今天群里的小U發(fā)來一個(gè)站，說是淘寶刷信譽(yù)的網(wǎng)站，害人的網(wǎng)站，吾必搞之。費(fèi)話不多說，叫上群里的兄弟，把網(wǎng)站更新到群公告里面，群起而攻之。
1、基本信息探測
首先看了一下網(wǎng)站，界面倒是挺漂亮的，這里我就不截圖了，免得兄弟們看到了去爆菊花。 全站使用asp架設(shè)，已經(jīng)做偽靜態(tài)處理，看了一下新聞，后綴為news.asp?/1469.html（暴露一點(diǎn)信息），測試了一下把網(wǎng)站URL改為 news.asp?id=1469 可以正常打開，于是測試注入，發(fā)現(xiàn)做了Sql防注入，不想去中轉(zhuǎn)，放棄注入。看群里兄弟戰(zhàn)況發(fā)現(xiàn)，如果用掃描器掃描目錄的話，網(wǎng)站就打不開了，要過一段時(shí)間才能打開，看來工具我這里也不敢用了。
2、社工真強(qiáng)大呀
既然工具不能使用，那么我手工總可以吧？于是社工FTP，后臺(tái)地址，Google搜索一起使用結(jié)果還是不行，測試wwwroot,rar, wwwroot,zip不行，于是測試網(wǎng)站域名XXXXX.zip不行，XXXXX.rar奇跡出現(xiàn)了，結(jié)果彈出下載提示框，天助我也，今天必滅之。打開迅雷，輸入下載地址，下載源碼。
3、終于發(fā)現(xiàn)漏洞
下載回來源碼一看，果然是網(wǎng)站源碼粗略一看網(wǎng)站后臺(tái)目錄果然異常強(qiáng)大XXXadminxxxxxxx11（已做處理）看了一下，似乎是動(dòng)力的文章系統(tǒng)，如下圖：



如此強(qiáng)大的目錄，難怪群里面的兄弟們說掃不到目錄呢，測試常見的用戶名及密碼進(jìn)不去，看來站長知道做此類站，遲早會(huì)被吾等暴之，所以網(wǎng)站做的比較安全，繼續(xù)測試。
找數(shù)據(jù)庫，看一下conn.asp發(fā)現(xiàn)網(wǎng)站居然是MSSQL數(shù)據(jù)庫的，shit 這樣就必須服務(wù)器開啟數(shù)據(jù)庫外連才能連接上去查后臺(tái)的用戶名和密碼了，telnet? www.xxx.com 1433發(fā)現(xiàn)可以連接，oh yeah !? 馬上打開MSSQL查詢分析器連接，發(fā)現(xiàn)居然出錯(cuò)，用SQLtools連接也提示失敗，郁悶死我了。看來這招不行了。
找上傳頁面，發(fā)現(xiàn)上傳頁面名稱也被改成非常見的了，隨便測試一下，馬上返回前一面，說明做了session驗(yàn)證，放棄。
再找，發(fā)現(xiàn)dvbbs8，找到管理員密碼解密，都解不出來，看來管理員還是很強(qiáng)大的，也都不是弱密碼，放棄。
再翻，發(fā)現(xiàn)一個(gè)datayu目錄里面有一個(gè)#xxxData.asp的數(shù)據(jù)庫，訪問了一下，居然沒有做防下載處理，天助我也。打開輔臣數(shù)據(jù)庫瀏覽器，發(fā)現(xiàn)里面記錄的都是網(wǎng)站防注入的信息，于是想到直接向數(shù)據(jù)庫里面寫入一句話木馬不就搞定了？ 于是對(duì)網(wǎng)站進(jìn)行注入使用了 ' and 1=2 and ┧眾┼攠數(shù)畣整爠煥敵瑳∨楬湡≧┩挾 ，測試過N多個(gè)頁面，都被記錄了，但是返回刷新頁面發(fā)現(xiàn)似乎沒有寫入，正準(zhǔn)備放棄使用此方法的時(shí)候，發(fā)現(xiàn)網(wǎng)站還有另外一個(gè)防注入的程序，是直接寫入到另外一個(gè)mdb的數(shù)據(jù)庫，看來我對(duì)頁面做的注入測試是寫入到了那個(gè)mdb數(shù)據(jù)庫里面了，繼續(xù)翻網(wǎng)站的管理目錄，發(fā)現(xiàn)有一個(gè)頁面定義了注入?yún)?shù)，是寫入到這個(gè)asp數(shù)據(jù)庫里面，而且此頁面未做Session驗(yàn)證，直接打開，寫入?yún)?shù)，保存成功。



點(diǎn)提交后，提示保存成功，然后返回去刷新發(fā)現(xiàn)了可愛的? execute




4、成功拿下目標(biāo)站
使用一句話連接，測試，可愛的hello world !? 出現(xiàn)了，然后直接上傳木馬，留名閃人。





本文來源于獨(dú)自等待博客： http://www.waitalone.cn/ 原文地址： http://www.waitalone.cn/post/617.html

入侵某淘寶刷信譽(yù)網(wǎng)站