Flash轮换展示，有的使用了图片展示;网站最核心的东西内容，为了保持网站的效果，因此会经常更新图片或者flash文件，在网站后台设计过程中就保留有Flash上传接口，本文就是利用上传模块中未对上传文件格式进行限制而获取Webshell。

　　1.利用弱口令进入系统

　　凭借经验直接获取后台地址“http://www.*******.com.cn/admin/login.asp”，如图1所示。在用户名中输入“admin”，密码输入“admin”，同时输入页面的验证码，单击进入进行登录测试，如图2所示，成功进入系统。

　　图1 获取后台登录地址

　　图2成功进入后台管理

　　2.寻找可利用漏洞

　　在综合管理模块中找到了Flash滚动展示系统，该系统主要用在首页滚动图片，如图3所示，一共提供了5个图片进行轮换。可以对每一个图片进行管理，可以设置图片链接地址、图片文件的具体位置以及图片的简单描述。上传是测试的关键点，单击上传按钮，出现一个新的上传界面，如图4所示。

　　图3 找到上传漏洞利用页面

　　图4 获取文件上传页面

　　单击“浏览”按钮，在本地选择一个asp的WebShell上传，如图5所示，系统未对上传的文件进行限制和过滤，Webshell直接上传成功，开始时我使用的是IE，后面使用Firefox，便于获取Webshell的实际地址。也可以通过查看页面源代码来获取Webshell的实际地址——flash_images/2009102611432135519.asp，如图6所示，在网页源代码中包含了Webshell的实际地址和文件名称，在有些情况下如果不能获取Webshell的实际地址，则可以通过抓包来获取。

　　图5 上传Webshell成功

　　图6 通过查看源代码获取Webshell地址

　　3.获取Webshell

　　在IE中输入Webshell的地址http://www.xxxxxxx.com.cn/flash_images/2009111021591092019.asp，输入密码验证通过后，成功获取该网站的Webshell，如图7所示。

　　图7 获取Webshell

　　4.提权

　　通过Webshell对系统的硬盘和文件进行详细查看，如图8所示找到系统使用了Serv-U，可以尝试通过Serv-U来提升权限，以前常用asp的马提权，通过分析发现该系统支持asp.net，因此可以尝试用asp.net的马来提权，如图9所示，单击“SUEXP”，使用默认的命令增加一个密码为“1”的管理员用户“1”。

　　图8 获取Serv-U具体地址

　　图9 使用asp.net提权

　　5.获取管理员密码

　　使用用户“1”，登录系统后，通过IE直接下载saminside软件，下载到本地后获取系统的hash值，通过破解系统账号获取了管理员的密码，如图10所示，再次换用管理员用户登录系统。使用管理员密码登录系统是为了获取管理员的一些信息，通过这些信息有可能对该网络进行渗透。

　　图10 使用管理员的密码登录系统

　　6.相邻服务器的渗透

　　在该服务器上安装好cain后，进行sniffer，如图11所示，可以嗅探到附近服务的POP3登录密码，如果时间允许还可以嗅探其它类型的口令。

　　图11 获取同一网络的POP3登录密码

　　7.回顾与总结

　　本次成功渗透完毕后再回过来查看对系统的漏洞扫描，如图12所示，在该系统中扫描出2个注入漏洞，这两个漏洞是统计系统的。从渗透方法来说，用的都是比较简单的方法，对该系统还有几个方法可以利用：

　　(1)目录扫描，通过扫描系统目录，可以发现该系统使用了文件编辑器。

　　(2)对统计系统的注入。现在越来越多的系统主系统并不存在什么漏洞，但在插件和一些统计系统上存在漏洞，如果这些插件和辅助系统使用了同一个数据库，在存在SQL注入漏洞的情况下，可以顺利获取Webshell。

　　(3)旁注。该服务器上面存在多个网站，可以针对这些网站一一进行SQL注入测试，在实际测试中，发现存在多个漏洞，这些漏洞都可以利用。

　　技巧与经验：渗透在于对细节的把握，一个小漏洞也能渗透一个大型系统!

　　图12 漏洞扫描结果