标题:SQLmap问题
传送门:http://tieba.baidu.com/p/4368255865
-----------------------------------------------------------------
下次求助帖最好把码打上,描述清楚问题详情就可以。
-----------------------------------------------------------------
这个小伙发帖,求助防注入系统怎么突破。给了个截图。图1
唉,网址码都不打。准备爆菊。
查看:
发帖时间:2016-02-22 16:58
距离现在不到10天。
【开始】
访问------网站首页。
如图2:
还能访问,既然是防注入,那就找注入点。cookie好了。
网速不给力,注了半个钟头才跑出来。而此过程我一直与穿山甲沟通,希望他可以快点。理解一下。
跑出账号密码,看图3
又是弱口令,主要中途没找到后台,不然也不会这个下场。
好了,下面找后台。在首页查看图片属性,大致看下此站图片保存目录情况。如图4
基本就/uploadfiles/ /images/两个目录。
经过扫描与手工猜解。还是没找到。于是继续翻,在产品展示的某处..如图5;
得到后台目录/furenyygwadmin/
发现两点信息;
1.其是域名+wg+admin
2.事实证明,这个站的编辑器是放在管理目录下的,所以可以探测到。
【爆菊思路】
其实这个时候就可以直接通过eweb后台添加样式拿shell了,连网站后台都不需要进。
结果是;没有权限修改和保存。新建和编辑保存=500内部错误。
1.编辑器版本:eweb2.8
2.有个开启远程上传文件的漏洞。但是比较鸡肋。
3.文件删除漏洞。
3.目录遍历可以用,在但是。对于本次渗透的意义不大。
于是就进后台,附上后台登录界面。图6
后台看出是良精南方的站,并且是二次改版or精简版。
因为我cms识别没探测出来,bugscan的cms识别很强大的。所以不是常规版。
后台首页;图7
这个良精是精简版的,下面的栏目类似与新闻管理。没卵用。
1.数据库备份删除
2.网站配置不能编辑,这样就很难拿shell了。
2-1.网站配置,标题和版权处可以插一句话。inc/config.asp存在。
2-2.配置可以修改上传类型。
重点是配置不给修改,可能设置了只读。
----------------------------------------------------------------------------------------------------------
3.上传点有两个
1.编辑器
2.自带上传点
编辑器的话基本不用尝试,版本2.8。
自带上传点也是突破不了的。
【思路】
1.直接访问数据库备份的路径,试试此功能还在不在。
2.常规版的良精是有《添加下载程序》的,可以尝试突破。
以上都需要路径,我本地就有良精的测试源码。
2-1;访问数据库备份,404.
2-2;访问添加下载程序路径/Down_add.asp如图8;
这个不用解释了,有点经验的都明白。
以前搞良精的时候是可以双文件上传的,于是在自带上传点处审查元素修改;如图9;
提交一下。如图10;
500错误了,不给提交。
良精漏洞看似很多,其实只要数据库操作功能删除+配置只读。基本很难拿shell。
说好的要爆菊,放弃不是我的风格。
然后在收集的exp中找到了另一个双文件脚本。如图11
修改action为目标,我个人喜欢抓包测试。
这个双文件名第一个上传x.jpg 第二个是x.asp(右边要加空格)
发包如图12
看到两个路径一致并且有弹窗,cer上传失败了。
可能是站点的问题,把空格去掉在发包。逐步测试。
如图13;
不需要访问,直接连接。不成功再访问判断原因。
如图14;
大马;
如图15;
此次爆菊成功;所以同学们码要打上,不然被挂了黑页,挂了马。贴吧容易被查水表。
--------------------------------------------良精双文件突破代码--------------------------------------------
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE type=text/css>BODY {
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee
}
.tx1 {
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px
}
</STYLE>
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY leftMargin=0 topMargin=0>
<FORM name=form1 action="http://待渗透测试站点/upfile_Other.asp"; method=post
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT style="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit>
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
------------------------------------------------精简版均有效------------------------------------------------
【爆菊发现】
图片属性看到管理目录是编辑器放在管理目录下导致的。当然这是在编辑器上传点图片的情况下。
精简版后台确实没太多的方法拿shell,我发现基本上精简版都不给编辑配置。
没什么技术含量,发帖打码就好了。以后有机会再发爆菊帖。
传送门:http://tieba.baidu.com/p/4368255865
-----------------------------------------------------------------
