! u& B/ M7 X' }7 L& L0 y6 r / @# N. B% `! z& B' ~3 R; h0 i) I
9 N" R2 k0 m, { 后台相当简陋,不过有上传的地方也就有可能。这次是MDB格式的数据库,如果是asp后缀的就可以一句话了。打开“信息”,看到了熟悉的Ewebeditor编辑器,能不能直接获取webshell呢?打开本页源码,找到ewebeditor路径,再加入后台地址,提示无法找到此页。唔~~怎么办。。。再在地址栏eweb路径后面加上/db/ewebeditor.asp,提示无法找到,再次输入ewebeditor.mdb,可爱的下载出现了,但是也没太大用处,用明小子看了下样式表有没有人添加过asp上传类型,但都是保持默认的,没办法了吗?继续,看了下eweb后台密码,md5加密无法解出,碰到了强大的密码了,此社工思路放弃。 , r. k# {* m4 k7 S6 i* j/ \" O5 X& y3 k& l8 v7 D+ a* A4 J
当在后台转来转去的时候我再次把目标放在上传上,不过据我了解这种上传好像不存在漏洞。。。只要有一丝希望,绝对不放弃!# J( t: _. _* `! b6 F
3 x' `! \& b. c
) F+ z) T# E) W+ x 7 Y9 V! {: t, _[attach]2234[/attach]0 T+ Q. _8 a4 ~; \$ {" a/ W: v
7 P8 I3 w9 d& i. r. }8 B) @; M
! A# z0 s# x0 m& P
I, L% G0 M6 s) }
% |) R1 R7 }) i% d' W* { 5 r g& G" ?# B9 o! {$ d9 a我打开抓包工具WSockExpert抓到相应的Cookies,用明小子上传~(因为我是事后才写这篇文章的,具体抓包我还是没有截图,我已经补了~只好用文字来详细说下),添相应的Cookies上传提示上传成功,但还是gif格式的,难道又耍我一次?今天已经被耍了诶,个人的习惯----只要一些事情认为可能失败了,总会还在这个问题上徘徊。。。当我把上传漏洞调为“动感购物商城”上传漏洞,再按上传奇迹发生了~哈哈,具体的漏洞原理大家可以去看看,毕竟本人的学习asp不久,我也不敢说什么。只要大家能灵活运用思路就行了。上传成功得到站点webshell,开始还不相信呢~因为太突然了,大脑没反应过来~看来我还真得研究研究这个洞洞的原理。。。人品爆出~哈哈 ' z: N6 A/ A+ {; p& I # W. c# k& E/ i7 h[attach]2235[/attach]! f% R0 z3 A; a
$ p! i1 G4 W; |8 C$ G提权之路:6 z$ r' u" O# j. N& h
5 @% i( F1 S3 p {/ k* Z" M g
写到这里我的手都痛了,唔~我很脆弱了,我要锻炼锻炼。。。今天都摸键盘数时了。。。既然提到了webshell,那提权的野心当然有。反查了下IP显示只有一个站,看来希望再次提升!依我小小的经验,一般站点越小的服务器提权也较容易,不要模仿啊~想提权细心是不能少的。现在既然进来了就得修补漏洞了。。。数据库,防注入加强。。。样样齐备,就剩个上传漏洞,写到这里我还没想过呢~嘿嘿!不过既然数据库也改了,防注入也强了,俺也不是站长咯,我还是就补到这,说实在的动感商城的和动力的有什么地方不同都不知道。没有研究。。。继续吧,我有个习惯,只要自己想提权的服务器我都要用webshell扫描下存在的端口,有人说webshell扫描不好,但是我不这么认为,有的端口你用扫描工具是扫描不到的,往往只能扫个80之类的。' R. R& k* b/ Z2 j
- k. l) S4 c: N8 |0 n- e. P A4 I* N4 G. M/ C3 C5 ^3 U: w; X7 p( k- f# v
[attach]2236[/attach] 2 V1 f9 t1 Y' n( i! M0 _* Q1 y; u4 d, U0 x
& s4 F* k4 C# Q' Z1 Q% e: J2 t
# D1 r4 z. N5 }8 w+ s5 j5 x. \ t
pcanywhere提权也就是下载cif文件下来破解相应的用户及口令,这次也不例外.下载了cif文件后打开pcanywhere密码查看的工具,但是破解出来口令是空的,连账号也是空的~气死了。。。难道上天也就是给我这个薄面???NND,今天非收拾你不可。带着疑问找到了渗透大牛“许诺”,哈哈~此人乃是本话题的男一号,(你们这些人啊!!---引用了高尔基的“童年”小阿廖沙 外祖父的口头禅是不是扯得太远了??),我把我的情况给他说了下,他说可能我下载的是原始文件或备份的文件,刚开始还不在意,在网上查了下。看到了pcanywhere提权的相关,我就从hosts目录下载到了cif文件,这次的文件再次破解果然搞出密码乐。。兴奋ing...不过刚开始看到这些密码还以为是加密的,用pcanywhere登陆后才发现本来就是这么复杂,这个管理员~TMD的这么NB,咋就在网站这方面出问题,就在这时我在脑海中咒骂他。。。 4 ?8 P$ z. s' R; S' X" T8 P ; p: e0 F" W) f7 b3 d) Z 用pcanywhere登陆到远程桌面显示要我输入密码,我汗~这不是相当于登陆3389吗。。。绕了大圈子才搞个登陆窗口让我输入密码。。。再次无语。。。这像什么话~不对!应该是这算什么事。。哎~今天太累了,靠在靠椅上,继续想想。。。7 j# T: X% s+ [: Q2 ]( G: K4 [5 b# h
! j8 o( s" t) t& Y 灵机一动,诶?怎么不试下pcanywhere登陆密码?我真傻~哈哈。用webshell查看到了两个管理员账号,和pcanywhere登陆账号差不多一样,也就是后面替换成adm,登陆后,最最可爱的界面出现了。。。现在提权也就结束了。大家能不能学到东西就看自己了,我只起到小小的指导作用。0 A: t# i. @1 ~- g Q; i
1 L6 L+ q" D' @/ y9 p0 f4 q: H
2 p, ~- S3 M2 t; H. e; b$ E + b1 q5 E# y, Y+ G& e" w0 i1 i9 D: ]
6 U6 u9 L: i( Q- E
下面是登陆3389截图 7 w9 G' k2 P, ? y% k7 Z. _3 \ $ U- a1 n+ ~% p8 V. [* K. R9 b, D1 u* v1 G3 q0 E- a0 w( N
[attach]2238[/attach] 6 l7 _ i% D2 }5 K/ K 0 O M; ]. r5 o9 Z( h ' X4 s7 _$ E$ m$ H5 A ; N$ l% c/ w+ z2 V0 }" w7 a5 ^+ \转载请注明作者: 柔肠寸断 时间: 2010-7-6 23:26
直接扫到数据库 ————》》》- `2 d$ M2 ]6 H5 a3 l7 G
明小子上传———————》》- y, r% X$ } m; Z
pcAnywhere提权————》》1 ?$ m" m! o' W g$ p/ _( q
社工3389密码 1 F9 B. j' g v; I( `4 a K/ f3 q& `! @9 l+ A
一气呵成,不错不错作者: wjjaft 时间: 2010-7-27 12:30
.GIF)