声明:The3ight原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
在一次渗透中,拿到域名WWW.*****.COM,访问网站,发现疑似注入点http://www.*****.com/ProductDetails.aspx?id=40,放入SqlMap,无果。
查找后台,手动输入/admin,403禁止访问,尝试再加上login.aspx,成功找出后台地址:http://www.****.com/admin/login.aspx。手工测试弱口令,给出提示:密码错误。说明admin账号存在,但密码不对。
尝试进行登录框POST注入,无果。在抓包时发现一个有意思的事,请求的Cookie中包含该网站的绝对路径,可惜并没有注入。
由于后台登录处并没有验证码,最后决定使用Burp进行爆破,很幸运,爆出来了,虽然他的密码比较简单。
成功登录至后台,开始拿Shell。放眼整个后台,所有上传都是调用的这个编辑器,起初看到就觉着已经没戏了,但是在点开图片上传之后我又改变了看法,动易的编辑器,应该会有洞的吧。
参考了一下这篇文章 https://www.uedbox.com/post/41005/ ,觉得有戏,Burp启动!按照文章大概的意思,修改config_fileFilters参数下允许上传的文件类型,增加aspx类型文件,即可成功上传Shell。
访问Webshell。
接下来查找web.config,找出Mssql数据库最高管理员sa的密码,并通过xp_cmdshell成功提升至system权限,时间问题,并没有转发进内网,至此结束。
857
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
