记一次奇葩的getshell思路。
菜鸟日站,大牛飞过。帖子献丑如下:
在一个群里看到一个小伙伴发了一个一句话的链接地址。
我看到了admin/Southidceditor/这个目录,
就知道了这是ewebeditor的编辑器。那么可以看看是否存在编辑器登陆地址,再弱口令试试登陆。
但是当我访问admin/Southidceditor/admin_style.asp这个链接时却自动跳转到了后台登陆页面,且弱口令不行。
也没打算继续找登陆页面了,因为登陆页面找到了不一定可以进入。
然后我试了下能否直接越权访问样式设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
这样可以就能直接getshell了,因为小伙伴已经拿了,所以就不存在什么操作权限问题了。但是页面并不存在。
然后继续试了试数据库路径:admin/SouthidcEditor\Datas\SouthidcEditor.mdb,其实我并没抱希望的,因为都不是默认后台,默认数据库概率挺小的。
但是结果总是那么出人意料,还真是默认数据库。但是我没下载,没登陆页面下载没有什么用,而且万一很大呢,浪费流量没必要。
继续,然后我抱着试一试的心态,访问这个链接文件上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc,
毕竟只是收集更多的信息帮助归纳思路。但是这个页面却存在。
不兼容问题,只要证明存在就行了。然后我继续理了下思路,感觉对这个编辑器的处理没有什么大环节了,所以打算下载上面发现的数据库看看,
看看是否存在什么什么敏感的页面名,来猜登陆界面。因为数据库有了,后台密码肯定就不是问题了。
但是在数据库中的目录并没有发现什么敏感页面,然后我看到样式的数据库储存处存在的这个表格,并发现存在一个123的样式添加了aaspsp。说明可以添加asp格式。
eweb编辑器后台添加的脚本本人自测好像只有添加php,aaspsp,pphphp有用。添加asp,asa,cer任然不行。
然后我还是没有找到编辑器后台,或许被前面的一个基友把默认后台改了,或许是其他的什么,但是我并没有用扫目录,个人并不喜欢这个方式,因为太多的都容易被封ip了。
同时robots.txt,谷歌一系列也没用。继续想了想办法:
于是想:既然刚才我都可以访问那个上传页面,说明可以越权访问样式中设置的样式,那么我要是可以直接访问新增的这个123样式不就什么都可以了吗?
于是我看了看那个上传链接:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc,想:控制样式的变量是id这个参数的值?还是style这个变量的参数。
于是访问了下123代表的那个id=49,但是没有什么反应。我此时看到了southidc这个参数不就是数据库中的一个样式名?所以直接改为123访问。出现如下:
很明显的按钮菜单栏只有一个图片上传的提交按钮,应该就是123这个样式了。但是不能使用,并且用eweb编辑器独特的小技巧,复制粘贴图片,右键,也没用。
想下不应该啊,确实是eweb编辑器啊,怎么不能用复制粘贴啊。 然后才注意到下面的页面格式并没有选择,马上选择一个设计按钮。再复制粘贴图片,右键属性。
成功上传一个asp马。
成功上传了asp小马,然后上大马。查看组建试试提权。
不支持命令执行的组建,并且端口只开了21与80端口吧。所以小菜提权无望了。
然后再index.asp中找个闭合玩了html的地方加入一个一句话,删大马,毕竟不灭之魂大马,存在溢出密码。
这次过程完全是突发奇想地,原来我也重来没有这样用过,只是走到一步看一步,因为日站没有固定思路可言,结合运气,就成功了。
RE: 记一次奇葩的getshell思路。
继续努力RE: 记一次奇葩的getshell思路。
wuyan 发表于 2016-5-21 19:10继续努力
嗯嗯,谢谢wuyan大大给的机会。 哈哈,鼓励一下https://www.ihonker.org//mobcent//app/data/phiz/default/17.png
RE: 记一次奇葩的getshell思路。
白哥哥 发表于 2016-5-21 20:43哈哈,鼓励一下
啊啊啊啊!白哥哥,么么哒! 是我电脑出问题了?看不到内容?? 感谢分享 学习一下 感谢分享
RE: 记一次奇葩的getshell思路。
conosc 发表于 2016-5-23 11:28是我电脑出问题了?看不到内容??
昨天论坛更新,现在好了。
页:
[1]
2