网站地图    收藏   

主页 > 后端 > 网站安全 >

动易xss拿站小记 - 网站安全 - 自学php

来源:自学PHP网    时间:2015-04-17 12:00 作者: 阅读:

[导读] 对动易CMS的一次XSS攻击以及UDF提权小菜文章~求基友求交流me@startend.net目标检测站点:www.xxoo.net操作系统:WINDOWS2003IIS版本:6.0使用环境:ASP.NET同IP下站点数量:40x001检测IP下站点数量0x00...

对动易CMS的一次XSS攻击以及UDF提权

小菜文章~ 求基友 求交流 me@startend.net

目标检测站点:www.xxoo.net 

操作系统:WINDOWS 2003

IIS版本:6.0

使用环境:ASP.NET

同IP下站点数量:4

0x001

检测IP下站点数量

\

0x002

获得网站主机头信息

=============================================================

\

0x003

扫描敏感信息

=============================================================

 

\

 

得到xxxxx.net 是动易 2006 的网站程序,也是同IP下的站点

得到敏感文件但是已经失效URL:www. xxx.net/新建 文本文档.txt

0x004

拿后台

=============================================================

开始找到其网站程序的EXP,使用网上的EXP均失败

再百度动易网站默认密码

\

扫描的出其USER 登入页面

http://www.2cto.com /user/User_Login.asp

输入默认账号密码

登入成功

\

然后利用短消息跨站

首先

\

新建一个短消息收件人为admin(本人)

点击

 

\


填入我们已经构造好的XSS 

<img src="../Skin/blue/powerease_logo.gif" onload="resizepic(this);function resizepic(){alert(document.cookie)};">

 

\

 

然后点击发送

 

\

 

然后再次登入会弹出

 

\

 

到此我想说明下是我如何利用该网站的XSS漏洞的,众所周知CMS一般对脚本代码过滤的非常严谨,然而对CMS对它自己所要使用的脚本就放过了,像Script标签基本是被封杀掉的,然而我恰恰通过之前的看过的文章链接到动易6.6以下对”onlad”是完全放行的所以也就形成了我之前构造的XSS 脚本,既然我们得到了COOKIE 那么我们再进行进一步的利用吧!

 

我们拿到的COOKIS 里面已经包含了一串加密的密码

Hm_lvt_eddb995cea3de2f0fd37f4791d8c86ec=1351139202577,1351149641115,1351151802194,1288058064653;ASPSESSIONIDQQDCTQDB=DPBKFEEAGDBOEAKPMBCBCDOJ;ASPSESSIONIDSQCCRRCA=GKONHNABPMPDPMOGNJFGLIAG;SendMessage=No;xxxxnet=LastPassword=xxxxxxxxxxxxxxHL%26UserName=xxxxxxxxxx%26CookieDate=0%26UserPassword=xxxxxxxxxxxxxxxxxxxxxxxx 

Username=xxxxxxxxxx

Password=xxxxxxxxxxx  ps:我晕它本来就是默认的 我是来说思路的。。

得到后台地址http://xxoo.net/admin/Admin_login.asp进入

\


管理认证码 得来全不费工夫

 

\

 

接下的事情就是要进行传WEBSHELL

 

0x005

拿webshell

文章开头已经扫到该网站是IIS6.0的服务器 既然是IIS6.0 那么就存在着解析漏洞

首先我们在下载中心处的下载中心设置找到上传文件的保存目录 然后如图

 

\

 

把文件夹命名成test.asp 然后如图上传一个小马

\


小马命名为xxx.doc即可

 

\

 

点下源代码导出我们的地址然后进入小马放入大马

 

\

 

上传完大马后我们进入提权状态

0x005

提权

PR 巴西烤肉 xiaoA II6 API  溢出各种提权无力

传了一个cmd上去敲了一行指令 tasklist 一看毫无杀软的痕迹

这说明我们现在很容易拿站也就是说配置一个远程控制软件上传后利用webshell的cmd运行就可以了,但是我们这次是友情检测就不给服务器安装什么了。 那么我只能想办法了!

打开IIS信息一看 顿时就来劲了!

里面居然有11个IIS的信息 然后 开端口扫描一看再度震惊。

\

1433 传说中的MSSQL啊 


3306 传说中的MYSQL啊

而且站多肯定有配置文件 我翻啊翻~

管理员意识到位 把盘符写入权限做的很好也就是说我只能在我本目录里找了

\

 

运气不错 找到了MSSQL的 利用WEBSHELL提权试试

 

\

 

进去了一看郁闷啊!!!原来是公用权限。。。。放弃继续找

嘿嘿管理员把D盘权限做的这么好E盘就是完全开放读写权限的被我翻到了

Mysql的ROOT!

\

 

上传工具提权之!

 

\

 

至此帐号密码添加完毕 登入服务器一看

\

我也没留什么后门直接擦屁股走人

\

 

\

 

保险起见再用CleanIISLog.exe 再清一遍

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论