软件简介:
, { V( ~! V! H: O/ d; M7 W今天出去逛逛 偶尔看见 IT168网络安全大赛' L5 \" j+ F- O. G: `
http://www.ixpub.net/zhuanti/safe/aq/& {; ]8 f/ c, h6 J8 U
呵呵 操起家伙上去干活喽~~' k$ V3 @& p" r7 {3 N4 [# r
点去进去看看目标
8 w" n: C# A9 b V/ I) x5 v& khttp://59.151.29.110/ 放进 啊D找找注入
7 E6 }) C: a4 T+ @3 n得到注入点 :http://59.151.29.110/ProductShow.asp?ID=104 ACC的
- C2 W; c5 F+ E. a& D( U1 `扫下后台
8 s% M+ D( ~2 q/ j换 明小子跑跑用户和密码
; l- W$ y4 v! L2 E! J# w+ busername内容:admin+ X# n) v5 w$ O+ V6 @$ j- ? I
password内容:ef0020cf8c5e45b92 q' R5 E* ^# N P p" R s
username内容:huaxia
- G' z! V" w3 hpassword内容:d7f9061ae314ca0a
, F2 T+ [8 i# l! g破下MD5~9 W% K2 R) {1 b6 J- ~. X4 b
进入后台! q: m: d' Y( U H6 j
网站配置-- 不能自己添加上传文件类型 及修改上传文件目录~
8 k' c4 v& M; x7 _7 B先看看添加产品
" n+ M: N2 g" x9 Z4 p* R5 |4 l) c得到信息知道他有在线编辑器 HOHO 一个大漏洞
. x0 O2 D2 m" n: A: uadmin/Editor/admin_login.asp& M9 h# y! z8 S& p4 s
尝试访问后台 不存在。。。( F0 G* B/ s. h% F
上传图片-- 不成功。。。目录不可写! @2 J9 ]6 Z* ^ T2 v
1 @1 J8 C4 d& F- Y L+ d
在看看别的 找到新闻管理* X, A, }6 n5 L+ @, F( `; _
有上传文件管理~~8 s2 k! L$ c/ r, z+ L" Q
嘿嘿 看见别人传的图。。判断这个目录应该可写 (现在不知道被谁给删了。。)就剩下马了。。
) w; A4 z: c: e' q: ~, [5 G2 v添加图片-- 不能添加ASA 看来没有好心人。。留下后门~~
) t) J) c1 U0 b: [, A' n' {0 `
$ k% ?2 D) T( G7 f再试上传其他文件4 }5 Q; j' |! s+ z! ?
添加ASA 成功
) Q& g$ i5 S |8 K) X还可以添加 CER文件 因为 CER也是可以通过ASP解吸的嘛 嘿嘿
( W' X$ A9 A6 ]! eHOHO 成功拉0 r* s6 g& I: l0 J5 b8 t4 ~
PASS:数据库备份也试了一下 不成功。。目录不可写
( Q8 ]2 L. j9 [% u+ A6 M拿到SHELL 开始找数据库连接文件~~5 T% |; s# x8 ?% |5 f
6 I4 k* e$ e2 i: j" @8 d5 H( R* B
发现目标文本文件 下载回来 (我先与QQ:861848联系的)
, L1 r! r6 T1 [现在不知道为啥没了。。。 不过还好* b/ J4 O5 T8 l7 ]; W
截图为证!~~/ Y' t) L, s; f
! Q4 g4 l! }) V- V4 {8 _教程结束
; `/ k! c; [" c; ?3 A. R8 ZPASS:先拿下站之后 他说要动画 做好了之后 他把任务文件删了 我说要上传动画 他再无音信
/ N; Z8 K8 g4 v呵呵 其实也没什么 只不过为了 玩玩。。没有什么技术含量给小菜 提供个思路罢了8 Q6 w" m+ _: _% D4 E. n3 v7 y0 }
请联系: 极品坏蛋 254338283
7 d \$ r) N) t2 O5 D4 m7 e3 |下载地址:
|
最新大话西游3单机完全版
