首先发现某个台湾的网站,查了一下同ip,看了网站程序,都是php和asp,从界面就看出很有年代了。站虽然功能完好,但看起来有种破烂不堪的感觉。服务器上有十几个站,多数存在着漏洞。
搜索功能,会把单引号“27”替换为中文“A1AE”,手工测试留言板的url,存在sql注入报错,不过其他文章url,不报错,但是我和小伙伴用sqlmap跑,却跑不动卡在那里。
还有留言板能够xss的,不过我觉得这种万年没人管的站,xss很鸡肋(写稿时,我看打开网站截图,发现有人成功插了了)
只能另辟蹊径,看是查看页面,查找cms指纹,依然没有找到有价值信息。不过发现一个用户注册点,但是似乎没法注册新用户,继续找时,发现一个逻辑漏洞,就是“忘记密码”功能。
一路靠猜,问题提示 》 提示答案 》 验证通过 》输入新密码 》 成功
登录后,发现没有上传点,也没有其他可利用的。
这时,目录扫描也差不多扫完了,发现很多url,发现了后台,和一个txt中记录了所有文件的虚拟路径名。
试了几个弱口令没成功,当然我可以暴力**,但是有点浪费时间,把目标转移到,跟目录下的1.txt文件上
相当于知道网站结构了,但是实际测试发现,只有个别文件存在,不过我也从这里找到了后台的通道。
“ /123/Manage/addmanagerok.asp ”
url:url/Manage/addmanagerok.asp 如下页面,很有意思了。
这就进入后台添加管理页面了。。。。。。。。
不过想访问其他功能是需要登陆的,帐号密码是明文显示的。(当时我搞时,才两条,截至写稿,我再次访问了页面,发现多了几十条空的帐号密码,应该是被他...练手了)
这里拿到了帐密,自然就能顺理成章上后台,上传点上传shell,备份数据库拿shell
上传点,标准操作,程序会把上传的jpg改名为:日期时间.jpg (注意:要上传免杀马)
此时再到备份数据库处,标准操作备份jpg,并改后缀
乱码是因为台湾的编码是big5
后来发现桌面文件夹有一个“江民杀毒”的快捷方式,怪不得第一次无法上传一句话。
(提权,权限维持,剩下就是另一个故事了)
过程中本人并未做破坏性测试,后续删除了所留程序,且联系网站管理员已作相应防护。