事情是这个样子的:老婆在这家学校里实习,说给涨工资一直没涨,把俺老婆气的就对我说:“老公,你去把这学校的网站黑了吧!给我出出气!”(⊙﹏⊙b汗~我又不是黑阔!多大的人了!还跟小孩一样!)(但是你是搞计算机的呀!)
//以下是废话
我发现,这年头如果你是搞计算机的,你周围的人的电脑(不限于电脑,各种方面)无论出了什么问题,都会找你去帮忙解决!
我有个自认为比较形象的比喻:
你生病了,你不去找治人的医生,却找了个兽医帮你看,还说:“都是医生呀!”
我觉得这是严重的专业不对口啊!!!
//废话结束
既然老婆发话了,那咱就乖乖的看看吧。
先人肉检查了一下,没有发现什么猫腻。于是挂在WVS上等扫描结果。
WVS扫描结果
话说这网站目录结构,爬虫还是厉害呀!比人肉效率多了!从结果来看,可能可以利用的就是4个盲注和11个上传,经过逐一检查,盲注不可用,上传也不可用。从目录名一眼就能看出来是用的ewebeditor(如“ed”,“eweb”统统都是),用默认帐号密码登录失败,数据库下载失败,版本都是2.8的,远程文件上传也失败了,爬出来的网站后台,猜了几个口令也失败了,陷入僵局了。
无意中把一个URL中的文件名去掉敲了个回车,看到了“转到父目录”,眼前亮了许多啊!翻呀翻,找呀找,找到了个后台的ACCESS数据库备份文件,down下来这个rar无法解压,想了一下,改成mdb后缀,顺利打开。
数据库备份文件
找到了几条管理帐号和密码记录,不过都是经过MD5加密的,其中只有一条记录能反查出明文,登录后台后发现功能很少,不知道是权限不够还是咋的,打开好几个编辑文章的地方都是404,⊙﹏⊙b汗,有个数据库备份的地方但是报找不到要备份的文件,看到有个可以修改网站配置信息的功能(只能修改标题和描述),想了一下,数据库后缀是asa,那我直接插个一句话进去,然后连数据库不就可以了,试了一下,结果那个数据库文件访问的时候始终报500错误,这后台再没啥功能了,再次陷入僵局了。
网站管理后台
接着遍历目录,发下一个ewebeditor的数据库名有点意思,直接拿去搜了一下,还真有相关的网站源码,打开源码中ewebeditor的数据库,反查出明文,然后拿去登录,结果还是失败了- -#。
ewebditor数据库
对了,差点忘记说了,在后台中有个上传的地方,点击之后弹出来的上传窗口报的是404,右键查看上传按钮的源码:
文件上传
虽然报的是404,但是这个学校的网站后台比较多,貌似每个部门学科都有一个后台,会不会在其它后台下有这个文件?继续接着遍历目录,果然被我找到了一个WVS没有爬出来的上传页面,从上面的源码可以看出,上文件类型和存储路径都是变量,是我们可控的,那不带参数直接上传那就应该是任意文件且上传后在网站根目录吧?实践出真理啊!看看:
文件上传
文件上传
默认的asp权限比较低,虽然可以浏览所有盘符(其实只有一个C盘 -_-|||),既然支持aspx咱干嘛不换个权限高点的呢?换完之后,可以执行DOS命令了,但是net user的时候出现“发生系统错误 5。拒绝访问。”,上传了个从某黑阔的博客上下的iis6.txt,成功添加管理员。
net localgroup administrators
ipconfig得到服务器是内网的,然后上传了个htran.exe被杀了,tasklist了一下发现用的是金山,然后用VMProtect保护了一下htran.exe成功免杀。然后端口转发,然后登录服务器,然后发现内网还有其它机器。
ipconfig
远程终端桌面
回头看看WVS的扫描结果,服务器外网是开了3389的,然后直接连上去从登录界面看出是个64位的win2003,和我转发出来的这台不一样,估计是用了端口映射把外网映射到内网某台机器上了。唉,不管啦,等候老婆发落吧!当然,咱绝对不会搞破坏!
| 您可能也喜欢: | ||||
 昨天跟老婆去登记领取了红本本 |
 列名或所提供值的数目与表定义不匹配 |
那个XX信息港又被人搞了 |
 Hibernate executeFind() |
 是“天浴”还是“天狱” |
| 无觅 | ||||
