危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18787713

对某公司站点的手工渗透

周末了,由于危险漫步很长时间都没有动手检测站点了。今天难得清闲,对过去曾就任的公司网站做一番检测。我们首先来看看目标站点,(为避免对号入座,使用*代替站点的网址),asp站点。

简单查看了下硬件产品和软件产品链接,测试下and 1=1,and 1=2。

并不存在注入点。

继续搜索,点击关于**,打开最新动态下面的任意一条新闻链接,按ctrl+N,打开菜单栏,习惯性的检测是否存在注入。         

返回的页面显示一样,看来注入没戏了。

点击管理登录链接。

我们进入管理页面。

使用弱口令:admin,admin888,及万能密码’or’=’or’进行一一登录,发现用户和密码均不正确,不能登陆。

再次打开关于**的页面,打开最新动态厦门的链接。

我们右击查看图片属性。

发现有ewebeditor编辑器,输入常见的ewebeditor路径地址,登录admin_login.asp页面。

很幸运,管理员并没有更改默认密码,使用admin直接打开进入。点击样式管理-新增样式,在图片类型中添加asa,点击提交。 

提交后弹出不能更新的错误提示。  

默认密码就进入后台了,数据库被设置无写入权限,添加asa类型然后直接上传asa马这思路就行不通了,也没别人留下的痕迹。马上想到ewebeditor可以列目录,在ewebeditor后面添加admin_uploadfile.asp?id=14&dir=../..看到当前目录下的文件夹和文件。 

查看Database文件夹,发现下面一个文件名为Westake DataBase.mdb的数据库,右击,降数据库另存为,保存在本地磁盘中。 

打开数据库中的login表,查看用户名和密码。  

发现秘密是通过MD5加密的,打开MD5在线解密网站,得到管理员用户密码:18862

我们登录管理入口。

接着就是想办法上传自已的马儿了。我们点击广告管理,点击添加。     

点击浏览随意上传一个asp的马儿,点击上传,点击保存。弹出上传成功,点击上传的图片,直接打开我们上传的马儿。     

简单查看下权限,还是比较大的,可以浏览各个盘符和目录,打开cmd,输入whoami,显示ntauthority\network service。输入ipconfig/all,得知该服务器为域控制器,有两个网口,一个接内网,另一个接外网。   

浏览C盘,查看到管理员安装了pcanywhere,端口也没有更改。   

直接下载pcanywhere的cif文件,还是有两个用户的可供连接。

使用cif破解软件,得到连接用户名和密码。  

在虚拟机上安装pcanywhere连接服务器。

因为公司后台开了日志审核,故不再进一步登录系统,被发现就不好了。

此次入侵没有什么技术含量,只是在于巧妙的利用了ewebeditor编辑器的遍历目录,查询到数据库,进而上传。建议不要掉在一棵树上,应该灵活的发散思维,从多个方面开展,循序渐进,便能达到巧妙的效果。