作者:aloner
这次过程主要是要多想想。找到突破口就是了。
没什么技术性。
目标:www.hack86.com
一般这些黑客站基本上是不可能直接从主站入手搞的。
http://www.seologs.com/ip-domains.html
旁注吧。查了一下,上面有70几个站点。
这些站里面有很多是企业站.可以'or'='or'进后台的,ewebeditor可以拿的,注入也可以拿的。
拿到了5到6个webshell。但没什么用。权限卡的太死了。
继续。突然发现一动网7.1 SQL版的。
首先拿出前段时间出来的动网7.1SQL 0DAY。
成功创建一个新的用户成为管理员。
如图
进入后台之后。首先考虑数据库恢复。但/admin/data.asp被删除了。唉。郁闷。
记得动网7.1SQL后台有注入漏洞的。可以差异备份的。但我还没实验过。想想其他办法。
对了,不是还有遍历目录吗?
首先把上传目录改为../
在去文件清理部分,就变成了../../这是什么?
对。目录就变成了根目录了。
border=0>
呵呵。那就RP暴发一下吧。
终于在admin/目录下找到一个可以直接用domain上传的文件。成功拿到此动网的webshell
border=0>
既然拿到webshell了。还是SQL的。
直接找到SQL密码用SQLTOOL连接。直接执行net user命令。当然。肯定不会是SA了。是DB权限。
这样呀?既然是DB权限的,DB权限的注入点不是可以列目录么?那赶紧去构造一个注入点吧。
这就是我构造的注入点。这里的xx.asp当然就是数据库连接文件了。
好了。注入成功了。但就是不能列目录。管理员还是挺有意识的。
那咋办?又遇到障碍了.
e:/wwwroot/xxxxxx/wwwroot/
细心发现。拿到的几个webshell都是这样的格式。
那hack86会不会是e:/wwwroot/hack86/wwwroot/呢?试验后不是。
经过一段时间,发现hack86的管理员一直用的是hackzhz这个ID。
呵呵。那会否是e:/wwwroot/hackzhz/wwwroot/
RP又爆发了。试验正确。
备份过程中发现只有海洋的一句话和发送端才可以成功。
这次入侵过程主要还是几个突破口。
构造DB的注入点。社会工程学猜到目录