危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18791008

实战:拿下某站shell

前一段时间帮朋友检测了一个经过检测授权的网站,虽然最终只拿到了网站同服务器上另外一个网站的shell,但拿这个shell的过程比较“艰辛”,发出来和危险漫步的粉丝们分享一下。    

目标网站用的是ASP程序。经过前期的信息收集知道网站的后台登录地址,打开之。并且存在用户名admin密码admin的弱口令。进入后台首先注意到了后台页面左边“备份”,有数据库备份的地方。shell这么容易就到手了?点下“备份”菜单才知没那么幸运,没有出来备份数据库的页面,显示了空白。

点“恢复”菜单显示的也是空白页。看来通过数据库备份获得sheLl的方法行不通了。后台的文件被人修改过了。点“上传文件管理”显示的是空白页,点“服务器情况”直接是无法找到该页,看来文件被删除了。


在后台添加新闻的地方发现目标站用的是ewebeditor编辑器,访问却但不存在后台登录文件admin_login.asp,也不存在数据库文件ewebeditor.mdb,连db目录都没有。当然,也不存在admin style.asp,对我来说利用ewebeditor编辑器获得shell的方法也行不通了。

目标站一时无法突破,被迫来看下旁注。查询了一下,目标网站所在服务器上竟然有190多个网站。看到这个结果我是既高兴又担心。高兴的是服务器上有这么多网站,难免有几个存在低级安全漏洞的,拿到一个shell的可能性很大;担心的是有这么多网站的服务器安全性不会太差,即使拿到一个网站的shell,如果要想提权成功,一般对我来说也会很难。

接下来是一段时间的体力活,一个一个的看服务器上的其它网站是否存在低级漏洞。幸运的是,我发现了注入漏洞,通过注入漏洞得到管理的用户名为admin,密码为731102,接着用得到的用户名和密码进入了后台。

在后台首页显示了站点物理路径:D:kvhostroot\LocalUser\b***sl\wwwY和数据库地址:adminYdbYda#%#ta.mdb,站点物理路径说不定对我有用,利用它说不定可以推测出别哆网站的站点物理路径,记录下来。这个网站的后台功能太简单,没找到获得shell的方法。继续找别的网站。在一个网站又发现了注入漏洞。重复上一步的操作。

遗憾的是在后台也没发现拿shell的方法,不过在后台产品信息添加的地方发现网站用到了ewebeditor编辑器,说不定还有点希望拿到shell。我确定存在ewebeditor.mdb这个文件,但服务器配置了不允许下载mdb格式的文件。ewebcditor的数据库文件不能下载,不能从下载回来的数据库文件中获得ewebeditor的管理员的用户名和密码,就不能登录ewebeditor的后台拿shell了。


接下来要做的是爆ewebeaitor的后台管理员用户名Oa83573dc090a8be和密码Se687528bfa6edb4。说明我猜测的网站酌绝对路径是正确的。用户名和密码都是经逋MD5加密的,在在线破解网站破解出用户名为info-ne,密码为Infone2005。

得到了ewebeditor的管理员的用户名和密码,赶紧登录进了后台。在样式管理中拷贝了一个样式,然后点“设置”按钮,在允许上传的图片类型中添加asa格式,预览这个样式,上传扩展名改为.asa的ASP-句话木马,传了上去,点“代码”按钮知道上传后的文件为/editor/

UploadFile/20119231381751.asa。用lake2的eval最小马发送端连接,却提示“无法找到该页”,文件不存在,难道没传上去?用ewebeditor后台的上传文件管理功能,发现20119231381751.asa也不存在,看来是真没传上去,ASP-句话代码被拦截了?在asa文件里只写入123,上传,发现也上传不上去。换.cer、.cdx格式的传不上去,jpg格式的文件可以正常上传。

有个ewebeditor的后台却获得不了shell。这种情况持续了几天,比较郁闷。几天之后突然想到在危险漫步的博客上看到过利用stm文件获得ASP文件源代码的方法。真是柳暗花明又一村!

后面的过程未免落俗,而且和上面的文章很有重复,我就不重复了。这次检测就此结束,遗憾的是没有获得目标网站的shell,只获得了目标网站所在服务器上其它网站的一个shell,而且这个shell还拿的比较艰辛,看样子我还要多关注危险漫步,多多学习啊!

相关推荐