plucode 发表于 2013-10-31 16:56:39

后台拿shell

本帖最后由 plucode 于 2013-10-31 16:57 编辑

站点本身有注入点,找注入点比较快,然后登录后台。发现是eweb编辑器。找了一下,没能下载eweb编辑器的数据库,弱口令也不行。于是乎,没有修改eweb。

然后回到eweb编辑器,看看后台是一个不懂哪里的后台管理系统,就算是自己开发的吧,因为这个网站就是给别人开发网站的。呵呵。

于是乎,利用IIS的解析漏洞。x.asp;.jpg,上传,之后为/upload/2013103116485590.jpg。抓包上传。看到的包,是这样的。

然后就石化了。

系统的功能也很少
没有数据库备份,不敢去插入配置文件,因为不了解配置文件的格式是怎么写的。


接下来就请大神来指导了。
网站后台帐号密码,回复可见。其实你们都懂就是。
http://www.eproit.com
**** Hidden Message *****

小雨 发表于 2013-10-31 17:53:36

看看












ttl255 发表于 2013-10-31 18:40:46

本帖最后由 ttl255 于 2013-10-31 18:42 编辑

密码错了?

gty48 发表于 2013-10-31 19:39:01

看看。。。。。。。。

nimingzhe 发表于 2013-10-31 20:01:43

C4r1st 发表于 2013-10-31 21:23:20

给我私信看看。

C4r1st 发表于 2013-10-31 21:25:34

密码错误,你看下怎么的?

a88166666 发表于 2013-10-31 21:50:10

Lizard 发表于 2013-10-31 22:20:52

我也看看~学习学习拿站

plucode 发表于 2013-11-1 08:42:05

C4r1st 发表于 2013-10-31 21:25 static/image/common/back.gif
密码错误,你看下怎么的?

不知道被哪个朋友给修改了,我郁闷。现在已经修改回来了
页: [1] 2 3 4 5 6 7
查看完整版本: 后台拿shell