危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982287

看菜鸟另类抓包拿shell

由于最近看不惯一些事,于是就想要对不满的对象进行一番检测,于是有了本文。

首先当然是找注入点了,随便找了一个带数据库查询的链接,在后面加上“’”、“and 1=1”、“and 1=2”都返回空白页面,估计过滤了还是怎么着。不过作为hacker爱好者的我们怎能如此轻易放弃呢?于是就行找找目录看有没有什么可以利用的,不一会就在一张图片的链接属性里找到了Ewebeditor编辑器的踪影。

Ewebeditor可是个好东西,要是有用户名密码修改一下上传样式,马上就可以拿到shell。于是立马按照默认的地址打开后台登陆地址,令我失望的是后台被管理员删了,看来管理员的安全意识还是挺高的,后台被删了,就算下载到默认数据库也没用了。

以前看过一篇文章说没有后台照样拿shell,但一时也找不到那篇文章了。重新整理一下思路,既然数字型的注入不行的话,字符型的行不行呢,带着这个疑问,我找了一个带字符的链接,分别在后面加上'and'1'='1'和'and'1'='2返回了不同的页面。

确定是一个注入点后立马丢到啊D,但啊D却检测不出表名,于是我换pangolin,呵呵,Pangolin检测的结果马上就出来了。

有了用户名和密码当然是找后台登陆了,后台地址在首页就直接给出了链接,顺利登陆后台后发现有数据库备份的地方,这样的话只要备份一下上传的图片木马就可以拿到shell了,可惜的是后台备份路径和数据库名都不可以自定义。

然后我把源码本地保存后,修改路径和备份名后提交也失败了。这让我陷入了中断,因为后台除了ewebeditor编辑器外就这个备份可以利用了。随便抓包看看吧,于是用WsockExpert抓包了备份数据库的过程并且发现了些猫腻。

既然包中有路径、文件名等信息,那修改路径成图片木马所在的路径,以及把备份的数据库名改为.asp后缀的包后提交可不可以呢?说做就做,把抓到的前两个send包复制到记事本,并且用Uedit32修改包,需要注意的是加上或减去多少个字节一定要在length那里一定要对应,不然可能提交失败。

修改保存后用NC提交,提交后到后台去看,发现已经生成asp木马了,打开shell的登录地址,成功拿到shell。

总体上来说这篇文章技术含量不高,只是灵活地利用了一下抓包而已,希望可以给新学习的hacker爱好者一点点思路。

相关推荐