下次求助帖最好把码打上,描述清楚问题详情就可以。
-----------------------------------------------------------------
这个小伙发帖,求助防注入系统怎么突破。给了个截图。图1
唉,网址码都不打。准备爆菊。
查看:
发帖时间:2016-02-22 16:58
距离现在不到10天。
【开始】
访问------网站首页。
如图2:
还能访问,既然是防注入,那就找注入点。cookie好了。
网速不给力,注了半个钟头才跑出来。而此过程我一直与穿山甲沟通,希望他可以快点。理解一下。
跑出账号密码,看图3
又是弱口令,主要中途没找到后台,不然也不会这个下场。
好了,下面找后台。在首页查看图片属性,大致看下此站图片保存目录情况。如图4
基本就/uploadfiles/ /images/两个目录。
经过扫描与手工猜解。还是没找到。于是继续翻,在产品展示的某处..如图5;
得到后台目录/furenyygwadmin/
发现两点信息;
1.其是域名+wg+admin
2.事实证明,这个站的编辑器是放在管理目录下的,所以可以探测到。
【爆菊思路】
其实这个时候就可以直接通过eweb后台添加样式拿shell了,连网站后台都不需要进。
结果是;没有权限修改和保存。新建和编辑保存=500内部错误。
1.编辑器版本:eweb2.8
2.有个开启远程上传文件的漏洞。但是比较鸡肋。
3.文件删除漏洞。
3.目录遍历可以用,在但是。对于本次渗透的意义不大。
于是就进后台,附上后台登录界面。图6
后台看出是良精南方的站,并且是二次改版or精简版。
因为我cms识别没探测出来,bugscan的cms识别很强大的。所以不是常规版。
后台首页;图7
这个良精是精简版的,下面的栏目类似与新闻管理。没卵用。
1.数据库备份删除
2.网站配置不能编辑,这样就很难拿shell了。
2-1.网站配置,标题和版权处可以插一句话。inc/config.asp存在。
2-2.配置可以修改上传类型。
重点是配置不给修改,可能设置了只读。
----------------------------------------------------------------------------------------------------------
3.上传点有两个
1.编辑器
2.自带上传点
编辑器的话基本不用尝试,版本2.8。
自带上传点也是突破不了的。
【思路】
1.直接访问数据库备份的路径,试试此功能还在不在。
2.常规版的良精是有《添加下载程序》的,可以尝试突破。
以上都需要路径,我本地就有良精的测试源码。
2-1;访问数据库备份,404.
2-2;访问添加下载程序路径/Down_add.asp如图8;
这个不用解释了,有点经验的都明白。
以前搞良精的时候是可以双文件上传的,于是在自带上传点处审查元素修改;如图9;
提交一下。如图10;
500错误了,不给提交。
良精漏洞看似很多,其实只要数据库操作功能删除+配置只读。基本很难拿shell。
说好的要爆菊,放弃不是我的风格。
然后在收集的exp中找到了另一个双文件脚本。如图11
修改action为目标,我个人喜欢抓包测试。
这个双文件名第一个上传x.jpg 第二个是x.asp(右边要加空格)
发包如图12
看到两个路径一致并且有弹窗,cer上传失败了。
可能是站点的问题,把空格去掉在发包。逐步测试。
如图13;
不需要访问,直接连接。不成功再访问判断原因。
如图14;
大马;
如图15;
此次爆菊成功;所以同学们码要打上,不然被挂了黑页,挂了马。贴吧容易被查水表。
--------------------------------------------良精双文件突破代码--------------------------------------------
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE type=text/css>BODY {
FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee
}
.tx1 {
BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #000000 1px solid; COLOR: #0000ff; BORDER-BOTTOM: #000000 1px solid; HEIGHT: 20px
}
</STYLE>
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY leftMargin=0 topMargin=0>
<FORM name=form1 action="http://待渗透测试站点/upfile_Other.asp"; method=post
encType=multipart/form-data><INPUT class=tx1 type=file size=30 name=FileName> <INPUT class=tx1 type=file size=30 name=FileName1> <INPUT style="BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal" type=submit value=上传 name=Submit>
<INPUT id=PhotoUrlID type=hidden value=0 name=PhotoUrlID> </FORM></BODY></HTML>
------------------------------------------------精简版均有效------------------------------------------------
【爆菊发现】
图片属性看到管理目录是编辑器放在管理目录下导致的。当然这是在编辑器上传点图片的情况下。
精简版后台确实没太多的方法拿shell,我发现基本上精简版都不给编辑配置。
没什么技术含量,发帖打码就好了。以后有机会再发爆菊帖。
