危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18788001

对台湾某网站的一次渗透记录

这是以前初学渗透记录的一次渗透经过,利用Google搜索:allinurl:,tw asp?id=意思是搜索URL里面有tw以及类似于asp.id?=的页面,然后就找到了本问测试的这站,大家开始学习的渗透的时候如果不知道从哪里下手,就可以利用这种方法去Google批量搜索注入点,虽然这种方法实战意义不大,但是对于初学者进行动手实践也是不错的方法。把有注入点的url放在啊D的扫描,得出了数据库是Access,以及管理员的用户名和密码,接下来就是后台和webshell,过程如下:

1.进后台

这个网站的密码居然是明文,就不用担心MD5之类的加密破解不出来了,开始找后台,试了试/admin /login.asp等常用后台都不行,那就用工具扫扫吧。  

于是就打开JSKY,后台一下就出来了,居然是administrator,可是头一次遇见这样的,难道台湾的特色。

我又疑惑的试了administrator/admin.asp也不行,奇怪了,以为administrator这个单词记错了,可是一查,单词是对的呀,我又进JsKY,把它那段网址COPY下来,浏览器复制。怎么又失败了?

仔细一看,这个administration,好像少了什么东西,少了一个i,晕,难道是管理员为了防止猜出后台弄的,看来,我们在渗透的过程中,细心是很重要的,任何一个细节都很有用的。输了用户名,密码,成功进入后台。

2.曲折的拿shell过程

进后台,首先去找上传的地方,于是打开发布新闻的菜单,然后看见有一个图片的上传点,那就试试可不可以直接传asp后缀的文件呢。

打开上传页面,随便传一个asp后缀的文件试试吧。不行,那继续试试有没有其他上传办法吧,把后台看了个遍,没有数据库备份,也没有其他上传点,后台比较简单。突然想到本地提交,但问过了朋友,一般网站都有服务器验证的,那不是还没用啊,但其他我就真不知到有什么办法了。

那试试本地提交吧,Google找了一篇本地提交的教程,需要用NC,WinHex,Winsock,虽然这些NC还没怎么用过,反正有教程,那一步一步照着教程做吧。

首先,用Winsock,抓我正常上传图片的数据包,把前两个包的内容复制到记事本,径改成我要上传的shell,并在后面加一个空格,然后jpg,然后还得修改关于包长度的参数。

把a.txt复制到NC文件夹里面,打开NC,进入NC文件夹,输入nc -vv 114,xxx.xxx.155 80<a.txt。

还是不行,难道服务器有验证?仔细对比了下教程,在数据包那里,教程里说要修改上传到网站上的目录,我的怎么没有这个内容,继续查资料,原来这个方式上传,需要数据包有网站的上传保存目录才行呀。

于是,又卡住了,那怎么办?继续去找资料吧,可是网上的这些,很多都用不上呀。

突然,想到了,以前在危险漫步上看见过一篇文章,就是在注册页面那里把网页另存到本地,修改注册的VALUE值,把自己注册成管理员,我可不可以试试用这种方式上传图片呢,把允许的上传的类型加一个asp不就行了,虽然不知道服务器是否有验证,但还是试试吧。

其实最重要的地方就是在ACTION加那段了,不然就没法提交到服务器。用浏览器打开,试试传一下webshell行不行吧。没有了刚才的提示框,然后注意一下url那里,GP- upload=true,那就应该上传成功了,但是还不知道上传路径在哪里,接下来就随便上传一张正常的图片看看它的路径吧,而且上传的文件名也没有改名,这下就方便了。

接着访问试试,成功上传了webshell。  

看了服务器信息,IIS7.0(其实那个上传验证可以用IIS解析漏洞上传类似于.asp;.jpg去绕过,可是IIS是7.0的,就不行了),接着试了试提权,不是MSSQL和MYSQL,不能数据库提权,然后看了下也没什么可以利用的地方,最后试了server2008的exp也不行,就没有继续下去了。

3.后记

因为是初学时候的过程记录,所以渗透过裎看起来没有涉及太复杂的技术,只是利用了SQL注入和本地JS上传验证绕过,但还是能学到很多基础东西,比如用NC的使用,抓包本地提交…还有渗透的时候,细节的重要性。

相关推荐