软件简介:
; B) l; ~6 M+ [今天出去逛逛 偶尔看见 IT168网络安全大赛; o& G6 [4 L; s: P1 Y7 J( x
http://www.ixpub.net/zhuanti/safe/aq/
# @# {# S9 o& h6 w3 h" h呵呵 操起家伙上去干活喽~~
1 \% a% J8 G( A% K点去进去看看目标
; b9 x6 O/ ^8 n9 m. d5 f* thttp://59.151.29.110/ 放进 啊D找找注入
: w6 S0 Q% W' {9 A4 v# O) W得到注入点 :http://59.151.29.110/ProductShow.asp?ID=104 ACC的
' {2 l. H! g* K8 P' v扫下后台
& s& M( v0 {" |) } i换 明小子跑跑用户和密码
6 w4 A7 h* u; A! H! C- h3 Pusername内容:admin5 E9 Q. \- k. A
password内容:ef0020cf8c5e45b9, ]4 r4 g5 h7 x$ \1 j8 R
username内容:huaxia3 b* G# S& J& S5 J
password内容:d7f9061ae314ca0a" `1 ]( V1 G0 K7 K1 c
破下MD5~8 {# K) l( F7 v- I3 u; C6 p
进入后台
2 y# _1 P" f5 P' Z' E- S7 t8 \网站配置-- 不能自己添加上传文件类型 及修改上传文件目录~ b" }$ F+ y+ S+ B- i! _% Y/ e% Q
先看看添加产品
8 D7 }' x. Z; ~+ q! ?. S得到信息知道他有在线编辑器 HOHO 一个大漏洞7 W; r9 X* y4 |: ^+ g
admin/Editor/admin_login.asp
$ B) e5 {! p1 ]' F0 i" W尝试访问后台 不存在。。。
- ]" z' y! @3 w6 T% F上传图片-- 不成功。。。目录不可写
( `/ o6 p8 b% T& q0 P# b7 G, D5 }2 H- c- w V; D
在看看别的 找到新闻管理! T" |% @' ^0 P* j5 r
有上传文件管理~~
7 R2 B$ q F* d嘿嘿 看见别人传的图。。判断这个目录应该可写 (现在不知道被谁给删了。。)就剩下马了。。7 `; }2 m+ E1 L4 ^+ w
添加图片-- 不能添加ASA 看来没有好心人。。留下后门~~
* q. d+ V9 m* [8 o1 c" K/ P8 S; X& w0 X$ n6 |" H0 ]$ O0 v, i
再试上传其他文件6 o! X T4 g) A% c
添加ASA 成功
$ n4 N: Z6 n/ G& F7 L/ l: C7 A还可以添加 CER文件 因为 CER也是可以通过ASP解吸的嘛 嘿嘿% |/ H! u0 L. m) T5 W
HOHO 成功拉/ L' D) z# m) [4 d& X
PASS:数据库备份也试了一下 不成功。。目录不可写' \% m/ U3 [( U/ k- p: U
拿到SHELL 开始找数据库连接文件~~' i) w: m( P& W7 l1 c
' b8 S1 r) E6 u+ Z7 X
发现目标文本文件 下载回来 (我先与QQ:861848联系的)
* p+ e8 \9 k+ a E& m现在不知道为啥没了。。。 不过还好
( D3 t# O# G/ ?: h- O5 H4 T; V+ w截图为证!~~
7 J4 T7 J0 D0 x/ M" u. ^- l2 X0 F- m# O* k
教程结束- ^+ f* R7 q/ V# B3 N
PASS:先拿下站之后 他说要动画 做好了之后 他把任务文件删了 我说要上传动画 他再无音信
, e8 A3 q$ I3 [呵呵 其实也没什么 只不过为了 玩玩。。没有什么技术含量给小菜 提供个思路罢了/ r; G5 U6 f! m8 _/ B, e
请联系: 极品坏蛋 254338283& Y2 ~" n8 d/ R( V* P
下载地址:
|
鲁公网安备 37132602371510号
流量统计
最新整理Linux手工服务端_末世策略塔防手游
