请选择 进入手机版 | 继续访问电脑版
查看: 2664|回复: 14

记一次奇葩的getshell思路。

[复制链接]
  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

    发表于 2016-5-21 18:33:02 | 显示全部楼层 |阅读模式
    菜鸟日站,大牛飞过。
    帖子献丑如下:
    在一个群里看到一个小伙伴发了一个一句话的链接地址。
    456C332B@502C2D6E.D5923557_recompress.jpg
    我看到了admin/Southidceditor/这个目录,
    就知道了这是ewebeditor的编辑器。那么可以看看是否存在编辑器登陆地址,再弱口令试试登陆。
    但是当我访问admin/Southidceditor/admin_style.asp这个链接时却自动跳转到了后台登陆页面,且弱口令不行。
    也没打算继续找登陆页面了,因为登陆页面找到了不一定可以进入。
    然后我试了下能否直接越权访问样式设置页面:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47
    这样可以就能直接getshell了,因为小伙伴已经拿了,所以就不存在什么操作权限问题了。但是页面并不存在。
    然后继续试了试数据库路径:admin/SouthidcEditor\Datas\SouthidcEditor.mdb,其实我并没抱希望的,因为都不是默认后台,默认数据库概率挺小的。
    但是结果总是那么出人意料,还真是默认数据库。但是我没下载,没登陆页面下载没有什么用,而且万一很大呢,浪费流量没必要。
    继续,然后我抱着试一试的心态,访问这个链接文件上传页面:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc,
    毕竟只是收集更多的信息帮助归纳思路。但是这个页面却存在。
    e2f859f0aadaeb2bb07b2047fadf4741.png
    不兼容问题,只要证明存在就行了。然后我继续理了下思路,感觉对这个编辑器的处理没有什么大环节了,所以打算下载上面发现的数据库看看,
    看看是否存在什么什么敏感的页面名,来猜登陆界面。因为数据库有了,后台密码肯定就不是问题了。
    46713558@502C2D6E.D5923557_recompress.jpg
    但是在数据库中的目录并没有发现什么敏感页面,然后我看到样式的数据库储存处存在的这个表格,并发现存在一个123的样式添加了aaspsp。说明可以添加asp格式。
    eweb编辑器后台添加的脚本本人自测好像只有添加php,aaspsp,pphphp有用。添加asp,asa,cer任然不行。
    然后我还是没有找到编辑器后台,或许被前面的一个基友把默认后台改了,或许是其他的什么,但是我并没有用扫目录,个人并不喜欢这个方式,因为太多的都容易被封ip了。
    同时robots.txt,谷歌一系列也没用。继续想了想办法:
    于是想:既然刚才我都可以访问那个上传页面,说明可以越权访问样式中设置的样式,那么我要是可以直接访问新增的这个123样式不就什么都可以了吗?
    于是我看了看那个上传链接:admin/Southidceditor/ewebeditor.asp?id=57&style=southidc,想:控制样式的变量是id这个参数的值?还是style这个变量的参数。
    于是访问了下123代表的那个id=49,但是没有什么反应。我此时看到了southidc这个参数不就是数据库中的一个样式名?所以直接改为123访问。出现如下:
    9d576d21ce7ba4ef671f347c954db19f.png
    很明显的按钮菜单栏只有一个图片上传的提交按钮,应该就是123这个样式了。但是不能使用,并且用eweb编辑器独特的小技巧,复制粘贴图片,右键,也没用。
    想下不应该啊,确实是eweb编辑器啊,怎么不能用复制粘贴啊。 然后才注意到下面的页面格式并没有选择,马上选择一个设计按钮。再复制粘贴图片,右键属性。
    成功上传一个asp马。
    44723327@502C2D6E.D5923557_recompress.jpg
    687145b63f7816d752c36c4d5191b2c2.png
    成功上传了asp小马,然后上大马。查看组建试试提权。
    446E3230@502C2D6E.D5923557_recompress.jpg
    1caf5977c8af7375e1a40a958577d490.png
    不支持命令执行的组建,并且端口只开了21与80端口吧。所以小菜提权无望了。
    然后再index.asp中找个闭合玩了html的地方加入一个一句话,删大马,毕竟不灭之魂大马,存在溢出密码。
    692e4049b8475884577b34d37eceb239.png
    这次过程完全是突发奇想地,原来我也重来没有这样用过,只是走到一步看一步,因为日站没有固定思路可言,结合运气,就成功了。










    评分

    参与人数 1i币 +5 收起 理由
    Te5tB99 + 5 继续努力

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-5-21 19:10:18 | 显示全部楼层

    RE: 记一次奇葩的getshell思路。

    继续努力
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-5-21 20:12:53 | 显示全部楼层

    RE: 记一次奇葩的getshell思路。


    嗯嗯,谢谢wuyan大大给的机会。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-8-25 09:43
  • 签到天数: 419 天

    [LV.9]以坛为家II

    发表于 2016-5-21 20:43:40 | 显示全部楼层
    哈哈,鼓励一下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-5-21 23:34:04 | 显示全部楼层

    RE: 记一次奇葩的getshell思路。


    啊啊啊啊!白哥哥,么么哒!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-9-13 12:01
  • 签到天数: 364 天

    [LV.8]以坛为家I

    发表于 2016-5-23 11:28:28 | 显示全部楼层
    是我电脑出问题了?看不到内容??

    点评

    昨天论坛更新,现在好了。  详情 回复 发表于 2016-5-23 22:42
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2017-8-14 09:44
  • 签到天数: 229 天

    [LV.7]常住居民III

    发表于 2016-5-23 11:59:31 | 显示全部楼层
    感谢分享
    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-3-15 09:44
  • 签到天数: 25 天

    [LV.4]偶尔看看III

    发表于 2016-5-23 13:28:32 | 显示全部楼层
    学习一下

    点评

    共同学习。  详情 回复 发表于 2016-5-23 22:43
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2018-11-26 14:17
  • 签到天数: 77 天

    [LV.6]常住居民II

    发表于 2016-5-23 20:48:01 | 显示全部楼层
    感谢分享

    点评

    分享快乐。  详情 回复 发表于 2016-5-23 22:43
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-1 09:06
  • 签到天数: 380 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-5-23 22:42:55 | 显示全部楼层

    RE: 记一次奇葩的getshell思路。

    conosc 发表于 2016-5-23 11:28
    是我电脑出问题了?看不到内容??

    昨天论坛更新,现在好了。
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表