记一次奇葩的getshell思路。

w2015

菜鸟日站，大牛飞过。
帖子献丑如下：
在一个群里看到一个小伙伴发了一个一句话的链接地址。

我看到了admin/Southidceditor/这个目录，
就知道了这是ewebeditor的编辑器。那么可以看看是否存在编辑器登陆地址，再弱口令试试登陆。
但是当我访问admin/Southidceditor/admin_style.asp这个链接时却自动跳转到了后台登陆页面，且弱口令不行。
也没打算继续找登陆页面了，因为登陆页面找到了不一定可以进入。
然后我试了下能否直接越权访问样式设置页面：admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
这样可以就能直接getshell了，因为小伙伴已经拿了，所以就不存在什么操作权限问题了。但是页面并不存在。
然后继续试了试数据库路径：admin/SouthidcEditor\Datas\SouthidcEditor.mdb，其实我并没抱希望的，因为都不是默认后台，默认数据库概率挺小的。
但是结果总是那么出人意料，还真是默认数据库。但是我没下载，没登陆页面下载没有什么用，而且万一很大呢，浪费流量没必要。
继续，然后我抱着试一试的心态，访问这个链接文件上传页面：admin/Southidceditor/ewebeditor.asp?id=57&style=southidc，
毕竟只是收集更多的信息帮助归纳思路。但是这个页面却存在。

不兼容问题，只要证明存在就行了。然后我继续理了下思路，感觉对这个编辑器的处理没有什么大环节了，所以打算下载上面发现的数据库看看，
看看是否存在什么什么敏感的页面名，来猜登陆界面。因为数据库有了，后台密码肯定就不是问题了。

但是在数据库中的目录并没有发现什么敏感页面，然后我看到样式的数据库储存处存在的这个表格，并发现存在一个123的样式添加了aaspsp。说明可以添加asp格式。
eweb编辑器后台添加的脚本本人自测好像只有添加php，aaspsp，pphphp有用。添加asp，asa，cer任然不行。
然后我还是没有找到编辑器后台，或许被前面的一个基友把默认后台改了，或许是其他的什么，但是我并没有用扫目录，个人并不喜欢这个方式，因为太多的都容易被封ip了。
同时robots.txt，谷歌一系列也没用。继续想了想办法：
于是想：既然刚才我都可以访问那个上传页面，说明可以越权访问样式中设置的样式，那么我要是可以直接访问新增的这个123样式不就什么都可以了吗？
于是我看了看那个上传链接：admin/Southidceditor/ewebeditor.asp?id=57&style=southidc，想：控制样式的变量是id这个参数的值?还是style这个变量的参数。
于是访问了下123代表的那个id=49，但是没有什么反应。我此时看到了southidc这个参数不就是数据库中的一个样式名？所以直接改为123访问。出现如下：

很明显的按钮菜单栏只有一个图片上传的提交按钮，应该就是123这个样式了。但是不能使用，并且用eweb编辑器独特的小技巧，复制粘贴图片，右键，也没用。
想下不应该啊，确实是eweb编辑器啊，怎么不能用复制粘贴啊。 然后才注意到下面的页面格式并没有选择，马上选择一个设计按钮。再复制粘贴图片，右键属性。
成功上传一个asp马。


成功上传了asp小马，然后上大马。查看组建试试提权。


不支持命令执行的组建，并且端口只开了21与80端口吧。所以小菜提权无望了。
然后再index.asp中找个闭合玩了html的地方加入一个一句话，删大马，毕竟不灭之魂大马，存在溢出密码。

这次过程完全是突发奇想地，原来我也重来没有这样用过，只是走到一步看一步，因为日站没有固定思路可言，结合运气，就成功了。

wuyan

继续努力

w2015

wuyan 发表于 2016-5-21 19:10
继续努力

嗯嗯，谢谢wuyan大大给的机会。

Te5tB99

哈哈，鼓励一下

w2015

白哥哥 发表于 2016-5-21 20:43
哈哈，鼓励一下

啊啊啊啊!白哥哥，么么哒!

conosc

是我电脑出问题了？看不到内容？？

暗夜幽灵

感谢分享

sn_eq

学习一下

tx1

感谢分享

w2015

conosc 发表于 2016-5-23 11:28
是我电脑出问题了？看不到内容？？

昨天论坛更新，现在好了。