软件简介:5 c+ x7 [1 M& D9 a
今天出去逛逛 偶尔看见 IT168网络安全大赛
' u, }5 v0 \$ X: D7 L" fhttp://www.ixpub.net/zhuanti/safe/aq/* ~: K- L" R! P8 A/ m
呵呵 操起家伙上去干活喽~~# `+ Q( N' M) ]% @" J2 x! q5 {
点去进去看看目标
. m$ D' c4 s+ v8 s" shttp://59.151.29.110/ 放进 啊D找找注入2 D" V+ x% [$ m3 h5 E9 Z, \
得到注入点 :http://59.151.29.110/ProductShow.asp?ID=104 ACC的
1 {( m0 f8 b3 v# F+ o扫下后台
0 o. u' ~: A& K" K, i换 明小子跑跑用户和密码
/ F4 u |% z0 O9 Zusername内容:admin* M+ M; a9 b6 l* R
password内容:ef0020cf8c5e45b9
1 S8 n Y# t7 v( V4 ~! k$ jusername内容:huaxia0 {9 U8 G: k4 _7 \' K
password内容:d7f9061ae314ca0a& Q, E( n/ ~: S0 j3 T% w6 B
破下MD5~( d+ p) U5 x, z) |. m. y
进入后台
9 s) Y8 e. m2 u3 I4 N网站配置-- 不能自己添加上传文件类型 及修改上传文件目录~
8 O0 L0 k2 B; }, Y先看看添加产品0 g8 f/ c; a' p, Y
得到信息知道他有在线编辑器 HOHO 一个大漏洞
; k+ l) v5 Q% e2 z3 K5 z3 t4 Aadmin/Editor/admin_login.asp
( A; A0 `# S% y5 N2 m$ E3 ]% }尝试访问后台 不存在。。。
; i) w7 G2 ~! w' \, M上传图片-- 不成功。。。目录不可写
3 R" K" N8 R$ X+ ]) Q; a4 W2 C! o/ e! S+ c5 p8 i, @( G, p
在看看别的 找到新闻管理) u: C4 }. [2 C! }4 p' D1 Q5 j
有上传文件管理~~- F& \- x# Q4 i1 F9 d/ Z
嘿嘿 看见别人传的图。。判断这个目录应该可写 (现在不知道被谁给删了。。)就剩下马了。。0 `$ @- O5 i. c
添加图片-- 不能添加ASA 看来没有好心人。。留下后门~~
9 s) a8 B+ i5 y' m8 S* `( A5 @: ]5 y
/ Q7 p! I) S8 W8 c再试上传其他文件/ ]/ S( }, o. _! l6 c! `7 c
添加ASA 成功
2 f& u' Q0 ^# H6 L3 @; E. C还可以添加 CER文件 因为 CER也是可以通过ASP解吸的嘛 嘿嘿
4 ? X3 }0 |) DHOHO 成功拉9 f) F# ^7 t5 F9 @' c/ i
PASS:数据库备份也试了一下 不成功。。目录不可写
6 b2 }- q/ ?3 U0 t拿到SHELL 开始找数据库连接文件~~% K0 S1 E @' N+ k
3 \* w, b8 b3 A: c4 y
发现目标文本文件 下载回来 (我先与QQ:861848联系的)
# F& A* h! F. P现在不知道为啥没了。。。 不过还好
6 P+ g2 t0 D. s+ U截图为证!~~, C, I/ L+ ]6 ^! e# Q' I9 r5 \
6 ^- Y) p2 v4 c; C" S/ x5 f5 h+ \" q
教程结束
* _; G, f$ T& H/ LPASS:先拿下站之后 他说要动画 做好了之后 他把任务文件删了 我说要上传动画 他再无音信
3 |0 ]7 O: W1 _/ e呵呵 其实也没什么 只不过为了 玩玩。。没有什么技术含量给小菜 提供个思路罢了6 T8 |. A6 z! F; D6 K
请联系: 极品坏蛋 254338283
7 [4 X, m: h {9 p" K下载地址:
|
最新整理Linux手工服务端_末世策略塔防手游
