来源:自学PHP网 时间:2015-04-17 12:00 作者: 阅读:次
[导读] 对动易CMS的一次XSS攻击以及UDF提权小菜文章~求基友求交流me@startend.net目标检测站点:www.xxoo.net操作系统:WINDOWS2003IIS版本:6.0使用环境:ASP.NET同IP下站点数量:40x001检测IP下站点数量0x00...
对动易CMS的一次XSS攻击以及UDF提权小菜文章~ 求基友 求交流 me@startend.net目标检测站点:www.xxoo.net 操作系统:WINDOWS 2003 IIS版本:6.0 使用环境:ASP.NET 同IP下站点数量:4 0x001 检测IP下站点数量 0x002 获得网站主机头信息 ============================================================= 0x003 扫描敏感信息 =============================================================
得到xxxxx.net 是动易 2006 的网站程序,也是同IP下的站点 得到敏感文件但是已经失效URL:www. xxx.net/新建 文本文档.txt 0x004 拿后台 ============================================================= 开始找到其网站程序的EXP,使用网上的EXP均失败 再百度动易网站默认密码 扫描的出其USER 登入页面 http://www.2cto.com /user/User_Login.asp 输入默认账号密码 登入成功 然后利用短消息跨站 首先 新建一个短消息收件人为admin(本人) 点击
<img src="../Skin/blue/powerease_logo.gif" onload="resizepic(this);function resizepic(){alert(document.cookie)};">
然后点击发送
然后再次登入会弹出
到此我想说明下是我如何利用该网站的XSS漏洞的,众所周知CMS一般对脚本代码过滤的非常严谨,然而对CMS对它自己所要使用的脚本就放过了,像Script标签基本是被封杀掉的,然而我恰恰通过之前的看过的文章链接到动易6.6以下对”onlad”是完全放行的所以也就形成了我之前构造的XSS 脚本,既然我们得到了COOKIE 那么我们再进行进一步的利用吧!
我们拿到的COOKIS 里面已经包含了一串加密的密码 Hm_lvt_eddb995cea3de2f0fd37f4791d8c86ec=1351139202577,1351149641115,1351151802194,1288058064653;ASPSESSIONIDQQDCTQDB=DPBKFEEAGDBOEAKPMBCBCDOJ;ASPSESSIONIDSQCCRRCA=GKONHNABPMPDPMOGNJFGLIAG;SendMessage=No;xxxxnet=LastPassword=xxxxxxxxxxxxxxHL%26UserName=xxxxxxxxxx%26CookieDate=0%26UserPassword=xxxxxxxxxxxxxxxxxxxxxxxx Username=xxxxxxxxxx Password=xxxxxxxxxxx ps:我晕它本来就是默认的 我是来说思路的。。 得到后台地址http://xxoo.net/admin/Admin_login.asp进入
接下的事情就是要进行传WEBSHELL
0x005 拿webshell 文章开头已经扫到该网站是IIS6.0的服务器 既然是IIS6.0 那么就存在着解析漏洞 首先我们在下载中心处的下载中心设置找到上传文件的保存目录 然后如图
把文件夹命名成test.asp 然后如图上传一个小马
点下源代码导出我们的地址然后进入小马放入大马
上传完大马后我们进入提权状态 0x005 提权 PR 巴西烤肉 xiaoA II6 API 溢出各种提权无力 传了一个cmd上去敲了一行指令 tasklist 一看毫无杀软的痕迹 这说明我们现在很容易拿站也就是说配置一个远程控制软件上传后利用webshell的cmd运行就可以了,但是我们这次是友情检测就不给服务器安装什么了。 那么我只能想办法了! 打开IIS信息一看 顿时就来劲了! 里面居然有11个IIS的信息 然后 开端口扫描一看再度震惊。 1433 传说中的MSSQL啊
而且站多肯定有配置文件 我翻啊翻~ 管理员意识到位 把盘符写入权限做的很好也就是说我只能在我本目录里找了
运气不错 找到了MSSQL的 利用WEBSHELL提权试试
进去了一看郁闷啊!!!原来是公用权限。。。。放弃继续找 嘿嘿管理员把D盘权限做的这么好E盘就是完全开放读写权限的被我翻到了 Mysql的ROOT!
上传工具提权之!
至此帐号密码添加完毕 登入服务器一看
保险起见再用CleanIISLog.exe 再清一遍 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com