前言
某地HVV,远程看着打了下,说是轻松拿shell,可一点不轻松,主要靠运气。
SQL注入到上线cs
1.发现SQL注入
该网站为一个很老的企业官网,在新闻处看到数字加html
以前有过类似经历,注入点就在数字处,去掉html保留数字发现也正常回显
而且asp网站经验来看一般都是access数据库,字段比较简单,功能单一,猜测真实参数为id,果然回显正确
直接sqlmap可以跑出来注入,还是很舒服的。
sqlmap -u xxx.com/xxxx-view.a… -p id
sqlmap -u xxx.com/xxxx-view.a… -p id --tables
爆破出了三个表名
有一个登录相关表名,利用sql-shell执行sql查询一下该表
sqlmap -u xxx.com/xxxx-view.a… -p id --sql-shell
执行SQL语句:select * from xxx_login
查到了账户名密码,但开始长度并不是32位没有想到MD5,以为是明文,后面队友查了一下才发现MD5解了出来
2.拿到后台
后台地址在页脚位置隐藏,最开始是没有发现的
账号密码 admin/1234xxxxxx
3.数据库备份Getshell
最开始在编辑器尝试上传图片,发现白名单无法绕过
最后发现数据库备份功能,竟然是asp脚本
这种我在做asp靶场见过,现实中让我遇到了
当我修改文章内容,将一句话木马写入其中,然后备份发现写进去了,但是被实体化了
发现是编辑器内的问题,那我不用编辑器,直接在标题类型输入一句话木马就行了。找到一处荣誉添加的地方。
成功保存添加
再次点击备份,这里我将路径退到根目录
写入成功,这次没有尖括号被实体化
菜刀连接木马xxxxxx.com/dbback/xxxx…
但是执行命令会拒绝访问
所以后面尝试了上传大马,这个还挺好用的,
大马也无法执行命令,显示没权限
后面在网站目录下上传了自定义的cmd.exe之后,利用大马里的cmd执行,shell路径改为上传cmd的物理路径才能执行命令。
4.上线CS
上传cs木马,利用该命令执行,成功上线
fscan扫描无果,打完收工
上传文件后缀可控
还有一个asp网站,后台弱口令,上传文件的后缀后台可控,还有大量敏感信息,因此增加了asp后直接上传asp拿到shell,就不截图,没啥技术含量。
本文由mdnice多平台发布
