当前位置:首页 > 网络信息安全 > 正文

膜拜各位黑阔大牛~小弟小白,啥都不会啥都不懂。要密码的私密就可以了,勿社!谢谢合作!

检测某医院科研网

检测某医院科研网

目标:http://www.xxxxxx.com/

首先打开网站

顺便看了下

后台都有了

图片1.png

2013-1-27 00:04:16 上传

下载附件 (4.51 KB)

 

http://www.xxxxx.com/Admin/User/login.asp

图片2.png

2013-1-27 00:04:17 上传

下载附件 (9.15 KB)

 

打个“’”试试

图片3.png

2013-1-27 00:04:17 上传

下载附件 (5.09 KB)

 

图片4.png

2013-1-27 00:04:18 上传

下载附件 (3.69 KB)

 

发现有注入漏洞  还是SQLSERVER的,Is my love

输入SQLSERVER 万能密码

‘ or 1=1–

图片5.png

2013-1-27 00:04:19 上传

下载附件 (5.54 KB)

 

图片6.png

2013-1-27 00:04:20 上传

下载附件 (38.46 KB)

 

Ps:说下原理

一般SQLSERVER 判断用户名是否正确是这样查询的

Select * from [users] where [username]=’xxx’ and [passwd] = ‘xxx’

打家 都知道  SQLSERVER 里面 是注释的意思

也就是说我们注入的语句就为

Select * from [users] where [username]=’’ or 1=1–’ and [passwd] = ‘xxx’

这里 直接 把1=1后面的条件注释 掉了

意思就是  如果username=’’ 或者 1=1

那么 就登陆成功

对了or 是或者的意思

图片7.png

2013-1-27 00:04:20 上传

下载附件 (3.8 KB)

 

找到添加新闻

发现时 ewebeditor编辑器

图片8.png

2013-1-27 00:04:21 上传

下载附件 (32.66 KB)

 

添加图片试试

图片9.png

2013-1-27 00:04:22 上传

下载附件 (16.17 KB)

 

不出意外的话 不可能 成功

图片10.png

2013-1-27 00:04:26 上传

下载附件 (8.69 KB)

 

PS:ewebeditor  要用IE6才能用工具栏的东西,如果大家已经升级了IE

那么 推荐大家用IETEST

图片11.png

2013-1-27 00:04:28 上传

下载附件 (37.32 KB)

 

http://www.ietester.net/index.php/archives/159.html 下载地址

好吧 不能上传只能到ewebeditor  后台改样式

右击 查看网页源文件

图片12.png

2013-1-27 00:04:28 上传

下载附件 (18.36 KB)

 

Find 搜索eweb

图片13.png

2013-1-27 00:04:32 上传

下载附件 (10.34 KB)

 

图片37.png

2013-1-27 00:26:16 上传

下载附件 (3.6 KB)

 

../Html/ewebeditor.asp?id=ArtContent&style=Article00

这个就是编辑器路径了

其实可以用御剑直接爆

图片14.png

2013-1-27 00:04:33 上传

下载附件 (42.39 KB)

 

数据库都直接有了

果断下载

解密之后是

abcde

abcde

图片15.png

2013-1-27 00:04:35 上传

下载附件 (31.53 KB)

 

http://www.xxxxx.com/admin/html/admin_login.asp

图片16.png

2013-1-27 00:04:35 上传

下载附件 (13.76 KB)

 

成功进来

找到样式管理

刚刚我们在后台看到的事蓝色  应该就是Blue 这个样式

图片17.png

2013-1-27 00:04:36 上传

下载附件 (3.4 KB)

 

点击设置

在图片类型 加上asp

图片18.png

2013-1-27 00:04:36 上传

下载附件 (1.86 KB)

 

图片19.png

2013-1-27 00:04:37 上传

下载附件 (30.88 KB)

 

突然发现没有 保存这个东西….  可能是管理员干掉了

在看看添加样式行不

图片20.png

2013-1-27 00:04:38 上传

下载附件 (931 Bytes)

 

图片21.png

2013-1-27 00:04:39 上传

下载附件 (31.32 KB)

 

不错 可以提交

图片22.png

2013-1-27 00:04:39 上传

下载附件 (6.93 KB)

 

之后 添加图片工具

图片27.png

2013-1-27 00:04:42 上传

下载附件 (2 KB)

 

点击工具栏

图片23.png

2013-1-27 00:04:40 上传

下载附件 (4.84 KB)

 

新增工具栏

图片24.png

2013-1-27 00:04:40 上传

下载附件 (2.96 KB)

 

按钮设置

图片25.png

2013-1-27 00:04:41 上传

下载附件 (20.73 KB)

 

图片26.png

2013-1-27 00:04:42 上传

下载附件 (6.24 KB)

 

之后点击预览

图片28.png

2013-1-27 00:04:43 上传

下载附件 (13.46 KB)

 

图片29.png

2013-1-27 00:04:44 上传

下载附件 (14.3 KB)

 

图片30.png

2013-1-27 00:04:45 上传

下载附件 (19.64 KB)

 

娘的  好像还是不行

看看asa

图片36.png

2013-1-27 00:15:13 上传

下载附件 (2.08 KB)

 

图片31.png

2013-1-27 00:04:46 上传

下载附件 (14.65 KB)

 

上传成功

然后连接马

http://www.xxxxxxx.com/admin/html/UploadFile/2013126112637709.asa

图片32.png

2013-1-27 00:04:47 上传

下载附件 (16.49 KB)

 

发现 是404  开始我以为马不免杀

是了N个免杀马之后

难道路径不对?  接着上传了一张真的图片

发现可以访问

那就是过滤了

加了asa类型后发现还是无法上传。 应该是站长懂点代码,自己修改了Upload.asp文件,但是没有关系,按照常人的思维习惯,往往会直接在sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)一句上修改,我就看见过一个站长是这样修改的: sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), “ASP”, “”), “CER”, “”), “ASA”, “”), “CDX”, “”), “HTR”, “”) 猛一看什么都过滤了,但是我们只要在上传类型中增加“aaspsp”,就可以直接上传asp文件了。呵呵,是不是天才的想法?“aaspsp”过滤了“asp”字符后,反而变成了“asp”!顺便告诉大家一个秘密,其实动网论坛7.0 sp2中也可以利用类似的方法绕过对扩展名的过滤。

百度之后发现 这个东东

那我就试试aaspsp

图片33.png

2013-1-27 00:04:47 上传

下载附件 (1.11 KB)

 

图片34.png

2013-1-27 00:04:48 上传

下载附件 (17.69 KB)

 

图片35.png

2013-1-27 00:04:49 上传

下载附件 (14.2 KB)

 

娘的  上传成功了

然后依然是 访问马

成功拿到shell

ps:修复办法

把编辑器的样式修改删除,登陆页面删除,

数据库防下载

后台那里 把SQL语句改一下


安全联盟站长平台